Definition: Was sind Einrichtungen der kritischen Infrastruktur?
„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würde.
Die Arbeitsagentur / der Jobcenter fallen dabei nicht in den Bereich Staat / Verwaltung, sondern in den Bereich der Finanzen!
- Sektor Finanz- und Wirtschaftswesen
insbesondere Kreditversorgung der Unternehmen, Bargeldversorgung, Sozialtransfers - Personal der Bundesagentur für Arbeit und Jobcenter zur Aufrechterhaltung des Dienstbetriebes
(insbesondere Auszahlung des Kurzarbeitergeldes)
Das es nun so perfide einfach war, in einen hoch sensiblen Bereich der KRITIS „einzubrechen“ mit alle ihren Folgen, zeigt meiner Meinung nach einmal mehr, wie armseelig es um die Digitalisierung und der digitalen Sicherheit in Deutschland ausschaut…!!
Hacker haben, Hacker machen, Hacker im Arbeitsamt…. Über die Endgeräte der Benutzer.
Sicherheitslücke bei der Bundesagentur für Arbeit…Manipulationen durch Hacker.
Viel Text aber irgendwie Komplett Falsch, denn Hacker haben schonmal gar nichts am Arbeitsamt Gehackt.
Steht ja sogar im Artikel! Was für eine Blödsinnige Verwendung des Begriffs Hacker.
Selbst in der Quelle wird es nur Beiläufig erwähnt.
Es wurde sich Vermutlich über Manipulierte Endgeräte der Betroffenen beim Amt eingeloggt und die Daten geändert. (So wie es dann irgendwo auch mal steht)
Vielleicht per Trojaner oder Keylogger, wer Weiß. Aber sicher nicht Hackermäßig so mit Schwarzen Handschuhen, Hoodie, Maske im gesicht und im Abgedunkelten Raum sitzend mit Grünen Zahlen die über den Bildschirm rattern.
Wie man die Hacker eben so kennt.
Wo ist hier der Hackerangriff auf das Amt, wo ist die Sicherheitslücke?
Sorry, aber der Artikel ist absolut blöd geschrieben.
Schade für ein Tech-IT Board!
1 „Gefällt mir“
Die Arbeitsagentur schreibt selber:
Mitteilung vom 28.03.2025
Ursache hierfür ist ein Zugriff von unbefugten Dritten auf private Endgeräte von Kundinnen und Kunden, nicht auf Systeme der Bundesagentur für Arbeit (BA). Derzeit ist deshalb eine „technische Wartungsseite“ im Bereich der persönlichen Daten auf allen Online-Accounts der BA eingerichtet.
Die BA hat umgehend nach Bekanntwerden mit der technischen und fachlichen Analyse des Sachverhaltes begonnen.
Eine „technische Wartungsseite“ im Bereich der persönlichen Daten wurde geschaltet. Die BA hat alle zuständigen Behörden einschließlich Bundesdatenschutzbeauftragten (BfDI) und Bundesamt für Sicherheit in der Informationstechnik (BSI) umgehend informiert.
Über 70% der Unkosten fürs Bürgergeld etc fließen nur in die Verwaltung. Von 1 Euro also 70 Cent.
Und arbeiten beim Arbeitsamt? Eher lernen Elefanten das fliegen.
Genau. Über den Vorfall gibt es ja viele gleich lautende und nichts sagende Meldungen, alle von der dpa abgeschrieben. Die beste Darstellung habe ich hier gefunden:
https://winfuture.de/news,149957.html
Demnach war es kein Angriff auf „die“ BfA, sondern auf einzelne Benutzerkonten (‚dreistellig‘). Die x-hundert individuellen Angriffe erfolgten über kompromittierte Endgeräte der Benutzer/innen oder über zuvor kompromittierte Zugangsdaten der Betroffenen zu ihren BfA Konten.
Trozdem trägt die BfA Mitschuld, weil es offenbar viel zu einfach war, im Benutzerkonto die Nummer des Bankkontos zu ändern. Anscheinend hat die BfA grundlegende Schutzmaßnahmen nach den ‚Regeln der Kunst‘ (best practice) nicht implementiert. Ist halt #neuland, gelle? 
1 „Gefällt mir“
Was heißt denn hier „zu einfach“?
Wenn du als Nutzer / Kunde die komplette Anmeldeprozedur durchlaufen hast, befindest du dich autom. in deinem eigenen Profil!
Das man in seinem eigenen Profil danach auch Angaben ändern kann, ist wohl das normalste auf der Welt. Und wenn man seine Bankkontodaten ändern muss, weil man ein neues Bankkonto hat und trotzdem pünktlich sein Geld haben will, dann ist das somit möglich. Das war früher eine Prozedur mit Änderungsantrag (auf Papier) und Abgabetermin - mit viel Pech hat dann die Bearbeitung dieser Änderung schon zwei bis vier Wochen gedauert…
Davon abgesehen → Wenn man dort nur die Bankdaten ändert, bringt das dem Akteur nicht viel, weil der Kontoinhaber nicht mehr stimmt. Ohne Probleme würde es doch nur gehen, wenn das kompl. Profil bei der BA entsprechend angepasst wird!
In Punkto Account-Sicherheit im Allgemeinen, hat die BA doch gut gearbeitet.
Das Login funktioniert nur mit folgendem Ablauf:
- Anmeldung per Username / Email + Passwort, dann…
- 2FA oder sogar MFA, dann…
- dritter Schritt mit Passkey und / oder BundID oder eID des Perso, alternativ mit Elster-Zertifikat, dann…
- wenn man möchte → Authentifizierung per Time-based One-time Password (TOTP)
Das sind insgesamt vier Stufen der Absicherung, bis man überhaupt da reinkommt!
Wenn ich die verlinkte Meldung (und andere) richtig verstanden habe, dann
- wurden die verschärften Sicherheitsvorkehrungen vor einem Login erst nach diesem Vorfall (und deswegen) eingeführt, und
- sind sie nach wie vor optional, z.B. 2FA.
zu 1.)
Nein…2FA und MFA wurden letzten Herbst, nach einer Beta-Phase, für alle Kunden (also Arbeitnehmer & Arbeitgeber) ausgerollt. Das Roll-Out war ca. Anfang Dezember durch und lief dann produktiv! Im Sommer vorab wurden alle existierenden Accounts von „BG-Nummer + Passwort“ auf „Benutzer / Email + Passwort“ umgestellt als vorbereitende Maßnahme!
Passkey, BundID, eID wurden etwas später in die Anmeldeoberfläche integriert. Alles zusammen war, meiner Meinung nach, bis Mitte Januar final und läuft seitdem.
zu 2.)
Ja, das stimmt. Alles, was nach dem „normalen“ ersten Login kommt, ist bislang optional (wird aber dringend empfohlen!).
Das hat einen ganz banalen Grund → Man hat es erstmal nicht verpflichtend gemacht, da ansonsten bestimmt 70% der Kunden nicht gewußt hätten, wie das funktioniert und sich z.B. damit selber aus ihren Accounts ausgesperrt hätten. Dieses Chaos dann zu bereinigen, hat man sich damit erspart. Diejenigen, die es nicht selber hinbekommen, werden das dann bei ihrem nächsten Termin vor Ort in der Arbeitsagentur / Jobcenter, mit ihrem „Fallmanager“ zusammen durchexerzieren. Man schätzt seitens der BA, dass auf diesem Weg, bis Ende 2025 oder Anfang 2026, alle Kunden dann komplett im Sicherheitssystem integriert sind…
BTW:
Die BA verwaltet momentan ca. 34 Millionen Kunden!! Nicht nur von den immer genannten 5,5 Millionen Arbeitslosen ausgehen, was viele tun 
Siehe dazu → https://statistik.arbeitsagentur.de/