Hackerangriff auf Arbeitsamt: Angreifer manipulieren Kundenkonten


Kommentare zu folgendem Beitrag: Hackerangriff auf Arbeitsamt: Angreifer manipulieren Kundenkonten

Definition: Was sind Einrichtungen der kritischen Infrastruktur?

„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung fĂŒr das staatliche Gemeinwesen, bei deren Ausfall oder BeeintrĂ€chtigung nachhaltig wirkende VersorgungsengpĂ€sse, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten wĂŒrde.

Die Arbeitsagentur / der Jobcenter fallen dabei nicht in den Bereich Staat / Verwaltung, sondern in den Bereich der Finanzen!

  • Sektor Finanz- und Wirtschaftswesen
    insbesondere Kreditversorgung der Unternehmen, Bargeldversorgung, Sozialtransfers
  • Personal der Bundesagentur fĂŒr Arbeit und Jobcenter zur Aufrechterhaltung des Dienstbetriebes
    (insbesondere Auszahlung des Kurzarbeitergeldes)

Das es nun so perfide einfach war, in einen hoch sensiblen Bereich der KRITIS „einzubrechen“ mit alle ihren Folgen, zeigt meiner Meinung nach einmal mehr, wie armseelig es um die Digitalisierung und der digitalen Sicherheit in Deutschland ausschaut
!!
:-1: :-1: :-1:

Hacker haben, Hacker machen, Hacker im Arbeitsamt
. Über die EndgerĂ€te der Benutzer.
SicherheitslĂŒcke bei der Bundesagentur fĂŒr Arbeit
Manipulationen durch Hacker.

Viel Text aber irgendwie Komplett Falsch, denn Hacker haben schonmal gar nichts am Arbeitsamt Gehackt.
Steht ja sogar im Artikel! Was fĂŒr eine Blödsinnige Verwendung des Begriffs Hacker.
Selbst in der Quelle wird es nur BeilÀufig erwÀhnt.

Es wurde sich Vermutlich ĂŒber Manipulierte EndgerĂ€te der Betroffenen beim Amt eingeloggt und die Daten geĂ€ndert. (So wie es dann irgendwo auch mal steht)
Vielleicht per Trojaner oder Keylogger, wer Weiß. Aber sicher nicht HackermĂ€ĂŸig so mit Schwarzen Handschuhen, Hoodie, Maske im gesicht und im Abgedunkelten Raum sitzend mit GrĂŒnen Zahlen die ĂŒber den Bildschirm rattern.
Wie man die Hacker eben so kennt.

Wo ist hier der Hackerangriff auf das Amt, wo ist die SicherheitslĂŒcke?
Sorry, aber der Artikel ist absolut blöd geschrieben.
Schade fĂŒr ein Tech-IT Board!

1 Like

Die Arbeitsagentur schreibt selber:

Mitteilung vom 28.03.2025

Ursache hierfĂŒr ist ein Zugriff von unbefugten Dritten auf private EndgerĂ€te von Kundinnen und Kunden, nicht auf Systeme der Bundesagentur fĂŒr Arbeit (BA). Derzeit ist deshalb eine „technische Wartungsseite“ im Bereich der persönlichen Daten auf allen Online-Accounts der BA eingerichtet.

Die BA hat umgehend nach Bekanntwerden mit der technischen und fachlichen Analyse des Sachverhaltes begonnen.

Eine „technische Wartungsseite“ im Bereich der persönlichen Daten wurde geschaltet. Die BA hat alle zustĂ€ndigen Behörden einschließlich Bundesdatenschutzbeauftragten (BfDI) und Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) umgehend informiert.

Über 70% der Unkosten fĂŒrs BĂŒrgergeld etc fließen nur in die Verwaltung. Von 1 Euro also 70 Cent.

Und arbeiten beim Arbeitsamt? Eher lernen Elefanten das fliegen.

Genau. Über den Vorfall gibt es ja viele gleich lautende und nichts sagende Meldungen, alle von der dpa abgeschrieben. Die beste Darstellung habe ich hier gefunden:

https://winfuture.de/news,149957.html

Demnach war es kein Angriff auf „die“ BfA, sondern auf einzelne Benutzerkonten (‚dreistellig‘). Die x-hundert individuellen Angriffe erfolgten ĂŒber kompromittierte EndgerĂ€te der Benutzer/innen oder ĂŒber zuvor kompromittierte Zugangsdaten der Betroffenen zu ihren BfA Konten.
Trozdem trĂ€gt die BfA Mitschuld, weil es offenbar viel zu einfach war, im Benutzerkonto die Nummer des Bankkontos zu Ă€ndern. Anscheinend hat die BfA grundlegende Schutzmaßnahmen nach den ‚Regeln der Kunst‘ (best practice) nicht implementiert. Ist halt #neuland, gelle? :nauseated_face:

1 Like

Was heißt denn hier „zu einfach“?
Wenn du als Nutzer / Kunde die komplette Anmeldeprozedur durchlaufen hast, befindest du dich autom. in deinem eigenen Profil!
Das man in seinem eigenen Profil danach auch Angaben Ă€ndern kann, ist wohl das normalste auf der Welt. Und wenn man seine Bankkontodaten Ă€ndern muss, weil man ein neues Bankkonto hat und trotzdem pĂŒnktlich sein Geld haben will, dann ist das somit möglich. Das war frĂŒher eine Prozedur mit Änderungsantrag (auf Papier) und Abgabetermin - mit viel Pech hat dann die Bearbeitung dieser Änderung schon zwei bis vier Wochen gedauert


Davon abgesehen → Wenn man dort nur die Bankdaten Ă€ndert, bringt das dem Akteur nicht viel, weil der Kontoinhaber nicht mehr stimmt. Ohne Probleme wĂŒrde es doch nur gehen, wenn das kompl. Profil bei der BA entsprechend angepasst wird!

In Punkto Account-Sicherheit im Allgemeinen, hat die BA doch gut gearbeitet.
Das Login funktioniert nur mit folgendem Ablauf:

  • Anmeldung per Username / Email + Passwort, dann

  • 2FA oder sogar MFA, dann

  • dritter Schritt mit Passkey und / oder BundID oder eID des Perso, alternativ mit Elster-Zertifikat, dann

  • wenn man möchte → Authentifizierung per Time-based One-time Password (TOTP)

Das sind insgesamt vier Stufen der Absicherung, bis man ĂŒberhaupt da reinkommt!

Wenn ich die verlinkte Meldung (und andere) richtig verstanden habe, dann

  1. wurden die verschĂ€rften Sicherheitsvorkehrungen vor einem Login erst nach diesem Vorfall (und deswegen) eingefĂŒhrt, und
  2. sind sie nach wie vor optional, z.B. 2FA.

zu 1.)

Nein
2FA und MFA wurden letzten Herbst, nach einer Beta-Phase, fĂŒr alle Kunden (also Arbeitnehmer & Arbeitgeber) ausgerollt. Das Roll-Out war ca. Anfang Dezember durch und lief dann produktiv! Im Sommer vorab wurden alle existierenden Accounts von „BG-Nummer + Passwort“ auf „Benutzer / Email + Passwort“ umgestellt als vorbereitende Maßnahme!
Passkey, BundID, eID wurden etwas spÀter in die AnmeldeoberflÀche integriert. Alles zusammen war, meiner Meinung nach, bis Mitte Januar final und lÀuft seitdem.

zu 2.)

Ja, das stimmt. Alles, was nach dem „normalen“ ersten Login kommt, ist bislang optional (wird aber dringend empfohlen!).
Das hat einen ganz banalen Grund → Man hat es erstmal nicht verpflichtend gemacht, da ansonsten bestimmt 70% der Kunden nicht gewußt hĂ€tten, wie das funktioniert und sich z.B. damit selber aus ihren Accounts ausgesperrt hĂ€tten. Dieses Chaos dann zu bereinigen, hat man sich damit erspart. Diejenigen, die es nicht selber hinbekommen, werden das dann bei ihrem nĂ€chsten Termin vor Ort in der Arbeitsagentur / Jobcenter, mit ihrem „Fallmanager“ zusammen durchexerzieren. Man schĂ€tzt seitens der BA, dass auf diesem Weg, bis Ende 2025 oder Anfang 2026, alle Kunden dann komplett im Sicherheitssystem integriert sind


BTW:

Die BA verwaltet momentan ca. 34 Millionen Kunden!! Nicht nur von den immer genannten 5,5 Millionen Arbeitslosen ausgehen, was viele tun :wink:

Siehe dazu → https://statistik.arbeitsagentur.de/