![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
In Teil 1 des zweiteiligen Sammelbeitrags hatte ich auf die Risiken hingewiesen, die von elektronischen Schlie\u00dfsystemen bzw. Systemen zur Zugangskontrolle ausgehen k\u00f6nnen, wenn diese am Internet h\u00e4ngen. Aber auch Systeme zur Zeiterfassung, die per Internet erreichbar sind, fallen in diese Kategorie, sofern Dienstleister diese\u00a0 allzu sorglos eingerichtet haben.<\/p>\n
<\/p>\n
Am Markt tummeln sich eine ganze Reihe an Anbietern von Systemen zur Zeiterfassung. H\u00e4ufig werden diese elektronischen Systeme an das Internet angebunden, um eine komfortable Zeiterfassung zu erm\u00f6glichen. Blog-Leser haben mich bereits vor vielen Monaten auf zwei unsch\u00f6ne Sachverhalte hingewiesen. Die Hersteller versehen die Software zur Zeiterfassung mit Standard-Benutzernamen und -Passwort, welches bei der Inbetriebnahme durch den Dienstleister oder Betreiber angepasst werden muss.<\/p>\n Genau dieser Sachverhalt wird bei der Inbetriebnahme der Systeme zur Zeiterfassung \u00fcbersehen oder ignoriert. Das f\u00fchrt dazu, dass Unbefugte mit den Standard-Zugangsdaten in die im Internet erreichbaren Systeme zur Zeiterfassung eindringen k\u00f6nnen.<\/p>\n Das Ganze ist zwar nach\u00a0\u00a7 202c StGB<\/a> (Hackerparagraph<\/a>) in Deutschland strafbar, was aber die Sicherheitsl\u00fccke nicht schlie\u00dft, sondern h\u00f6chstens unbedarfte Gem\u00fcter mit dem Gesetz in Konflikt bringt. Daher haben sich zwei Blog-Leser, die als IT-Dienstleister t\u00e4tig sind, bei mir gemeldet und unabh\u00e4ngig voneinander auf den Sachverhalt, dass Systeme zur Zeiterfassung mit Standardzugangsdaten am Internet h\u00e4ngen, hingewiesen.<\/p>\n Ich habe dann die Funktion als Mittler \u00fcbernommen und die Hersteller der betreffenden Systeme kontaktiert und gebeten, die Kunden auf diesen Sachverhalt hinzuweisen. Von beiden Herstellern gab es die R\u00fcckmeldung, dass man diesem Thema nachgehen werde. Nach einer mehrmonatigen Karenzzeit lege ich diesen Sachverhalt nun offen.<\/p>\n TiMaS ist ein System zur DSGVO-konforme Zeiterfassung der mess-elektronik-gro\u00df GmbH. Mit dem System lassen sich Arbeitszeiten per App, PC oder Terminal digital erfassen, planen und abrechnen.<\/p>\n Klingt gut, und ist in vielen Organisationen im Einsatz. Problem scheint aber die Inbetriebnahme durch Dienstleister oder die Betreiber zu sein. Der Hersteller bietet auch Systeme zur Zutrittskontrolle an, so dass die nachfolgend skizzierte Problematik auch dort auftreten k\u00f6nnte.<\/p>\n Im Sommer 2024 kontaktierte mich ein Blog-Leser, und schrieb, dass er aufgrund eines Installationsproblems bei einem Kunden Informationen \u00fcber die Zeiterfassung der Firma TiMaS ben\u00f6tigte.\u00a0Eine kurze Suche \u00fcber Google warf auch diverse Treffer von IP-Adressen der Anmeldeseiten von TiMaS-Installationen aus (siehe obiges Bild). W\u00e4hlt man diese Links in der Suchergebnisseite aus, gelangt man zur Anmeldeseite der betreffenden Installation (siehe folgender Screenshot).<\/p>\n So weit kein Problem. Zum Problem werden aber zwei Sachverhalte. Aus obigem Screenshot ist ersichtlich, dass in der vorliegenden Implementierung alle Zugangsdaten bei der Anmeldung unverschl\u00fcsselt per http \u00fcbertragen, also durch Man-in-the-middle-Angriffe mitgelesen werden k\u00f6nnen.<\/p>\n Aber es gibt einen kritischeren Sachverhalt. Der Anbieter versieht den Zugang mit Standard-Kennw\u00f6rtern und Benutzernamen, damit ein Administrator das System einrichten kann. Leider sieht es so aus, dass die Dienstleister, die die Systeme in Betrieb nehmen, diese Standard-Zugangsdaten nicht \u00e4ndern. Der Leser schrieb, dass er stichprobenartig diese Zugangsdaten \u00fcberpr\u00fcft habe und sofort Zugriff auf die Zeiterfassung einer Firma erhielt.<\/p>\n Wegen der oben erw\u00e4hnten Komplikationen mit \u00a7 202c StGB wurde der Zugriff direkt abgebrochen und der Leser hat mich kontaktiert. Ich habe dann die mess elektronik gross GmbH bez\u00fcglich des Sachverhalts kontaktiert und folgende Antwort erhalten:<\/p>\n vielen Dank f\u00fcr Ihre Nachricht. In der Tat sind wir sehr darum bem\u00fcht, dass unsere Kunden f\u00fcr den Schutz personenbezogener Daten sensibilisiert werden.<\/p>\n Wir kommunizieren auf verschiedenen Wegen, als ersten Schritt und in regelm\u00e4\u00dfigen Abst\u00e4nden die Passw\u00f6rter zu \u00e4ndern. Leider sind nicht alle Kunden darum bem\u00fcht und so findet man \u00fcber die Google-Suche zahlreiche \u00fcber das Internet erreichbare Server, bei denen vermutlich noch das Initialpasswort funktioniert.<\/p>\n In neueren Versionen (seit ca. Anfang 2024) wird der Kunde beim ersten Login dazu gezwungen, ein eigenes Passwort zu vergeben. Somit konnten wir einen Teil zur zus\u00e4tzlichen Sicherheit beitragen.<\/p>\n Ich bedanke mich bei Ihnen, dass Sie uns darauf aufmerksam gemacht haben. Wir werden zuk\u00fcnftig in unseren Schulungen der Kunden noch eindringlicher auf das Thema eingehen.<\/p><\/blockquote>\n Der Sachverhalt ist also zwischenzeitlich etwas entsch\u00e4rft, ich gehe aber davon aus, dass immer noch Altsysteme mit den Standard-Zugangsdaten per Internet erreichbar sind. Die Betreiber sind f\u00fcr die Sicherheit und einen m\u00f6glichen DSGVO-Versto\u00df verantwortlich.<\/p>\n Ein weiterer Anbieter von Systemen zur Zeiterfassung (z.B. Time 3010) ist die AZS System AG. Nachfolgend ist ein Screenshot der Webseite dieses Anbieters zu sehen, der auch Systeme zur Zutrittskontrolle anbietet. Daher k\u00f6nnte die nachfolgend skizzierte Problematik auch dort auftreten.<\/p>\n Anfang Januar 2025 kontaktierte mich ein Blog-Leser mit dem Hinweis, dass er auf ein Problem im Zusammenhang mit einer Zeiterfassung gesto\u00dfen sei. Beim Blog-Leser wird die obige L\u00f6sung von AZB beim Arbeitgeber eingesetzt und er administriert diese Systeme.<\/p>\n Durch einen Zufall ist er auf die Zeiterfassung dieses Herstellers einer Gemeinde gesto\u00dfen, die per Internet erreichbar war. Da er das gleiche System im Einsatz betreut, hat er testweise versucht, sich mit den standardm\u00e4\u00dfigen Admin-Zugangsdaten (Benutzername\/Passwort) anzumelden \u2013 leider mit Erfolg.<\/p>\n Aus Sorge um die Sicherheit der Daten war zwar das Ziel, die Gemeinde \u00fcber das entdeckte Problem zu informieren. Denn das System war in diesem Zustand ungesichert. Auch hier hat der Blog-Leser wegen der durch den Hackerparagraphen drohenden Konsequenzen Bedenken, mit der Kommune Kontakt aufzunehmen.<\/p>\n Auch hier habe ich \"als Proxy\" die Aufgabe \u00fcbernommen, dem Sachverhalt nachzugehen. Ich habe allerdings nicht die Gemeinde kontaktiert, sondern im ersten Schritt die Presseabteilung des BSI kontaktiert. Dieser Ansatz blieb aber ergebnislos – so dass ich\u00a0den Hersteller des Systems, die AZS System AG, Anfang Januar 2025 direkt per Mail kontaktiert und auf den Sachverhalt hingewiesen habe. Die Antwort der Gesch\u00e4ftsleitung lautete:<\/p>\n Vielen lieben Dank f\u00fcr Ihren Hinweis! Wir teilen Ihren kritischen Blick auf die Situation und haben dieses Thema daher bereits in unserem F\u00fchrungs-JourFixe *** als Top-Thema platziert.<\/p>\n Ist es Ihnen m\u00f6glich uns den Ihnen bekannten Kundennamen mitzuteilen, damit wir mit unseren Ansprechpartnern des Kunden diese L\u00fccke schlie\u00dfen k\u00f6nnen?<\/p><\/blockquote>\n Die mir bekannten Kundennahmen habe ich, samt URLs zum Zugang zur Zeiterfassung ,dem Anbieter in einer Nachtrags-Mail\u00a0genannt und gebeten, das Problem der nicht angepassten Standard-Zugangsdaten in einer Kundeninformation aufzugreifen.<\/p>\n Gleichzeitig hatte ich mitgeteilt, dass ich \"in den kommenden Wochen\" eine Ver\u00f6ffentlichung im Blog plane und eine Dead-Line bis zum 31. M\u00e4rz 2025 gesetzt. Nachdem nun mehrere Monate verstrichen sind und auf eine Nachfrage meinerseits zum Stand durch die AZS System AG nicht reagiert wurde, lege ich den Sachverhalt jetzt offen.<\/p>\n Der Beitrag ist als Erinnerung f\u00fcr IT-Administratoren und Dienstleister, die f\u00fcr Zeiterfassung oder Zugangskontrolle verantwortlich sind, zu verstehen, doch die Administrations-Zugangsdaten bzw. Passw\u00f6rter zu pr\u00fcfen und die Standardvorgaben der Hersteller zu \u00e4ndern.<\/p>\n Zum 1. September 2025 erreichte mich die folgende Stellungnahme der AZS System AG – offenbar wurde ich bez\u00fcglich der Kommunikation \"schlicht vergessen\". Hier die Stellungnahme:<\/p>\n Vielleicht k\u00f6nnen Sie die weitere Entwicklung noch erg\u00e4nzen, da wir uns nach Ihrem Hinweis gr\u00f6\u00dfte M\u00fche gegeben haben die Problematik zu erledigen und L\u00f6sungen zu finden, die \u00fcber das blo\u00dfe \u00e4ndern der Passw\u00f6rter in den betroffenen Systemen hinausgeht.<\/p>\n Was wurde getan?<\/p>\n 1. Wir haben noch in der Woche der Kontaktaufnahme angefangen alle Kunden zu kontaktieren und nicht nur auf die Problematik hingewiesen, sondern die Passw\u00f6rter zusammen mit dem Kunden ge\u00e4ndert.<\/p>\n 2.\u00a0Wir haben zudem sofort die Software angepasst, damit kein Standardpasswort mehr bestehen bleibt. Mit der Version aus Februar ist es nicht mehr m\u00f6glich, dass Standardpasswort zu behalten. Auch Kunden die updaten werden zur Passwort\u00e4nderung aufgefordert. So soll auch k\u00fcnftig verhindert werden, dass es nochmal zu angreifbaren Systemen kommt.<\/p>\n 3. Au\u00dferdem haben wir Anpassungen des WebService vorgenommen, dieser sollte von Suchmaschinen k\u00fcnftig nicht mehr indexiert werden.<\/p>\n Es ist also faktisch nicht ganz richtig, dass wir nicht reagiert haben. Wir haben die Priorit\u00e4t allerdings klar bei unseren Kunden gesehen und haben dabei anscheinend leider vers\u00e4umt Ihnen den Ausgang der Geschichte mitzuteilen.<\/p><\/blockquote>\n Artikelreihe<\/strong> \u00c4hnliche Artikel<\/strong> In Teil 1 des zweiteiligen Sammelbeitrags hatte ich auf die Risiken hingewiesen, die von elektronischen Schlie\u00dfsystemen bzw. Systemen zur Zugangskontrolle ausgehen k\u00f6nnen, wenn diese am Internet h\u00e4ngen. Aber auch Systeme zur Zeiterfassung, die per Internet erreichbar sind, fallen in diese … Weiterlesen Arbeitgeber (mit mehr als 10 Mitarbeitern) sind zur Zeiterfassung ihrer Mitarbeiter verpflichtet. Dazu gibt es einerseits das sogenannte \"Stechuhr-Urteil\" des europ\u00e4ischen Gerichtshofs (EuGH) vom 14. Mai 2019 – C-55\/18. Dort stellte der EuGH fest, dass Arbeitgeber verpflichtet sind, die Arbeitszeiten ihrer Arbeitnehmer zu erfassen (siehe diese IHK-Seite). Zudem gibt es seit 2022 eine gesetzlich Pflicht zur Zeiterfassung f\u00fcr Arbeitnehmer, wie man z.B. bei Weka<\/a> nachlesen kann.<\/p>\n
Zeiterfassung mit TiMaS und Standardzugang<\/h2>\n
![\"TiMaS](\"https:\/\/i.postimg.cc\/gJmV58ZR\/image.png\")
<\/p>\nEin Leserhinweis auf Probleme<\/h3>\n
![\"TiMaS-Anmeldeseite\"](\"https:\/\/i.postimg.cc\/BnDYPQdQ\/image.png\")
<\/p>\nKontakt mit dem Hersteller<\/h3>\n
Zeiterfassung von AZB<\/h2>\n
![\"AZB](\"https:\/\/i.postimg.cc\/Ls8JcDsz\/image.png\")
<\/p>\nEin Leserhinweis auf ein Problem<\/h3>\n
![\"Zeiterfassung](\"https:\/\/i.postimg.cc\/Ss7tnc8N\/image.png\")
<\/p>\nStellungnahme des Herstellers<\/h3>\n
Erg\u00e4nzung zum 1.9.2025<\/h2>\n
\nZugangs- und Schlie\u00dfsysteme mit Internetanbindung als Risiko – Teil 1<\/a>
\nSysteme zur Zeiterfassung mit Internetanbindung als Risiko – Teil 2<\/a><\/p>\n
\nBSI-Warnung vor ABUS HomeTec Pro CFA 3000-T\u00fcrschloss<\/a>
\nHotel-Check-In-System: Schwachstelle CVE-2024-37364 in Ariane Allegro Scenario Player legt Daten offen<\/a>
\nIBIS-Hotel: Check-In-Terminal gibt Zugangsdaten fremder Zimmer aus<\/a>
\nUnsaflok: Millionen Hotelt\u00fcren lassen sich durch Sicherheitsl\u00fccken \u00f6ffnen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"