Die Schweizer ICT-Branche ächzt unter Fachkräftemangel. Das Problem ist so gravierend, dass das Parlament deswegen sogar das Ausländergesetz lockern will. Dennoch kann es vorkommen, dass arbeitssuchende ICT-Fach- und -Kaderleute nicht sofort einen neuen Job finden. Das Schweizerische Arbeiterhilfswerk (SAH) hat deshalb die Plattform "ICT Standortbestimmung" ins Leben gerufen.

Auf dieser durchlaufen stellensuchende ICT-Fachkräfte ein Bewerbungstraining und -Coaching, um eine möglichst erfolgversprechende Strategie für die Jobsuche zu entwickeln. Dafür setzt das SAH auf Standortbestimmungen, Coachings und verschiedene Module, die je nach Bedarf belegt werden können. Jeder einzelne Schritt wird protokolliert und digital auf der Plattform festgehalten.

Ein arbeitsuchender Security-Spezialist wurde von seinem Regionalen Arbeitsvermittlungszentrum (RAV) an "ICT Standortbestimmung" überwiesen. Dabei machte er jedoch eine haarsträubende Entdeckung. "Sämtliche Daten, alle persönlichen Informationen, Lebensläufe, Berichte zu Coachings und noch vieles mehr waren ungeschützt zugänglich", sagte er gegenüber inside-it.ch.

Bereits beim ersten Login habe er ein mulmiges Gefühl im Bauch gespürt, sagte der Security-Experte. Dieser Verdacht habe sich bestätigt, als er die Seite mit Securityheaders.com überprüft habe. Als Resultat wurde "Rating F" angezeigt – das ist gleich schlecht, wie der gehackte Homeland-Security-Anbieter Xplain in den Wochen vor dem katastrophalen Cyberangriff abgeschnitten hat. Deshalb nahm der Security-Experte die Webseite genauer unter die Lupe.

Über die Webkonsole konnte er sowohl seine eigene als auch die Identitätsnummer seines Coaches einsehen. Danach musste er nur noch die entsprechende ID in den vorgesehenen Teil der Internetadresse kopieren und konnte so ohne Login auf sämtliche Daten seines Coaches und dessen Dossiers zugreifen. Über den Javacode gelang es ihm zudem, einen Zeitplan der Mitarbeitenden einzusehen, der ihm wiederum 360 neue IDs mit Terminen und allen Dokumenten zeigte.

Für den Security-Experten ist es wichtig zu betonen, dass er kein Hacking oder eine Brute-Force-Attacke durchgeführt habe. Er habe lediglich über die Änderung an der URL auf die Daten zugreifen können, versichert er. Als Beweis für das Datenleck hat er sich nach eigenen Angaben 2 Dokumente aus dem Programm heruntergeladen.

Die Plattform wurde vom SAH zusammen mit Digicomp Academy entwickelt. Auf Nachfrage bestätigten die beiden Organisationen die Sicherheitslücke: "Das Datenleck wurde von einem Nutzer der Plattform mit fortgeschrittenen technischen Kenntnissen entdeckt", schreibt uns Christoph Höinghaus, Co-CEO beim IT-Schulungsanbieter.

Unmittelbar nach dem Bekanntwerden des Datenlecks habe man Sofortmassnahmen ergriffen und die Applikation wenig später offline genommen. Zudem seien die Logdaten durch externe IT-Forensiker geprüft worden. Diese haben gemäss dem Anbieter aber keine Anzeichen für einen Datenabfluss feststellen können.

Möglich war der Zugriff durch einen Softwarefehler, der im Zusammenhang mit der Sitzungsverwaltung (Session Handling) steht, schreibt Digicomp. Bis dahin war die Schwachstelle jedoch unbekannt. "Gemäss Vorgaben wurde die Datenschutzbeauftragte des Kantons Zürich informiert", schreibt Christoph Höinghaus weiter.

In einem weiteren Schritt wurden dann die betroffenen Personen informiert. Gemäss dem SAH sollen auf der Plattform 1500 Profile gespeichert worden sein.