Als vergangene Woche das Land Niederösterreich in einer Presseaussendung bekanntgegeben hat, eine "fälschungs- und hacksichere Jugend-App" zu veröffentlichen, die Jugendlichen als digitaler Ausweis dienen sollte, wurde auf Twitter bereits heftig über deren Sicherheit diskutiert.

Sicherheit nicht gewährleistet

Wie sich am Wochenende herausstellen sollte, entspricht die angeblich hacksichere App doch nicht den vorgegebenen Sicherheitsstandards und Ambitionen in Richtung Fälschungssicherheit. In puncto Sicherheit hätte man sich mit dem Innenministerium und dem Bundeskriminalamt beraten. Die Hacker von Anonymous Austria haben auf Twitter darauf aufmerksam gemacht, dass die Sicherheit dieser App alles andere als gewährleistet ist.

SQL-Injection

Die Aktivisten machen sich darüber lustig, dass die App von angeblichen Experten auf ihre Sicherheit getestet worden sei. Für die App mitverantwortlich soll die Firma Bedengler gewesen sein, deren Server laut AnonAustria nicht sonderlich gut abgesichert seien. Durch einfache SQL-Injections ließen sich in MD5 gehashte Passwörter auslesen. Mittlerweile haben die Betreiber die Server vom Netz genommen, nachdem auch der ORF darüber berichtet hatte.

Daten von altem Projekt

Laut Jugendlandesrat Karl Wilfing habe man bereits Sicherheitsupdates am Server ausgeführt, den Angriff analysiert und ein Update für die App vorbereitet. Auf Anfrage des WebStandards bei Bedengler heißt es, dass es sich bei den Sicherheitsupdates nur um eine Vorsichtsmaßnahme handle. Die Daten, die von AnonAustria entwendet und veröffentlicht wurden, sollen von einem alten Projekt stammen, deren Daten zufällig auf demselben Server liegen wie die Website von Bedengler. Der Hack selbst hätte mit der Jugendapp nichts zu tun, so Bernhard Dengler.

Niemand zuständig

Wie wurden die Sicherheitstests bzw. die Beratung mit dem Innenministerium und dem Bundeskriminalamt durchgeführt? Eine Antwort darauf zu bekommen ist nicht einfach, denn das Bundeskriminalamt verweist bei der Zuständigkeit auf die Landespolizeidirektion Niederösterreich. Dort wisse man allerdings nichts von einem Hack der Jugend-App und verweist weiter auf Karl-Heinz Grundböck, den Sprecher des Innenministeriums. Auf Anfrage bei Grundböck heißt es, das Land Niederösterreich sei in der Causa zuständig. 

"Jugend-App-Daten sind verschlüsselt"

Niederösterreich-Sprecher Florian Liehr beteuert in einem Telefonat, dass es sich bei den Daten, die Anonymous veröffentlicht hat, nicht um Jugend-App-Daten handelt. "Die Jugend-App selbst wurde nicht gehackt", so Liehr. Wie Dengler, dessen eigenes System offensichtlich nicht sicher ist, an den Auftrag gekommen ist, ist nicht klar. Liehr selbst weiß nicht, wer den Auftrag nach der Ausschreibung erteilt hat, da mehrere Bundesländer in die Vergabe involviert waren. Die Jugend-App-Daten, so Liehr, liegen verschlüsselt auf einem Server, der von der Jugendinfo Österreich gemietet wird. Auf Denglers Servern befinden sie sich also nicht. Dass man die Server dennoch nach einem Angriffsversuch offline genommen hat, sei eine bloße Vorsichtsmaßnahme, um weitere Sicherheitsmaßnahmen vorzunehmen. 

Kein HTTPS

AnonAustria hat auf die Aussagen von Liehr reagiert und meint, dass der Schlüssel zu den Daten in Plaintext übermittelt wird, also kein HTTPS verwendet wird. Zudem habe das Hackerkollektiv nie versucht, den App-Server zu hacken, da dies "nicht nötig" ist. Die Daten liegen laut AnonAustria auf einem deutschen "Billigserver". Ein Screenshot der dekompilierten App an die Redaktion zeigt, dass tatsächlich kein HTTPS verwendet wird. "Das angekündigte Update wird dann vermutlich auf HTTPS umstellen", so die Mitglieder von AnonAustria weiter. (iw, derStandard.at, 28.10.2013)