Wenn eine Schwachstelle in ihrem IT-System bekannt wird, behebt die Kölner Stadtverwaltung sie sofort, sagt sie. Ein IT-Spezialist, der jetzt eine Lücke entdeckt hat, hat eine andere Erfahrung gemacht.
Sicherheitslücke im SystemIT-Spezialist deckt Schwachstelle im System der Stadt Köln auf
Laut des IT- Spezialisten Jean Pereira war es in den vergangenen Monaten möglich, interne Daten und Passwörter auf der Website der Kölner Stadtverwaltung mitzulesen. Die Schwachstellen hätte er im Rahmen eines Forschungsprojekts entdeckt.
Seine Erkenntnisse hat er laut eigener Aussage an die Stadt weitergeben wollen und kontaktierte sie am 28. September. „Darauf kam die Antwort, man werde das Problem weitergeben und sich darum kümmern“, erzählt Pereira. Obwohl er aber mehrfach nachgehakt habe, habe die Lücke weiter bestanden.
IT-Spezialist: Sicherheitslücken im System der Kölner Verwaltung?
Weil er den Vorgang so nicht stehen lassen wollte, postete der IT-Spezialist den Vorgang auf Linkedin. Nachdem er den Post veröffentlicht hatte, meldete sich ein Mitarbeiter der Stadt Köln bei Pereira.
„Er fragte mich nach den technischen Details der Schwachstelle“, sagt der Spezialist. Es sei merkwürdig gewesen, dass der Mann für die Kölner Feuerwehr arbeite und nicht für eine direkt zuständige Behörde. Eine Sprecherin der Stadt sagt dazu, dass die Verwaltung von diesem Vorgang keine Kenntnis habe.
Stadt Köln bestreitet Schwachstellen bei der Cybersicherheit
Die Position der Stadt Köln zu dem Vorgang ist widersprüchlich. Auf Anfrage dieser Zeitung antwortete die Stadt zunächst, es gebe keine Sicherheitslücke. Dem „Kölner Stadt-Anzeiger“ wurde jedoch anonym ein Video zugespielt, das die Schwachstelle zeigt. Ein unabhängiger Experte stufte es als plausibel ein.
Mit diesen Informationen konfrontiert, räumt eine Sprecherin der Stadt ein: „Auf eine gemeldete Sicherheitslücke hat das Amt für Informationsverarbeitung entsprechend reagiert.“ Die betroffene Schwachstelle stehe unter Beobachtung.
Bei der Sicherheitslücke geht es um sogenanntes „reflektiertes Cross Site Scripting“. Was genau das ist, weiß Tobias Glemser. Er ist Experte des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) und arbeitet seit Jahrzehnten zum Thema Internetsicherheit. „Bei dieser Technik muss ein Opfer auf einen vom Angreifer präparierten Link zur Webseite der Stadt Köln klicken“, sagt er. Dann werde der Schadcode durch die Schwachstelle auf der Webseite beim Nutzer ausgeführt.
„Der Angreifer kann laut Herrn Pereira so eine nachgebaute Website der Stadt Köln beim Opfer anzeigen und Nutzereingaben mitlesen“, sagt Glemser. Damit sei es potenziell auch möglich, eingegebene Passwörter abzufangen.
IT-Sicherheit: Auch weitere Institutionen waren betroffen
Auch in anderen Fällen stellte Pereira laut eigener Aussage Unternehmen und Stadtverwaltungen technische Details ohne Gegenleistung zur Verfügung. Das bestätigen mehrere betroffene Organisationen auf Anfrage. Auch E-Mails, die dieser Zeitung vorliegen, bekräftigen das.
„Wenn man aber in manchen Fällen nicht mal ein Dankeschön dafür bekommt, motiviert das einen nicht dazu, die Ergebnisse beim nächsten Mal auch weiterzugeben“, sagt er. Viele Hacker gerieten dann in Versuchung, die Informationen stattdessen im Darknet zu verkaufen – was großen Schaden anrichten könne.
Dieses Problem kennt auch Tobias Glemser vom Bundesverband IT-Sicherheit. „Wie Jean Pereira geht es vielen Sicherheitsforschenden: Man findet Schwachstellen und möchte diese frei Haus und in bester Absicht melden. Meist findet man aber keine Ansprechpartner“, sagt Glemser.
Experte beklagt mangelndes Problembewusstein
Man erhalte selten eine Antwort, nur wenige Unternehmen seien am Beheben der Schwachstelle interessiert. „Die Schwachstellen bestehen aber und können in der Zwischenzeit von realen Angreifern genutzt werden, um den Unternehmen und Kund:innen zu schaden“, so der Experte.
Als erster Lösungsansatz könnten die Organisationen Sicherheitsexperten benennen und ansprechbar machen. Dafür gebe es den weltweiten Standard „security.txt“. Bei dem Verfahren wird eine kleine Textdatei auf der Homepage entsprechenden Informationen eingefügt.
Pereira sagt, er sei bereit, der Stadtverwaltung detaillierte Informationen zur Verfügung zu stellen – ohne Gegenleistung. Die Stadt Köln sagt dazu, man werde alle Informationen prüfen, die gesichert zur Verfügung gestellt würden. Eventuelle Sicherheitslücken würden selbstverständlich „sofort geschlossen“.