Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Zu spät gepatcht: Digitalministerium verschläft kritisches Sicherheitsupdate

Das Digitalministerium hat trotz mehrfacher Warnungen rund eine Woche lang damit gewartet, eine kritische Sicherheitslücke zu schließen.
/ Marc Stöckel
8 Kommentare News folgen (öffnet im neuen Fenster)
Das Digital- und Verkehrsministerium hat Warnungen vor einer Schwachstelle tagelang ignoriert. (Bild: ODD ANDERSEN/AFP via Getty Images)
Das Digital- und Verkehrsministerium hat Warnungen vor einer Schwachstelle tagelang ignoriert. Bild: ODD ANDERSEN/AFP via Getty Images

Das Digital- und Verkehrsministerium von Bundesminister Volker Wissing (FDP) ist Medienberichten zufolge von einer bekannten Sicherheitslücke im Endpoint Manager Mobile (EPMM) von Ivanti betroffen gewesen – und hat sich trotz entsprechender Warnungen mehrere Tage Zeit gelassen, diese zu schließen. So berichtete etwa der Spiegel(öffnet im neuen Fenster) , ein anonymer Hacker habe die Schwachstelle ausgenutzt, um Telefonnummern aus dem System abzugreifen und diese an die Redaktion der Süddeutschen Zeitung(öffnet im neuen Fenster) zu übermitteln.

Erst am Montag habe das zuständige Personal die Sicherheitslücke durch ein Update geschlossen, nachdem sich die Zeitung den Hinweisen folgend an das Ministerium gewandt hatte. Demnach habe das Digitalministerium die Schwachstelle rund "eine Woche lang ignoriert" , nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 25. Juli davor gewarnt hatte.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Ein Patch stand seit einer Woche bereit

Es handelte sich offenbar um die Lücke (CVE-2023-35078), über die das Softwareunternehmen Ivanti schon am 24. Juli aufgeklärt hatte(öffnet im neuen Fenster) und die bereits mehreren norwegischen Ministerien zum Verhängnis geworden war . Ein Sicherheitsupdate stand seither bereit und hätte unmittelbar installiert werden können.

Mit einem CVSS von 10 erreicht die Sicherheitslücke in Ivantis EPMM, einer Verwaltungsanwendung für Mobiltelefone, das obere Ende der Skala und ist folglich als besonders kritisch eingestuft. Angreifer können dabei ohne jegliche Authentifizierung auf bestimmte API-Pfade der Software zugreifen und darüber mitunter persönliche Informationen wie Namen und Telefonnummern sowie Details zu den mobilen Geräten der Benutzer abrufen.

Auch das Zollkriminalamt war spät dran

Laut der Süddeutschen Zeitung war das Digitalministerium nicht die einzige Behörde, die sich mit dem Einspielen des Sicherheitsupdates Zeit ließ. Auch das Zollkriminalamt soll die Lücke erst am Dienstag geschlossen haben, wodurch die Daten der Mitarbeiter für mehrere Tage ungeschützt über das Internet abrufbar waren.

Zur Startseite 8 Kommentare

Relevante Themen

SecuritySicherheitslückeUpdates & PatchesDatensicherheitDatenleckAPIBSI