Digitalministerium: Diensthandys sollen angreifbar gewesen sein
Mobiltelefone des Bundesministeriums für Digitales und Verkehr (BMDV) waren offenbar noch Tage nach dem Bekanntwerden einer kritischen Sicherheitslücke angreifbar, weil ein Sicherheitsupdate nicht installiert wurde. Auch das Zollkriminalamt habe erst nach einer Woche reagiert, wie die Süddeutsche Zeitung am Mittwoch berichtete.
Dem Zeitungsbericht zufolge, hatte sich ein Hacker mit Telefonnummern an die Redaktion gewandt, die aus den Systemen des Digital- und Verkehrsministeriums stammen sollen.
Es geht demnach um eine Sicherheitslücke in dem Programm “Endpoint Manager Mobile” der Firma Ivanti. Damit können Firmen und andere Institutionen die Mobiltelefone ihrer Mitarbeitenden zentral verwalten – und beispielsweise auch Sicherheitsupdates einspielen. Das System soll auch für Datensicherheit auf den verwalteten Geräten sorgen. Das Produkt, das früher den Namen “Mobile Iron” trug, wird laut Süddeutscher Zeitung von Unternehmen sowie von Behörden in ganz Europa eingesetzt.
Der Anbieter hatte am 24. Juli eine Sicherheitslücke in der Software <ahref=“https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability?language=en_US” target="_blank">gemeldet. Auch ein Update hat Ivanti bereitgestellt, das diese schließt, und erklärt, es sei wichtig sofort zu handeln.
Der Hersteller warnte, Angreifer könnten die Sicherheitslücke ausnutzen, um persönliche Informationen abzugreifen. Es gebe zudem Hinweise darauf, dass die Lücke bereits aktiv ausgenutzt werde.
Bundesbehörde hatte gewarnt
Dem Bericht zufolge konnten die Redakteure die Verwundbarkeit der Systeme nachvollziehen. Angreifer hätten nur eine Internetadresse verändern müssen, um direkten Zugriff zu erhalten.
Das sogenannte “Computer Emergency Response Team” (CERT) des Bundesamts für Sicherheit in der Informationstechnik (BSI) hatte am 25. Juli vor der Sicherheitslücke gewarnt und sie als “kritisch” eingestuft.
In einer weiteren Mitteilung des BSI vom 31.Juli heißt es, die Sicherheitslücke lasse sich ohne Authentifizierung über das Internet ausnutzen. Angreifer könnten so unter anderem an Namen, Telefonnummern und “andere Details” auf verwundbaren Mobiltelefonen gelangen. Angreifer hätten auch Änderungen an den verwundbaren Systemen vornehmen können. IT-Sicherheitsverantwortliche sollten die verfügbaren Updates “so schnell wie möglich” installieren.
Das ist beim BMDV offenbar eine Woche lang nicht geschehen. Die Süddeutsche Zeitung berichtet, sie habe das Ministerium kontaktiert. Am Montagabend habe ein Sprecher der Zeitung gegenüber mitgeteilt: “Das BMDV trägt Sorge dafür, dass auftretende Schwachstellen nach Bekanntwerden umgehend systemseitig geschlossen werden.” Zu diesem Zeitpunkt seien die betroffenen Systeme auf dem neuesten Stand gewesen – die Zeitung schreibt, das klinge so, als habe das Ministerium erst durch die Anfrage von der Schwachstelle erfahren.
Warum die Systeme rund eine Woche nach der Warnung des BSI noch angreifbar waren, ist laut dem Bericht unklar. Das BSI habe gegenüber der Zeitung auf seine Warnung sowie an das Ministerium verwiesen.
Ein Sprecher des BMDV bestätigte den Vorfall am Donnerstag auf Anfrage von Posteo und erklärte, es habe eine Sicherheitslücke “im Bereich mobiler Dienstgeräte” bestanden, “die nicht unmittelbar geschlossen werden konnte”. Inzwischen seien fehlende Updates aber installiert worden. Nach bisherigem Kenntnisstand sei “kein tiefergehender Schaden” entstanden. Nach Angaben des Sprechers ist die Software von Ivanti im BMDV nur in einem eingegrenzten Umfang im Einsatz. Daher habe lediglich die Gefahr bestanden, dass Geräteinformationen in Form von Metadaten bekannt werden, wie Gerätemodell, Rufnummer oder Betriebssystemversion. “Wir werden intern alles aufklären, um daraus zu lernen und besser zu werden”, so der Sprecher.
Norwegische Ministerien angegriffen
Dabei war auch durch einen anderen Fall bereits bekannt, dass die Sicherheitslücke aktiv für Angriffe ausgenutzt wird: Bereits am 24. Juli hatte die Nationale Sicherheitsbehörde Norwegens darüber informiert, dass insgesamt zwölf Ministerien über die Sicherheitslücke angegriffen wurden. Die norwegische IT-Sicherheitsbehörde hatte daraufhin ebenfalls die sofortige Installation des Updates empfohlen.
Laut dem Bericht der Süddeutschen Zeitung war in Deutschland aber nicht nur das Ministerium für Digitales und Verkehr angreifbar. Auch Daten des Zollkriminalamtes hätten offen im Netz gestanden – erst am Dienstag seien die betroffenen Systeme offline gegangen. (js)