IT-Sicherheitslücke bei Klimabonus entdeckt: Sind meine Daten betroffen?
Nach dem Hinweis eines privaten Hackers wurde beim Klimabonus eine mögliche Sicherheitslücke entdeckt. Dadurch hätten Kriminelle an sensible Daten kommen können. Die Sicherheitslücke konnte bereits behoben werden.
Ein sogenannter „Ethical Hacker“ hatte beim Testen der Klimabonus Webseite eine mögliche Sicherheitslücke im Zusammenhang mit der automatischen Überprüfung von Ausweisen entdeckt und umgehend das Klimaschutzministerium darüber informiert, heißt es am heutigen Freitag in einer Aussendung vom Bundesministerium. Konkret hätten durch die missbräuchliche Verwendung von gefälschten Ausweisen einzelne Daten zum Auszahlungsstatus des Klimabonus abgefragt werden können, darunter die Bankleitzahl oder auch die Höhe des Klimabonus. Das Tool diente eigentlich dazu, Bürger niederschwellige Informationen über den Erhalt ihres Klimabonus zur Verfügung zu stellen.
Schaden verhindert: Keine Daten betroffen
Eine umfassende, externe Überprüfung hatte ergeben, dass es keine Anhaltspunkte für ein Ausnutzen der Lücke gibt. Durch die engagierte Arbeit des Hackers wurde also eine mögliche Schwachstelle behoben, bevor Schaden entstehen konnte. Durch die rasche Zusammenarbeit konnte die Schwachstelle sofort identifiziert und beseitigt werden. Das Tool wurde offline genommen, um in weiterer Folge sämtliche Sicherheitslücken zu beheben. Für niederschwellige Informationen zum Klimabonus steht den Bürgern weiterhin die Service Hotline unter 0800 8000 80 zur Verfügung.
Im Zuge der gebotenen Vorsichtsmaßnahmen hat das Klimaschutzministerium auch die Datenschutzbehörde informiert. Diese hat das entsprechende Verfahren mittlerweile eingestellt, da keinerlei Daten abgeflossen sind und sofort alle entsprechenden Maßnahmen gesetzt wurden. Zusätzlich wurden externe Experten mit einer neuerlichen Prüfung des Sachverhaltes beauftragt. Auch diese Prüfung kam zum Ergebnis, dass keinerlei Daten von Bürgern abgeflossen sind.
Belohnung für Fehler-Finder geplant
Als Ergebnis dieses Vorfalls und auf Empfehlung von epicenter.works arbeitet das Klimaschutzministerium nun daran, ein Programm einzurichten, mit dem Menschen, die das Ministerium auf Sicherheitsverbesserungen aufmerksam machen, eine Belohnung bekommen. Ein so genanntes „Bug Bounty“-Programm sieht Vorteile für Personen vor, die Fehler in Webseiten oder Applikationen finden und die entsprechenden Institutionen im Rahmen einer Ethical Disclosure darüber informieren. Mit einer Disclosure Policy wird darüber hinaus auch Rechtssicherheit für ethische Hacker geschaffen. Diese Vorgehensweise ist im IT-Bereich international mittlerweile Standard. Daran wird sich auch das Klimaschutzministerium orientieren. Darüber hinaus wird diese Thematik auch in der CDO-Task Force des Bundes eingebracht werden. Die Task Force ist eine Arbeitsgruppe der Chief Digital Officer aller Ressorts. Joachim Tischler, stellvertretender Chief Digital Officer des Bundes sagt: „Diese geschlossene Sicherheitslücke ist ein Vorzeigebeispiel dafür, wie verschiedene Institutionen und engagierte IT-Kenner:innen erfolgreich zusammenarbeiten können, um die Daten von Bürger:innen zu schützen. Dank des Hinweises im Rahmen einer Ethical Disclosure konnten wir im BMK rasch reagieren und den Datenschutz für alle Bürger:innen gewährleisten. Das Klimaschutzministerium wird sich in den nächsten Wochen für ein „Bug Bounty“-Programm im Ressort einsetzen, damit dieser wichtige Dienst an der Öffentlichkeit auch honoriert werden kann.“
Klimabonus 2024
Bis zu 290 Euro bringt der Klimabonus 2024, womit die Zahlung etwas höher ausfällt, als noch im Vorjahr. Konkret wird es je nach Wohnort zwischen 145 und 290 Euro geben. Mehr dazu liest du hier: Klimabonus 2024: Diese Karte zeigt, wie viel Geld du heuer bekommst. Der Bonus wird übrigens wieder regional gestaffelt ausbezahlt. Dabei gilt: Je weiter die Alltagswege sind und je weniger Infrastrukturen (zum Beispiel öffentlicher Verkehr) in der jeweiligen Gemeinde angeboten werden, desto mehr Geld bekommt man. Die Auszahlung startete heuer am 2. September 2024.