Inhaltsverzeichnis
BundID – bedrohliche Sicherheitslücke entdeckt
Die BundID, auch bekannt als Nutzerkonto Bund (NKB), dient Bürgern zur Identifikation und Authentifizierung bei Online-Verwaltungsdiensten. Über ein Konto bei der BundID ist es möglich, Online-Anträge bei Bundes-, Landes- und Kommunalbehörden sowie bei mittelbaren Verwaltungen zu stellen. Zudem verfügt die BundID über ein Postfach, das eine sichere Kommunikation zwischen Bürgern und der öffentlichen Verwaltung gewährleisten soll. Hier können Behörden mit Zustimmung der Nutzer auch rechtskräftige Bescheide zustellen. Letzte Woche hat Sicherheitsforscherin Lilith Wittmann, die sich selbst als “Krawall-Influenzerin” bezeichnet, eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, Zugang zur BundID zu erhalten und somit in die Verwaltungsportale hunderter deutscher Kommunen einzudringen.
Was Sie über die BundID-Sicherheitslücke wissen sollten, erfahren Sie in diesem Blogbeitrag.
Security Assertion Markup Language – hier lauert die Schwachstelle
Die aufgedeckte Sicherheitslücke liegt in der Anwendung der Security Assertion Markup Language (SAML) für die Authentifizierung im Rahmen der BundID. SAML, eine Alternative zu OAuth, ermöglicht es Webseiten von Kommunen, Nutzer, die bereits im BundID-System angemeldet sind, automatisch zu erkennen und ihnen das wiederholte Anmelden zu ersparen. Obwohl SAML generell als sicher gilt, weist die Sicherheitsforscherin Wittmann darauf hin, dass die korrekte Implementierung komplex ist. Dies stellt besonders für hunderte kommunale Ämter, die mit der BundID arbeiten müssen, eine Herausforderung dar und erhöht das Risiko von Implementierungsfehlern. Ein solcher Fehler trat bei der Software OpenR@thaus des Dienstleisters ITEBO aus Osnabrück auf, die in vielen Kommunen genutzt wird.
Nach Angaben von Wittmann versuchte der Hersteller, eine Benutzerfreundlichkeitsfunktion zum SAML-Protokoll hinzuzufügen, die Nutzer nach dem Login direkt auf die passende Webseite weiterleitet. Dies führte jedoch zu einem schwerwiegenden Fehler, der es ermöglichte, Nutzer auf beliebige Webseiten umzuleiten. Um das potenzielle Vorgehen eines Angreifers zu demonstrieren, erstellte Wittmann in nur einer Stunde mit Hilfe von KI eine gefälschte Verwaltungsseite, die in der Lage gewesen wäre, persönliche Daten von Bürgern zu sammeln, vor allem, wenn diese durch das Versprechen eines Heizkostenzuschusses angelockt worden wären. Durch diesen lokalen Implementierungsfehler wurden sämtliche in der BundID gespeicherten Nutzerdaten gefährdet.
Das zuständige Innenministerium reagierte jedoch schnell und stellte das betroffene System innerhalb weniger Stunden ab. Wittmann hatte die Schwachstelle am Freitagabend öffentlich über X gemeldet, und bis Sonntagmorgen wurde das Problem behoben.
Weitere Sicherheitslücke in dieser Woche entdeckt
Obwohl der Dienstleister nach der ersten Sicherheitsmeldung Maßnahmen ergriff, gelang es ihm nicht, sein System vollständig zu sichern. Zu Beginn dieser Woche entdeckte Wittmann eine weitere Schwachstelle. Diese Sicherheitslücke ist auf eine acht Jahre alte, weitgehend ignorierte Anfälligkeit in der Open-Source-CMS-Software Liferay zurückzuführen, die in OpenR@thaus verwendet wird. Nachdem diese neue Schwachstelle gemeldet wurde, mussten alle kommunalen Dienste, die OpenR@thaus verwenden, vorübergehend offline genommen werden. Wittmann zufolge enthält das System vermutlich noch weitere Schwächen. Doch was ist OpenR@thaus eigentlich?
Was ist OpenR@thaus?
Die Verwaltungsdienstleistungen erleben einen Wandel: von analog zu digital, von manuell zu automatisiert und von tagelangen Wartezeiten zu sofortigen Auskünften. Mit der Einführung des Onlinezugangsgesetzes (OZG) im Jahr 2017 hat die Bundesregierung die Weichen für eine Ausweitung des Onlineangebots öffentlicher Dienstleistungen gestellt. Es wurden klare Rahmenbedingungen für das Servicekonto, den Portalverbund und die Authentifizierungsverfahren festgelegt. Heute lassen sich standardisierte Dienstleistungen über die Portallösung OpenR@thaus halb- oder sogar vollautomatisch online abwickeln und abschließen. OpenR@thaus bietet zentral Zugriff auf wesentliche Funktionen wie ein zentrales Bürgerkonto, Anbindungen an Zahlungsdienstleister wie pmPayment, die Integration der elektronischen Identität (eID) und die Vernetzung mit dem Portalverbund des Bundes.
Derzeit sind die OpenR@thaus-Serviceportale wegen möglicher Cyberangriffe offline. Es wurden keine personenbezogenen Daten abgegriffen.
So schützen Sie sich vor Cyberbedrohungen
In der heutigen digital vernetzten Welt sind Cyberbedrohungen allgegenwärtig. Vom einfachen Computervirus bis hin zu komplexen Ransomware-Angriffen – die Gefahren im Internet sind vielfältig und können gravierende Folgen für Ihre persönlichen Daten und Ihre finanzielle Sicherheit haben. Um sich effektiv vor diesen Bedrohungen zu schützen, ist der Einsatz von Antivirensoftware unerlässlich.
Antivirensoftware ist eine spezielle Software, die entwickelt wurde, um Malware zu erkennen, zu verhindern und zu entfernen. Malware ist ein Überbegriff für schädliche Software wie Viren, Würmer, Trojaner, Ransomware und Spyware, die darauf abzielen, Ihre Geräte zu infizieren und Ihre Daten zu stehlen oder zu beschädigen. Ohne eine wirksame Antivirensoftware setzen Sie sich einem hohen Risiko aus, Opfer solcher Cyberangriffe zu werden.
Wenn Sie Antivirensoftware online günstig kaufen möchten, sind Sie bei Softwarekaufen24 genau richtig. Wir bieten Ihnen effiziente Antivirensoftware namhafter Hersteller zu einem überzeugenden Preis-Leistungs-Verhältnis an.