Definition: Was sind Einrichtungen der kritischen Infrastruktur?
âKritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung fĂŒr das staatliche Gemeinwesen, bei deren Ausfall oder BeeintrĂ€chtigung nachhaltig wirkende VersorgungsengpĂ€sse, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten wĂŒrde.
Die Arbeitsagentur / der Jobcenter fallen dabei nicht in den Bereich Staat / Verwaltung, sondern in den Bereich der Finanzen!
- Sektor Finanz- und Wirtschaftswesen
insbesondere Kreditversorgung der Unternehmen, Bargeldversorgung, Sozialtransfers - Personal der Bundesagentur fĂŒr Arbeit und Jobcenter zur Aufrechterhaltung des Dienstbetriebes
(insbesondere Auszahlung des Kurzarbeitergeldes)
Das es nun so perfide einfach war, in einen hoch sensiblen Bereich der KRITIS âeinzubrechenâ mit alle ihren Folgen, zeigt meiner Meinung nach einmal mehr, wie armseelig es um die Digitalisierung und der digitalen Sicherheit in Deutschland ausschautâŠ!!
Hacker haben, Hacker machen, Hacker im ArbeitsamtâŠ. Ăber die EndgerĂ€te der Benutzer.
SicherheitslĂŒcke bei der Bundesagentur fĂŒr ArbeitâŠManipulationen durch Hacker.
Viel Text aber irgendwie Komplett Falsch, denn Hacker haben schonmal gar nichts am Arbeitsamt Gehackt.
Steht ja sogar im Artikel! Was fĂŒr eine Blödsinnige Verwendung des Begriffs Hacker.
Selbst in der Quelle wird es nur BeilÀufig erwÀhnt.
Es wurde sich Vermutlich ĂŒber Manipulierte EndgerĂ€te der Betroffenen beim Amt eingeloggt und die Daten geĂ€ndert. (So wie es dann irgendwo auch mal steht)
Vielleicht per Trojaner oder Keylogger, wer WeiĂ. Aber sicher nicht HackermĂ€Ăig so mit Schwarzen Handschuhen, Hoodie, Maske im gesicht und im Abgedunkelten Raum sitzend mit GrĂŒnen Zahlen die ĂŒber den Bildschirm rattern.
Wie man die Hacker eben so kennt.
Wo ist hier der Hackerangriff auf das Amt, wo ist die SicherheitslĂŒcke?
Sorry, aber der Artikel ist absolut blöd geschrieben.
Schade fĂŒr ein Tech-IT Board!
Die Arbeitsagentur schreibt selber:
Mitteilung vom 28.03.2025
Ursache hierfĂŒr ist ein Zugriff von unbefugten Dritten auf private EndgerĂ€te von Kundinnen und Kunden, nicht auf Systeme der Bundesagentur fĂŒr Arbeit (BA). Derzeit ist deshalb eine âtechnische Wartungsseiteâ im Bereich der persönlichen Daten auf allen Online-Accounts der BA eingerichtet.
Die BA hat umgehend nach Bekanntwerden mit der technischen und fachlichen Analyse des Sachverhaltes begonnen.
Eine âtechnische Wartungsseiteâ im Bereich der persönlichen Daten wurde geschaltet. Die BA hat alle zustĂ€ndigen Behörden einschlieĂlich Bundesdatenschutzbeauftragten (BfDI) und Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) umgehend informiert.
Ăber 70% der Unkosten fĂŒrs BĂŒrgergeld etc flieĂen nur in die Verwaltung. Von 1 Euro also 70 Cent.
Und arbeiten beim Arbeitsamt? Eher lernen Elefanten das fliegen.
Genau. Ăber den Vorfall gibt es ja viele gleich lautende und nichts sagende Meldungen, alle von der dpa abgeschrieben. Die beste Darstellung habe ich hier gefunden:
https://winfuture.de/news,149957.html
Demnach war es kein Angriff auf âdieâ BfA, sondern auf einzelne Benutzerkonten (âdreistelligâ). Die x-hundert individuellen Angriffe erfolgten ĂŒber kompromittierte EndgerĂ€te der Benutzer/innen oder ĂŒber zuvor kompromittierte Zugangsdaten der Betroffenen zu ihren BfA Konten.
Trozdem trĂ€gt die BfA Mitschuld, weil es offenbar viel zu einfach war, im Benutzerkonto die Nummer des Bankkontos zu Ă€ndern. Anscheinend hat die BfA grundlegende SchutzmaĂnahmen nach den âRegeln der Kunstâ (best practice) nicht implementiert. Ist halt #neuland, gelle?
Was heiĂt denn hier âzu einfachâ?
Wenn du als Nutzer / Kunde die komplette Anmeldeprozedur durchlaufen hast, befindest du dich autom. in deinem eigenen Profil!
Das man in seinem eigenen Profil danach auch Angaben Ă€ndern kann, ist wohl das normalste auf der Welt. Und wenn man seine Bankkontodaten Ă€ndern muss, weil man ein neues Bankkonto hat und trotzdem pĂŒnktlich sein Geld haben will, dann ist das somit möglich. Das war frĂŒher eine Prozedur mit Ănderungsantrag (auf Papier) und Abgabetermin - mit viel Pech hat dann die Bearbeitung dieser Ănderung schon zwei bis vier Wochen gedauertâŠ
Davon abgesehen â Wenn man dort nur die Bankdaten Ă€ndert, bringt das dem Akteur nicht viel, weil der Kontoinhaber nicht mehr stimmt. Ohne Probleme wĂŒrde es doch nur gehen, wenn das kompl. Profil bei der BA entsprechend angepasst wird!
In Punkto Account-Sicherheit im Allgemeinen, hat die BA doch gut gearbeitet.
Das Login funktioniert nur mit folgendem Ablauf:
- Anmeldung per Username / Email + Passwort, dannâŠ
- 2FA oder sogar MFA, dannâŠ
- dritter Schritt mit Passkey und / oder BundID oder eID des Perso, alternativ mit Elster-Zertifikat, dannâŠ
- wenn man möchte â Authentifizierung per Time-based One-time Password (TOTP)
Das sind insgesamt vier Stufen der Absicherung, bis man ĂŒberhaupt da reinkommt!
Wenn ich die verlinkte Meldung (und andere) richtig verstanden habe, dann
- wurden die verschĂ€rften Sicherheitsvorkehrungen vor einem Login erst nach diesem Vorfall (und deswegen) eingefĂŒhrt, und
- sind sie nach wie vor optional, z.B. 2FA.
zu 1.)
NeinâŠ2FA und MFA wurden letzten Herbst, nach einer Beta-Phase, fĂŒr alle Kunden (also Arbeitnehmer & Arbeitgeber) ausgerollt. Das Roll-Out war ca. Anfang Dezember durch und lief dann produktiv! Im Sommer vorab wurden alle existierenden Accounts von âBG-Nummer + Passwortâ auf âBenutzer / Email + Passwortâ umgestellt als vorbereitende MaĂnahme!
Passkey, BundID, eID wurden etwas spÀter in die AnmeldeoberflÀche integriert. Alles zusammen war, meiner Meinung nach, bis Mitte Januar final und lÀuft seitdem.
zu 2.)
Ja, das stimmt. Alles, was nach dem ânormalenâ ersten Login kommt, ist bislang optional (wird aber dringend empfohlen!).
Das hat einen ganz banalen Grund â Man hat es erstmal nicht verpflichtend gemacht, da ansonsten bestimmt 70% der Kunden nicht gewuĂt hĂ€tten, wie das funktioniert und sich z.B. damit selber aus ihren Accounts ausgesperrt hĂ€tten. Dieses Chaos dann zu bereinigen, hat man sich damit erspart. Diejenigen, die es nicht selber hinbekommen, werden das dann bei ihrem nĂ€chsten Termin vor Ort in der Arbeitsagentur / Jobcenter, mit ihrem âFallmanagerâ zusammen durchexerzieren. Man schĂ€tzt seitens der BA, dass auf diesem Weg, bis Ende 2025 oder Anfang 2026, alle Kunden dann komplett im Sicherheitssystem integriert sindâŠ
BTW:
Die BA verwaltet momentan ca. 34 Millionen Kunden!! Nicht nur von den immer genannten 5,5 Millionen Arbeitslosen ausgehen, was viele tun
Siehe dazu â https://statistik.arbeitsagentur.de/