Sicherheitslücken in der Verwaltungs-IT des Bundes aufgedeckt

Erneut hat Lilith Wittmann, eine Forscherin im Bereich IT-Sicherheit, bedeutende Schwierigkeiten in der Verwaltungs-IT des Bundes aufgedeckt. Dieses Mal handelt es sich um die sogenannte BundID, die den Zugriff auf das Bürgerkonto und somit auf digitale Verwaltungsdienstleistungen ermöglicht. Allerdings fehlen derzeit oft noch Dienstleistungen, die bereits mit der BundID, die bald den Namen DeutschlandID tragen soll, kompatibel sind. Zusätzlich treten nun auch Sicherheitslücken in den bereits vorhandenen Funktionen auf.

In der letzten Woche hat die Sicherheitsforscherin Lilith Wittmann, die sich selbst gerne als “Krawall-Influencerin” bezeichnet, eine Schwachstelle entdeckt. Diese eröffnet Angreifern Zugang zur BundID und somit zu den Verwaltungsportalen von zahlreichen deutschen Kommunen. Die Schwachstelle liegt in der Umsetzung der Security Assertion Markup Language (SAML), einer Alternative zu OAuth, die bei der BundID als Authentifizierungsmethode verwendet wird. Auf diese Weise kann die Website einer Kommune einen Nutzer, der im BundID-System angemeldet ist, erkennen, sodass er sich nicht für jede lokale Seite erneut anmelden muss.

Obwohl SAML im Allgemeinen als sicher gilt, ist es laut Wittmann schwierig, es korrekt zu implementieren. Da hunderte kommunale Ämter gezwungen sind, dies zu tun, um mit der BundID kompatibel zu sein, ist es wahrscheinlich, dass irgendjemand einen Fehler begeht. Dies ist genau das, was bei der Software OpenR@thaus des Dienstleisters ITEBO aus Osnabrück geschehen ist, die offenbar in zahlreichen Kommunen verwendet wird. Gemäß Wittmann plante der Hersteller, eine praktische Funktion zum SAML-Protokoll hinzuzufügen, die es den Nutzern ermöglicht, nach dem Login direkt auf die richtige Webseite weitergeleitet zu werden. Bedauerlicherweise unterliefen den Entwicklern dabei Fehler, die es ermöglichten, sich nach dem Login auf jede beliebige Webseite weiterleiten zu lassen.

Um zu demonstrieren, wie ein Angreifer vorgehen könnte, erstellte Wittmann mithilfe von KI innerhalb einer Stunde eine gefälschte Verwaltungsseite, über die sie persönliche Daten von Bürgern hätte abfangen können. Zumindest dann, wenn sie den Verlockungen dieser Seite erlegen wären, die mit einem Heizkostenzuschuss von mehreren tausend Euro lockte. Durch eine Schwachstelle in einer örtlichen Umsetzung wurden sämtliche Daten eines Nutzers, die in der BundID enthalten sind, gefährdet.

Das zuständige Innenministerium reagierte jedoch prompt und deaktivierte das System mit der Schwachstelle innerhalb weniger Stunden. Wittmann hatte die Lücke am Freitagabend öffentlich auf Twitter gemeldet, und am Sonntagmorgen war das Problem schließlich behoben. Jedoch scheint es, dass der betroffene Dienstleister es nicht geschafft hat, seine Software vollständig abzusichern, da Wittmann zu Beginn dieser Woche erneut eine Sicherheitslücke im betroffenen System entdeckte. Dieses Problem ist auf eine Sicherheitslücke in der quelloffenen CMS-Software Liferay zurückzuführen, die seit über acht Jahren besteht und offenbar bisher wenig Beachtung gefunden hat. Diese Software wird bei OpenR@thaus verwendet. Nachdem diese neue Sicherheitslücke gemeldet wurde, sind vorübergehend alle kommunalen Dienstleistungen, die auf OpenR@thaus basieren, offline geschaltet worden. Gemäß Wittmann scheint das System noch weitere Schwachstellen aufzuweisen.

Generell ist sie nicht besonders überzeugt von der gesamten Idee der BundID/DeutschlandID: Eine zentrale ID als Vertrauensanker der Verwaltung hält sie für keine gute Idee. Sie ist der Meinung, dass Kommunen keine Dienstleistungen mit irgendwelchen Identitätssystemen auf ihrer Webseite benötigen. Um Situationen, in denen eine eindeutige staatliche Identität online und sofort festgestellt werden muss, zu bewältigen, sollte der Personalausweis einfach verwendet werden.

Im Jahr 2021 erlangte Lilith Wittmann in IT-Sicherheitskreisen deutschlandweit Bekanntheit, als sie eine Sicherheitslücke in der CDU-App aufdeckte.

Schlagwörter: Lilith Wittmann + BundID + SAML

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 20. Juni 2024