Schon im September zeigte ein Experte der Kölner Verwaltung Sicherheitslücken auf ihrer Webseite. Doch es kam bis heute zu keiner Verbesserung. Nun äußerte sich der Experte öffentlich und die Stadt reagiert.
Im Überblick:
- IT-Experte Jean Pereira entdeckt eine Sicherheitslücke auf der Webseite der Kölner Stadtverwaltung.
- Nach drei Monaten der Nichtbehebung äußert sich Pereira öffentlich und die Stadt reagiert.
- Ein Vorfall, der in Deutschland kein Einzelfall ist, sagt ein Vertreter des Bundesverbands für IT-Sicherheit.
Jean Pereira hat innerhalb eines Forschungsprojekt interne Daten und Passwörter der Stadtverwaltung mitlesen können. Grund war eine Sicherheitslücke im IT-System der Stadt.
Das ist passiert:
- Ende September 2022 hatte Pereira die Stadtverwaltungsofort über die von ihm entdeckte Sicherheitslücke benachrichtigt.
- Man sagte ihm, das Problem würde sofort behoben. Nach drei Monaten konnte Pereira die Daten immernoch einsehen.
- Nun veröffentlichte der Informatiker die Schwachstelle auf „LinkedIn“. Daraufhin meldete sich ein Mitarbeiter der Stadt bei ihm.
- Der Mann arbeitete jedoch nicht direkt für die Verwaltung, sondern für die Kölner Feuerwehr.
Das sagt die Stadt:
Auf Anfrage des „Kölner Stadt-Anzeigers“ dementierte die Stadtverwaltung eine solche Lücke.
- Später hieß es dann doch: „Auf eine gemeldete Sicherheitslücke hat das Amt für Informationsverarbeitung entsprechend reagiert“.
- Der aktuelle Stand: Die Stadt prüft nun die Behauptungen und will sofort alle Lücken im Sicherheitssystem schließen.
Das Problem im Detail:
Die Sicherheitslücke ist eine Scheinwebseite, die sich über die eigentliche Seite der Stadt Köln schiebt. Tobias Glemser, Experte beim Bundesverband für IT-Sicherheit, kennt das Problem.
- Klickt das Opfer auf einen präparierten Link, der angeblich auf die Webseite der Stadt führt,öffnet sich eine gefälschte Seite, bei der Dritte alle Eingabedaten mitlesen können.
Ein fehlendes Problembewusstsein für Cyberangelegenheiten ist laut Glemser nicht nur bei der Stadt Köln vorhanden. Viele Unternehmen haben entweder keine Interesse oder kein Personal, um sich diesen Angelegenheiten anzunehmen.
- „Wie Jean Pereira geht es vielen Sicherheitsforschenden: Man findet Schwachstellen und möchte diese frei Haus und in bester Absicht melden. Meist findet man aber keine Ansprechpartner“, so Glemser.
- Sein Lösungsvorschlag: Einen klaren Ansprechpartner für Sicherheitsbelange bereitstellen.
Alle News findet ihr ab sofort auch in der soköln.-App, und in unseren WhatsApp-Kanälen für ganz Köln, oder für dein Veedel – einfach anklicken und abonnieren: Innenstadt, Ehrenfeld, Lindenthal, Nippes, Kalk, Mülheim, Chorweiler, Porz, Rodenkirchen.