Connect with us

Datenschutz & Sicherheit

Ein Jahr nach dem Onlinezugangsgesetz 2.0


Das Onlinezugangsgesetz 2.0 sollte frischen Wind in die Digitalisierung der öffentlichen Verwaltung bringen. Doch ein Jahr nach Inkrafttreten hat sich mit dem Gesetz für die Bürger*innen, Unternehmen und auch die Mitarbeiter*innen in der Verwaltung kaum etwas verändert. Noch immer bestehen die altbekannten Probleme: Manche Online-Dienste funktionieren an einem Ort, aber am anderen nicht. Anträge müssen teils online, teils per Post eingereicht werden. Mitarbeiter*innen in Ämtern drucken online eingereichte Anträge aus und heften sie ab.

Gründe für die Kluft zwischen analog und digital gibt es viele: inkompatible Online-Dienste, unterschiedliche Standards, unterschiedliche Schnittstellen, unterschiedliches Landesrecht.

Mit Karsten Wildberger (CDU) gibt es nun erstmals einen Bundesdigitalminister. In seinem Ministerium für Digitales und Staatsmodernisierung (BMDS) will er 150 neue Stellen einrichten. Der Digitalisierung will er einen Schub geben, von viel KI und wenig Bürokratie ist im Koalitionsvertrag zu lesen. Sein Plan: Bürger*innen sollen künftig auf Verwaltungsleistungen über eine App per Cloud zugreifen können.

Dazu will Wildberger zwei Test-Bundesländer aussuchen und prüfen, „welche Bürgerleistungen in bestimmten Kommunen gut funktionieren und was es braucht, um die flächendeckend auszurollen“. Die Länder sollen dann schnell viele Bürgerleistungen entwickeln. Gleichzeitig will er die besten digitalen Lösungen der Länder zusammentragen, die der Bund nach Absprache mit den Ländern zentral bereitstellen können soll.

Welche Probleme zuerst?

Dass ein neues Ministerium für die Digitalisierung unter anderem der öffentlichen Verwaltung geschaffen wurde, zeige, dass das Thema politisch aufgewertet wurde, sagt Malte Spitz vom Nationalen Normenkontrollrat (NKR). „Man sollte dem Ministerium nun etwas Zeit geben, sich aufzustellen.“

Doch die neue Regierung muss einen ganzen Berg an verschleppten Problemen mitziehen. Das OZG 2.0 mitsamt E-Government-Gesetz (EGovG), das zeitgleich erneuert wurde, habe in diesem ersten Jahr seit Bestehen jedenfalls kaum Wirkung gezeigt, sagt Spitz. Zwar gebe es einzelne Erfolge wie die elektronische Wohnsitzanmeldung in Berlin. Doch die seien lokal und regional begrenzt und gingen nicht in die Breite.

Warum aber hat das OZG 2.0 kaum Wirkung gezeigt? Dafür gibt es zwei wesentliche Gründe. Zum einen ist das Gesetz ein Kompromiss mit den Ländern. Die OZG-Reform hätte beispielsweise dafür sorgen können, dass der Bund einheitliche Standards zumindest für die Dienstleistungen des Bundes festlegen kann. Die Länder setzten für sich hingegen ein aktives Mitspracherecht durch.

Zum anderen gibt es im Apparat Verwaltungsdigitalisierung viele Stellschrauben, die sich dem Gesetz entziehen, etwa verschiedene Zuständigkeiten und das Verbot der Mischverwaltung. Hinzu kommt die angespannte Haushaltslage auf allen Ebenen. So können die Kommunen etwa für Lizenzen häufig ausschließlich mit Unterstützung durch das Land oder den Bund zahlen. Steht die Finanzierung, ist oftmals nicht selbstverständlich, dass kommunale Behörden einen Dienstleister finden, der die OZG-Leistung implementieren kann.

Ab auf die Insel-Lösung

Das alles zahlt auf ein Problem ein, das die Verwaltungsdigitalisierung schon seit Merkel-Zeiten begleitet: Alle Ministerien und Behörden, ob auf Bundes- oder Landesebene, entwickeln eigene IT-Lösungen für dieselben Prozesse. Sogenannte Insellösungen haben weniger mit weißem Sandstrand und Palmen zu tun als vielmehr mit dem Problem, dass die Lösungen auf allen Ebenen nicht miteinander kompatibel sind, geschweige denn interoperabel.

„Wir haben die Schritte in der falschen Reihenfolge gemacht“, so Spitz gegenüber netzpolitik.org. Bevor man Behörden und Ämter dazu auffordert, ihre Leistungen für Bürger*innen digital anzubieten, hätte „man sich zuerst um ein Architekturkonzept kümmern und den Fokus auf die Registermodernisierung setzen müssen“, erklärt Spitz.

Das hätte ein weiteres Problem der Digitalisierung adressiert: die fehlende Ende-zu-Ende-Digitalisierung. Damit ist gemeint, dass Prozesse durchgehend digitalisiert sind – vom Antrag durch Bürger*innen oder Unternehmen bis hin zur Archivierung der Akte durch Verwaltungsmitarbeiter*innen. Dass Sachbearbeiter*innen in Behörden online eingereichte Anträge ausdrucken und abheften, ist noch immer die Regel.

Als große Fortschritte bei der Verwaltungsdigitalisierung sieht Spitz unabhängig vom OZG 2.0 die Qualitätskriterien, die im Service-Standard festgelegt sind, die föderale IT-Archtitekturrichtlinie des IT-Planungsrats und die treibende Kraft der Föderalen IT-Kooperation (FITKO) als Geschäftsstelle des Rats.

Monitoring bleibt relevante Baustelle

Eine große Lücke im OZG 2.0 klafft laut Spitz beim Thema Monitoring. Zwar sollen die zuständigen Ministerien der Länder und des Bundes demnach ein Monitoring durchführen und den Erfüllungsaufwand für bestimmte Digitalisierungsmaßnahmen erheben. Doch bleibt das Gesetz hier sehr vage.

Der NKR hatte gefordert, im Gesetz konkret festzuhalten, Kriterien wie Nutzerfreundlichkeit und Umsetzungsstand zu erfassen. Auch sei „der Zugang zu den Ergebnissen über eine offene Schnittstelle“ notwendig. Das zuständige Bundesministerium hätte nach dem NKR-Vorschlag zudem vierteljährlich selbst zum Umsetzungsstand berichten sollen.

Es sei nahezu unmöglich, an konkrete Zahlen zu kommen, sagt Spitz gegenüber netzpolitik.org. Die seien aber erforderlich, um feststellen zu können, wo die Stärken und Schwächen der Digitalisierungsprojekte liegen und wo nachgebessert werden muss. Das OZG-Dashboard könne das nicht leisten. „Nur weil eine Leistung einen grünen Haken hat, heißt das nicht, dass sie eingesetzt oder gar von vielen Menschen genutzt wird. Vielleicht wird die Leistung in zwanzig Städten angeboten, aber nur von einem Prozent der Antragstellenden genutzt.“ Zudem enthält es keine Information zur Nutzbarkeit der Leistung.

Spitz hofft auf ein Umdenken hin zu mehr Transparenz und Nachvollziehbarkeit: „Möglicherweise ist das neue Digitalministerium dafür ein Impuls.“

Immerhin hat der Appell der Ampel-Koalition (PDF) an den IT-Planungsrat Wirkung gezeigt. Während der bisher kaum Dokumente zu internen Abstimmungsprozessen veröffentlichte, stehen seit Kurzem Sitzungsprotokolle, Beschlüsse und Prüfkommentare auch aus letzten Jahren online.

Geld ist knapp

Ihre IT-Entwicklungen nach einem einheitlichen Architekturkonzept ausrichten – damit hätten Behörden von Anfang an ihre Ressourcen bündeln können. Das hätte Zeit gespart und Geld. Und gerade letzteres wird knapp. Die Hilfen aus dem Corona-Konjunkturpaket sind ausgeschöpft und die Folgefinanzierung ist unklar.

In den Jahren 2024 und 2025 gibt es nur eine vorläufige Haushaltsführung. Die verglich Christian Görke (die Linke) gar mit einer Haushaltssperre. Nur gesetzliche Leistungen würden finanziert und „neue, dringend benötigte zusätzliche Investitionen“ könnten nicht ausgelöst werden. Das sei vor allem schwierig für die Digitalisierung der Verwaltung, wo man Verträge abschließt, Kosten längerfristig aufwendet und erst im September realistisch einschätzen kann, was genau die Zahlen für das Jahr 2025 sind, sagt Spitz.

Gerade diese Haushaltsordnung fordere heraus, dass Behörden ihre Digitalisierungsprojekte nicht in Zielen oder Meilensteinen, sondern in Jahren planen. Über wie viel Geld Wildberger und sein Ministerium verfügen werden, steht noch nicht genau fest. In den aktuellen Haushaltsverhandlungen gibt es für das BMDS keinen zusammenhängenden Einzelplan. Stattdessen ist bei Posten anderer Ministerien über viele Einzelpläne hinweg vermerkt, dass diese vom BMDS bewirtschaftet würden.



Source link

Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Cybercrime-Bande „Scattered Spider“: Vier Verhaftungen in Großbritannien


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Im Zusammenhang mit Angriffen auf britische Unternehmen haben Strafverfolger vier mutmaßliche Mitglieder der Bande „Scattered Spider“ festgenommen. Einer 20 Jahre alten Frau, zwei 19-jährigen Männern und einem Siebzehnjährigen werfen die Ermittler Computermissbrauch, Erpressung, Geldwäsche und Mitgliedschaft in einer kriminellen Organisation vor.

Die vier Verdächtigen sollen Mitglieder einer Gruppe namens „Scattered Spider“ sein, die in den vergangenen Monaten mehrere Einzelhandelsunternehmen lahmlegte. Vor allem die Kaufhauskette „Marks & Spencer“, Betreiberin hunderter Filialen in Großbritannien, litt unter den Angriffen und stellte Ende April sogar ihr Onlinegeschäft vorübergehend ein. Der Angriff kostete das Unternehmen Berichten zufolge bis zu 300 Millionen Pfund. Auch die Traditionsmarke Harrods und die Supermarktkette Co-Op Group beklagten Angriffe durch mutmaßliche Scattered-Spider-Mitglieder.

Die Gruppe ist personell mit Lapsus$ verbandelt, einer ebenfalls in Großbritannien aktiven kriminellen Cybergang, die sich ähnlicher Methoden bedient. Auch im Fall des Angriffs auf Marks & Spencer kam SIM-Swapping auf einen Dienstleister zum Einsatz, also die widerrechtliche Vervielfältigung von Mobilfunkkarten. Meist geht dem ein betrügerischer Anruf beim jeweiligen Mobilfunkanbieter voraus, in dem etwa der Diebstahl oder Verlust der Original-SIM behauptet und der zuständige Kundendienstmitarbeiter übertölpelt wird. SIM-Swapping ist in den USA und Großbritannien verbreitet, in Deutschland jedoch keine große Gefahr, wie uns Mobilfunkbetreiber bestätigten.

Die Bande bedient sich vorwiegend der Methoden aus dem Werkzeugkasten des Social Engineering, um sich in Unternehmensnetze einzumogeln. Dann exfiltrieren die Kriminellen Daten und erpressen ihre Opfer – ein Geschäftsmodell, auf das sich neuerdings auch Ransomware-Banden spezialisieren. Die Verschlüsselung von Daten, wie klassische Ransomware sie vornimmt, scheint nicht Teil des Scattered-Spider-Instrumentariums zu sein.

Der Journalist Brian Krebs hat die Bande und ihre Verbündeten von Lapsus$ seit Jahren im Auge. Er gibt an, dass einer der nun Festgenommenen bereits im April 2022 in einem internen Chat der Gruppe namentlich erwähnt und mutmaßlich bereits damals beim SIM-Swapping erwischt worden war. Wie Krebs schreibt, hatte der Nachwuchskriminelle seine Mittäter gebeten, Vorsicht walten zu lassen, um bei seinen Eltern keinen neuen Verdacht zu erregen. Offenbar war der mittlerweile 19-Jährige damals erst sechzehn Jahre alt. Sieben Mitglieder von Lapsus$ in Großbritannien waren im Jahr 2022 verhaftet worden, gegen fünf US-amerikanische Verdächtige erhoben Staatsanwälte im Jahr 2024 Anklage.

Die in Großbritannien kürzlich festgenommenen bleiben vorerst in Haft, teilte die National Crime Agency (NCA) mit. Ihre elektronischen Geräte seien beschlagnahmt worden und würden derzeit analysiert. Den betroffenen Unternehmen dankte die NCA für die Unterstützung bei den Ermittlungen.


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

Hackergruppe soll 170 Cyberangriffe verübt haben


Eine international agierende Hackergruppe soll in Deutschland mindestens 170 Cyberangriffe verübt haben. „Ziel waren insbesondere Behörden, Krankenhäuser und größere Unternehmen“, teilten die Ermittler zu den Taten zwischen 2018 und 2021 mit. „Der bislang dokumentierte Schaden beträgt 46 Millionen Euro – die tatsächliche Summe liegt vermutlich höher.“

Auslöser der Ermittlungen war ein Cyberangriff auf die Stadt Neustadt am Rübenberge (Region Hannover) im August 2019, der die Verwaltung monatelang lahmlegte. Die Täter forderten damals eine hohe Summe in Bitcoin und drohten andernfalls mit der Löschung sämtlicher Daten. Ermittlungen ergaben, dass sich die Angreifer offenbar über Wochen Zugriff auf die Systeme verschafft hatten.

Die Staatsanwaltschaft Verden und die Polizeidirektion Hannover suchten mit Behörden weltweit nach den Tätern. Sie regten nach eigenen Angaben internationale Haftbefehle gegen sechs Verdächtige an. Zwei von ihnen sollen hinter dem Angriff auf Neustadt am Rübenberge stecken. Außerdem fahnden die Ermittler nach fünf mutmaßlichen Geldwäschern.

Die Angreifer gelten als Teil des sogenannten „Wizard Spider“-Netzwerks – einer internationalen Gruppe, die unter anderem in Russland verortet wird.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

PerfektBlue: Bluetooth-Lücke in Entertainment-Systemen von Mercedes, Skoda & VW


„PerfektBlue“ haben IT-Sicherheitsforscher eine Kombination aus Bluetooth-Sicherheitslücken in einem Bluetooth-Stack genannt, der in mehreren Auto-Entertainment-Systemen zum Einsatz kommt. Die Entdecker schreiben von „kritischen Lücken, die Over-the-Air-Angriffe auf Millionen Geräten in Autos und anderen Branchen“ ermöglichen. Die Gefahr ist jedoch im Regelfall deutlich geringer als angedeutet.

Ein IT-Forscher-Team von PCA Cybersecurity hat die Schwachstellen in dem OpenSynergy Bluetooth Protocol Stack (BlueSDK) aufgespürt und analysiert. Dieser Stack kommt etwa in der Autobranche zum Einsatz, aber auch für andere – nicht erforschte – Geräte, etwa im IoT-Bereich. Darin klafften bis in den September 2024 die vier Sicherheitslücken, die OpenSynergy mit Patches korrigiert und an die betroffenen Hersteller verteilt hat.

Die IT-Sicherheitsforscher haben vier Schwachstellen ausgemacht. Die gravierendste stammt daher, dass das BlueSDK die Existenz eines Objekts nicht prüft, bevor es darauf Operationen vornimmt – eine Use-after-free-Lücke. Das mündet darin, dass eingeschleuster Schadcode ausführbar ist (CVE-2024-45434 / noch kein EUVD, CVSS 8.0, Risiko „hoch„). Hier weicht PAC Security von der CVSS-Einstufung ab und behauptet, die Lücke sei gar kritisch. Eine weitere Lücke lässt sich zur Umgehung einer Sicherheitsprüfung in RFCOMM und der Verarbeitung eingehender Daten missbrauchen (CVE-2024-45433 / noch kein EUVD, CVSS 5.7, Risiko „mittel„).

Zudem nutzt das BlueSDK in der RFCOMM-Komponente eine falsche Variable als Funktionsargument, was unerwartetes Verhalten oder ein Informationsleck erzeugt (CVE-2024-45432 / noch kein EUVD; CVSS 5.7, Risiko „mittel„). Die L2CAP-Channel-ID (CID) prüft das BlueSDK nicht korrekt, wodurch Angreifer einen L2CAP-Kanal mit Null-Identifier als Remote CID anlegen können – die IT-Forscher erklären jedoch nicht, inwiefern das problematisch ist (CVE-2024-45431 / noch kein EUVD, CVSS 3.5, Risiko „niedrig„).

Die IT-Sicherheitsforscher haben die Schwachstellenkombination auf Infotainment-Systemen von Mercedes Benz (NTG6 Head Unit), Volkswagen (MEB ICAS3 Head Unit) und Skoda (MIB3 Head Unit) getestet und verifiziert. Nicht genannte OEMs sollen ebenfalls anfällig sein. Auffällig ist, dass recht alte Firmware-Stände und Geräte getestet wurden. Es seien aber auch neuere Modelle anfällig, erklären die PAC-Mitarbeiter. Laut Timeline sollten etwa ab September 2024 fehlerkorrigierende Updates von den Autoherstellern verteilt werden.

Die Sicherheitslücken erlauben den Einbruch in verwundbare Infotainment-Systeme. Die Hersteller verteilen in der Regel Aktualisierungen Over-the-Air (OTA), sofern die PKW-Besitzer entsprechende, üblicherweise mit beschränkter Laufzeit versehene Verträge unterschrieben haben. Diese Updates müssen Nutzer in der Regel aber auch aktiv akzeptieren und installieren lassen. Das sollten Betroffene jetzt gegebenenfalls nachholen. Wer keine OTA-Update-Möglichkeit hat, muss für die Aktualisierung einen Termin in der Werkstatt machen oder eine Aktualisierung über USB vornehmen.

Sofern Firmen, die das BlueSDK nutzen und ein sehr niedriges Sicherheitsprofil oder „Just Works“-SSP-Modus dafür konfigurieren, ließen sich die Lücken ohne vorheriges Pairing missbrauchen. Das machen aber zumindest die PKW-Hersteller nicht. Dort ist Bedingung, dass ein Angreifer-Gerät mit dem Infotainment-System gekoppelt wird.

In einer Stellungnahme gegenüber heise online nennt VW das auch als eine der großen Hürden, die ein Ausnutzen der Schwachstellen unwahrscheinlich macht. Das Infotainment-System muss zunächst in den Pairing-Modus versetzt werden. Das passiert in der Regel lediglich einmalig. VW unterstellt zudem, dass Angreifer maximal fünf bis sieben Meter vom angegriffenen Wagen entfernt sein dürften. Diese Zahl lässt sich jedoch mit diversen Ansätzen weiter dehnen. Ein Start-up aus den USA will angeblich Bluetooth-Verbindungen zu Satelliten hergestellt haben.

Dann müssen potenzielle Opfer außerdem der Kopplung des Angreifer-Geräts zustimmen. In der Regel findet eine Kopplungsanfrage unter Anzeige einer Nummer an, die dann mit dem eigentlich in dem Moment zum Koppeln vorgesehenen Gerät nicht übereinstimmt.

Wenn diese Hürden genommen sind, ist der Einbruch in die verwundbaren Infotainment-Systeme möglich. Angreifer können eigenen Code darauf ausführen. Volkswagen schreibt dazu: „Die Untersuchungen haben außerdem ergeben, dass die Fahrzeugsicherheit zu keinem Zeitpunkt betroffen ist, ebenfalls hat es keine Auswirkungen auf die Integrität des Autos. Eingriffe auf Fahrzeugfunktionen, die über das Infotainment hinausgehen, sind nicht möglich, z.B. also keine Lenkeingriffe, keine Eingriffe in Fahrerassistenzsysteme oder Motor- oder Bremsfunktionen. Diese liegen im Fahrzeug auf einem anderen Steuergerät, welches über seine eigenen Sicherheitsfunktionen ggü. Eingriffen von außen geschützt ist“. Es gebe zudem keine Hinweise, dass die Lücken in freier Wildbahn missbraucht würden.

Der Teil der Einschätzung ist zumindest fragwürdig. Bislang bekannt gewordene Angriffe auf Fahrzeugtechnik gelangen oftmals etwa über einen initialen Einbruch in das Infotainment-System, das mit CAN-Bus/RS485 an weitere Kfz-Elektronik und Steuergeräte angebunden ist. Über den CAN-Bus lassen sich etwa auch Autos starten.

In dem Kontext mit „PerfektBlue“ ist es jedoch weitgehend müßig, über solche Auswirkungen zu sinnieren. Es ist ziemlich unwahrscheinlich, dass die Bedingungen für einen erfolgreichen Angriff vorherrschen. Dennoch sollten PKW-Besitzer sicherstellen, dass sie die Firmware ihrer Head-Units auf den aktuellen Stand bringen.


(dmk)



Source link

Weiterlesen

Beliebt