IT-Blamage: Chat des Bundeskanzleramts war für jeden zugänglich

    27. April 2018, 13:41
    150 Postings

    Keine Schranken bei Registrierung, teils interne Kommunikation abrufbar – Problem mittlerweile behoben

    Mobil mit Arbeitskollegen in Kontakt zu bleiben kann per E-Mail einigermaßen mühsam sein. Daher hat in der österreichischen Verwaltung in den vergangenen Jahren Whatsapp Einzug gehalten – inoffiziell freilich. Seit geraumer Zeit wird allerdings an einer Ablöse gearbeitet. Eine Chat-App namens "Ucom" soll Mitarbeiter des Bundeskanzleramts und der Verwaltung miteinander vernetzen und besseren Datenschutz gewährleisten.

    Open-Source-Lösung statt Whatsapp

    Die Einführung wurde noch unter der rot-schwarzen Koalition beschlossen, im Juni 2016 ging das System erstmals in Betrieb. Nun ist allerdings eine Panne passiert, die es jedem Besucher der Ucom-Seite ermöglichte, in den Behördenchat einzusteigen.

    Ucom basiert auf dem Fairchat des Vorarlberger Unternehmens Fairkom. Dieser wiederum setzt auf dem Open-Source-Chatserver Rocketchat auf. Betreut wird die Implementation für die Verwaltung von der Fairkom als auch von Mitarbeitern des Bundesministeriums für Digitalisierung und Wirtschaftsstandort (BMDW).

    screenshot: ucom

    Einstieg mit (fast) jeder E-Mail-Adresse

    Eigentlich, so erklärte man bei der Fairkom gegenüber dem STANDARD, sei die Plattform so konfiguriert, dass man sich nur mit einer dem Bund zuordenbaren E-Mail-Adresse (Domain endend auf ".gv.at") registrieren und auch erst nach manueller Freischaltung einloggen könne. Die erste Schranke wurde jedoch aufgehoben, um auch externen Kontakten Zugang ermöglichen zu können, war aus dem BMDW zu erfahren.

    Es war möglich, sich mit praktisch jeder beliebigen E-Mail-Adresse auf dem Portal zu registrieren und einzuloggen, ohne auch nur den anschließend verschickten Bestätigungslink für die Verifizierung der E-Mail-Adresse anklicken zu müssen. Nach dem Einstieg hatte man Zugriff auf rund 20 verschiedene öffentliche Kanäle, die von allen eingeloggten Nutzern eingesehen und genutzt werden können. Diese dienten zum Teil dem Sammeln von Problemen und Anregungen zur Chatplattform selber. In manchen war allerdings auch interne Kommunikation deponiert.

    screenshot: ucom

    Interne Kommunikation zu "nervöser" Ministerin

    In einem Kanal wurde etwa ein Interview mit Wirtschaftsministerin Margarete Schramböck in der "ZiB 2" vom Jänner diskutiert. Daraus ist zu entnehmen, dass sich Schramböck offenbar nicht an die Empfehlungen eines Briefings gehalten habe. Die Mitarbeiter des Ministeriums beurteilen ihren Auftritt als "nervös".

    In einem anderen Kanal finden sich angehängte Dateien, die wahrscheinlich zu Testzwecken hochgeladen wurden, darunter Bundesgesetzblätter, eine Videoaufnahme einer Berglandschaft und eine Audioaufzeichnung der Einleitung eines Ö1-"Morgenjournal"-Beitrags über ein Messerattentat in Frankreich. Inhalte von hoher Brisanz waren in den einsehbaren Chats allerdings nicht zu finden.

    Auch private Gruppen möglich

    Die Plattform unterstützt auch die Einrichtung privater Gruppen, die nicht für jeden sichtbar sind und erst auf Einladung durch den jeweiligen Gründer betreten werden können. Da Ucom laut Fairkom bereits vom Bundeskanzleramt intensiv genutzt wird, die öffentlichen Gruppen abseits technischen Feedbacks aber relativ leer sind, ist davon auszugehen, dass die Ressorts darüber ihren internen Austausch abwickeln.

    Sich Zugang zu diesen zu verschaffen hätte Kenntnis über die Organisationsstruktur vorausgesetzt. Denkbar wäre etwa gewesen, sich als ein Mitarbeiter des Bundes auszugeben und dessen E-Mail-Adresse anzugeben – faktisch also Identitätsklau. Das hätte allerdings nur funktioniert, wenn diese Adresse nicht bereits bei ucom registriert gewesen wäre.

    Bei Fairkom und dem Ministerium betont man, dass ucom derzeit ausschließlich für informelle Kommunikation genutzt wird und nicht für klassifizierte Inhalte. Eine Erweiterung sei in Zukunft aber möglich.

    foto: derstandard.at/pichler

    Login wurde für Online-Meeting geöffnet

    Das Problem wurde mittlerweile behoben, der Zugang zu Ucom ist nun erst wieder nach Bestätigung der E-Mail-Adresse und manueller Freischaltung möglich, die zur Recherche angelegten Testaccounts wurden deaktiviert.

    Der freie Login war laut Auskunft des Ministeriums aufgrund eines Online-Meetings rund zwei Tage lang möglich, da man externen Teilnehmern unkompliziert den Beitritt zur Plattform ermöglichen wollte, um an Videokonferenzen teilzunehmen. Dies sei auch in der Vergangenheit immer wieder kurzfristig so gemacht worden. In Zukunft wolle man das Prozedere aber "strenger handhaben". (Georg Pichler, 27.4.2018)

    Update, 13:55 Uhr: Stellungnahme aus dem Ministerium ergänzt.

    Share if you care.