Zurück

| Anfrage: Sicherheit ALLRIS

Die „ZEIT Online“ hat mit Hilfe eines IT-Sicherheitsanalysten die ALLRIS-Portale diverser Städte untersucht und ist dabei teilweise auf gravierende Sicherheitslücken gestoßen. So konnten beispielsweise nichtöffentliche Dokumente durch die Veränderung der Dokumentennummer im Link eingesehen werden. Weiterhin konnten Nutzerkonten übernommen werden, weil die Nutzer das Standardpasswort nicht geändert hatten bzw. die Passwörter sehr einfach zu knacken waren. Die FDP-Fraktion nimmt dies zum Anlass die folgenden Fragen zu stellen:

  1. Sind dem HABIT die Erkenntnisse von „ZEIT Online“ zu Datensicherheitsproblemen im ALLRIS-System bekannt und wie wurde auf diese Erkenntnisse reagiert?
  1. Besteht im Hagener System ebenfalls die Möglichkeit, dass ein Nutzer mehrmals eingeloggt ist?
  1. Besteht im Hagener System ebenfalls die Gefahr, dass Standardpasswörter, die vom Nutzer nicht geändert wurden, durch Dritte aus der Datenbank ausgelesen werden?
  1. Erfolgt an die ALLRIS-Nutzer eine Belehrung über die Auswahl und Nutzung hinreichend langer Passwörter? Die Verwaltung selbst vergibt nach unserer Erfahrung meist kurze Passwörter bis zu 8 Zeichen. Welches ist die Maximallänge eines Passworts für das Hagener ALLRIS? Warum werden bisher kurze Passwörter vergeben?
  1. Gemäß Berichterstattung von netzpolitik.org waren bisherige Versionen von ALLRIS für Cross-Site-Scripting anfällig. Ist das Hagener System auf dem aktuellsten Stand, so dass dieser Angriffsvektor geblockt wird?
  1. Gab es in der Vergangenheit Sicherheitsprobleme bzgl. des Hagener Systems oder sind momentan weitere Sicherheitslücken bekannt? Sind Angriffe auf das Hagener ALLRIS-System bekannt?
  1. Fanden in der Vergangenheit externe Sicherheits-Audits statt oder sind diese zukünftig geplant?

Quellen:

http://www.zeit.de/digital/datenschutz/2017-11/rathaus-gemeinde-daten-ratsinformationssystem-hack

https://netzpolitik.org/2017/it-in-den-rathaeusern-sicherheitsluecken-wohin-man-schaut/

Zurück