Beim Klimabonus ist eine Sicherheitslücke entdeckt worden, die nach dem Hinweis eines privaten Hackers behoben werden konnte. Konkret hätten durch die missbräuchliche Verwendung von gefälschten Ausweisen einzelne Daten zum Auszahlungsstatus des Klimabonus abgefragt werden können, darunter die Bankleitzahl oder auch die Höhe des Klimabonus, teilte das Klimaschutzministerium in einer Aussendung mit.
Durch die rechtzeitige Behebung der Schwachstelle sei sichergestellt worden, dass keinerlei Daten von Bürgern abgeflossen seien. Ein sogenannter Ethical Hacker hatte beim Testen der Klimabonus-Webseite die mögliche Sicherheitslücke im Zusammenhang mit der automatischen Überprüfung von Ausweisen entdeckt und umgehend das Klimaschutzministerium darüber informiert. Eine umfassende, externe Überprüfung hat ergeben, dass es keine Anhaltspunkte für ein Ausnutzen der Lücke gibt.
Klimaschutzministerium hat auch Datenschutzbehörde informiert
Das Tool diente eigentlich dazu, Bürgern niederschwellige Informationen über den Erhalt ihres Klimabonus zur Verfügung zu stellen. Es wurde offline genommen, um in weiterer Folge sämtliche Sicherheitslücken zu beheben. Für niederschwellige Informationen zum Klimabonus steht weiterhin die Service-Hotline unter 0800 8000 80 zur Verfügung.
Im Zuge der gebotenen Vorsichtsmaßnahmen hat das Klimaschutzministerium auch die Datenschutzbehörde informiert. Diese hat das entsprechende Verfahren mittlerweile eingestellt, da keinerlei Daten abgeflossen sind und sofort alle entsprechenden Maßnahmen gesetzt wurden. Zusätzlich wurden externe Experten mit einer neuerlichen Prüfung des Sachverhaltes beauftragt. Auch diese Prüfung kam zum Ergebnis, dass keinerlei Daten von Bürgern abgeflossen sind.
Als Ergebnis dieses Vorfalls und auf Empfehlung von epicenter.works arbeitet das Klimaschutzministerium nun daran, ein Programm einzurichten, mit dem Menschen, die das Ministerium auf Sicherheitsverbesserungen aufmerksam machen, eine Belohnung bekommen.