Das Service-Portal Amt24 im Freistaat Sachsen ist bereits am 24. April 2022 Opfer eines Cyberangriffs geworden, wie ich zum 30. April erfahren habe. Die Information scheint nur per Newsletter an die Nutzer weitergereicht worden zu sein. Es besteht die Möglichkeit, dass Nutzer beim Besuch der Seiten ein infiziertes JavaScript ausgeführt haben. Hier einige Informationen, was mir bekannt ist.
Anzeige
Das Service-Portal Amt24
Mit der BaK Amt24 bietet der Freistaat Sachsen seit dem Jahr 2005 ein verwaltungsübergreifendes Service-Portal für die Kunden der Verwaltung (Bürger, Unternehmen, etc.) an. Das Service-Portal unter www.amt24.sachsen.de unterstützt Verwaltungskunden bei der Recherche nach Verwaltungsverfahren und Zuständigkeiten. Zentrale Kernfunktionalität ist dabei der so genannte Zuständigkeitsfinder. Über die Eingabe eines Ortes (Regionalisierung) und eines Verwaltungsverfahrens ermittelt das System automatisch die zuständige Behörde (siehe auch).
Information zum Cyberangriff
Mir ist die Information über einen Cyberangriff auf das Service-Portal Amt24 zum 30. April 2022 über nachfolgenden Tweet zugegangen. Zu dieser Zeit scheint eine Meldung zu einer Systemwartung angezeigt worden zu sein – bei meinem heutigen Aufruf ist davon nichts mehr zu sehen.
In obigem Tweet wird dann der Inhalt eines Newsletters gezeigt, der über ein Sicherheitsereignis bei Amt24 informiert. Am 26. April 2022 kam es laut diesem Dokument nach 13:00 Uhr zu einem Sicherheitsereignis beim Service-Portal Amt24. Angreifern war es gelungen, einen Krypto-Miner auf einem von zwei Amt24-Frontend-Servern zu installieren.
Der Vorfall konnte trotz Sicherheitsmaßnahmen nicht verhindert werden. Zumindest wurde die Installation des Krypto-Miners aber erkannt, und Nutzer informierten die Betreiber (laut dessen Aussage) über die Infektion. Die ersten Maßnahmen seien "innerhalb von 24 Stunden eingeleitet worden", schreibt der Betreiber des Portals. Die Plattform wurde zu diesem Zeitpunkt (wohl am 27. April) offline genommen.
Primäres Ziel des Miners war es wohl, den Server zum Schürfen von Kryptogeld zu missbrauchen. Das betrifft auch die Clients von Webseiten-Besuchern, in deren Browser das JavaScript des Miners ausgeführt wurde. Laut Newsletter war dies am 26. April 2022 ab 13:00 Uhr wohl zumindest theoretisch möglich. Das äußert sich ggf. durch einen langsamen Rechner oder langsame Reaktion des zum Besuch der Webseite verwendeten Browsers.
Durch Beenden des Browsers sollten die Aktivitäten des Krypto-Miners auf dem Client enden. Ob der Miner auch Funktionen zum Infizieren von Besuchern enthielt, ist aktuell unklar. Auch ist unbekannt, ob die Angreifer Sicherheitslücken für andere Zwecke ausgenutzt haben. Im Newsletter heißt es, dass der auf den Clients ausgeführte JavaScript-Code aktuell noch von SAX.CERT analysiert werde.
2015
Ein verschleiert irgendwo in main.7a212b846b23bc83207d.esm.js nachgeladenes nicht abschaltbares externes etracker.com JavaScript ist nicht gerade vertrauensbildend. Gilt DSGVO/TTDSG nicht für dieses Amt?
Nicht so empfindlich, ich muss mich z.Zt. mit dem Zensus plagen. Auf deren Webseite findet sich dann ein Popup: "Auf dieser Website werden Nutzungsdaten nur im notwendigen, zweckgebundenen Maß verarbeitet. …" und weiter wird dort auf die Datenschutzerklärung verwiesen.
Da steht dann unter "Nutzung von Sozialen Medien": -Twitter – Instagram – YouTube.
Ein echter Fortschritt, wenn man bedenkt, dass da vor einer Woche auch Facebook aufgeführt war. Und ist ja klar das dort die Erhebung der Daten aus "Berechtigtem Interesse" angeführt wurde.
Wir sinnieren hier ganz dunkelbunt darüber ob das Statistische Bundesamt diese Seite eher zu Litfaßsäule umtaufen sollte.
Also Behörden und Datenschutz …
Der Einsatz des eTrackers wird in der Datenschutzerklärung von Amt24 erläutert.
Alleine schon durch die Einbindung des externen JavaScripts wird u.a. die IP Adresse jedes Besucher direkt an die Firma eTracker übermittelt. Das sind personenbezogene Daten. Dafür ist eine Einwilligung erforderlich. Bei DSGVO/TTDSG geht es nicht nur um Cookies.
Also bei eTracker selbst finde ich keine Angaben dazu, dass standardmäßig eine IP getrackt wird. So tief bin ich jetzt natürlich nicht in die frei verfügbare Doku eingestiegen, aber dort sollte man ansonsten doch was lesen können. Wir reden hier ja schließlich von einem Unternehmen, welches den deutschen und europäischen rechtlichen Vorgaben unterliegt.
Es liegt in der technischen Natur eines HTTP Requests, dass beim Einbinden von externen Resourcen die IP Adresse des Besuchers an den externen Server übermittelt wird.
Mehr dazu hier: https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol
Du kannst natürlich gerne einer Trackingfirma die "alle Sessions, Interaktionen und Conversions erfassen" will, uneingeschränkt vertrauen und das glauben, was durch keine Angaben nicht vorhanden ist oder doch sein sollte wenn es so wäre und wasnichtallesnoch. Andere glauben ggf. was anderes.