Inhaltsverzeichnis
Die BundID, auch bekannt als Nutzerkonto Bund (NKB), dient Bürgern zur Identifikation und Authentifizierung bei Online-Verwaltungsdiensten. Über ein Konto bei der BundID ist es möglich, Online-Anträge bei Bundes-, Landes- und Kommunalbehörden sowie bei mittelbaren Verwaltungen zu stellen. Zudem verfügt die BundID über ein Postfach, das eine sichere Kommunikation zwischen Bürgern und der öffentlichen Verwaltung gewährleisten soll. Hier können Behörden mit Zustimmung der Nutzer auch rechtskräftige Bescheide zustellen. Letzte Woche hat Sicherheitsforscherin Lilith Wittmann, die sich selbst als “Krawall-Influenzerin” bezeichnet, eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, Zugang zur BundID zu erhalten und somit in die Verwaltungsportale hunderter deutscher Kommunen einzudringen.
Was Sie über die BundID-Sicherheitslücke wissen sollten, erfahren Sie in diesem Blogbeitrag.
Die aufgedeckte Sicherheitslücke liegt in der Anwendung der Security Assertion Markup Language (SAML) für die Authentifizierung im Rahmen der BundID. SAML, eine Alternative zu OAuth, ermöglicht es Webseiten von Kommunen, Nutzer, die bereits im BundID-System angemeldet sind, automatisch zu erkennen und ihnen das wiederholte Anmelden zu ersparen. Obwohl SAML generell als sicher gilt, weist die Sicherheitsforscherin Wittmann darauf hin, dass die korrekte Implementierung komplex ist. Dies stellt besonders für hunderte kommunale Ämter, die mit der BundID arbeiten müssen, eine Herausforderung dar und erhöht das Risiko von Implementierungsfehlern. Ein solcher Fehler trat bei der Software OpenR@thaus des Dienstleisters ITEBO aus Osnabrück auf, die in vielen Kommunen genutzt wird.
Nach Angaben von Wittmann versuchte der Hersteller, eine Benutzerfreundlichkeitsfunktion zum SAML-Protokoll hinzuzufügen, die Nutzer nach dem Login direkt auf die passende Webseite weiterleitet. Dies führte jedoch zu einem schwerwiegenden Fehler, der es ermöglichte, Nutzer auf beliebige Webseiten umzuleiten. Um das potenzielle Vorgehen eines Angreifers zu demonstrieren, erstellte Wittmann in nur einer Stunde mit Hilfe von KI eine gefälschte Verwaltungsseite, die in der Lage gewesen wäre, persönliche Daten von Bürgern zu sammeln, vor allem, wenn diese durch das Versprechen eines Heizkostenzuschusses angelockt worden wären. Durch diesen lokalen Implementierungsfehler wurden sämtliche in der BundID gespeicherten Nutzerdaten gefährdet.
Das zuständige Innenministerium reagierte jedoch schnell und stellte das betroffene System innerhalb weniger Stunden ab. Wittmann hatte die Schwachstelle am Freitagabend öffentlich über X gemeldet, und bis Sonntagmorgen wurde das Problem behoben.
Obwohl der Dienstleister nach der ersten Sicherheitsmeldung Maßnahmen ergriff, gelang es ihm nicht, sein System vollständig zu sichern. Zu Beginn dieser Woche entdeckte Wittmann eine weitere Schwachstelle. Diese Sicherheitslücke ist auf eine acht Jahre alte, weitgehend ignorierte Anfälligkeit in der Open-Source-CMS-Software Liferay zurückzuführen, die in OpenR@thaus verwendet wird. Nachdem diese neue Schwachstelle gemeldet wurde, mussten alle kommunalen Dienste, die OpenR@thaus verwenden, vorübergehend offline genommen werden. Wittmann zufolge enthält das System vermutlich noch weitere Schwächen. Doch was ist OpenR@thaus eigentlich?
Die Verwaltungsdienstleistungen erleben einen Wandel: von analog zu digital, von manuell zu automatisiert und von tagelangen Wartezeiten zu sofortigen Auskünften. Mit der Einführung des Onlinezugangsgesetzes (OZG) im Jahr 2017 hat die Bundesregierung die Weichen für eine Ausweitung des Onlineangebots öffentlicher Dienstleistungen gestellt. Es wurden klare Rahmenbedingungen für das Servicekonto, den Portalverbund und die Authentifizierungsverfahren festgelegt. Heute lassen sich standardisierte Dienstleistungen über die Portallösung OpenR@thaus halb- oder sogar vollautomatisch online abwickeln und abschließen. OpenR@thaus bietet zentral Zugriff auf wesentliche Funktionen wie ein zentrales Bürgerkonto, Anbindungen an Zahlungsdienstleister wie pmPayment, die Integration der elektronischen Identität (eID) und die Vernetzung mit dem Portalverbund des Bundes.
Derzeit sind die OpenR@thaus-Serviceportale wegen möglicher Cyberangriffe offline. Es wurden keine personenbezogenen Daten abgegriffen.
In der heutigen digital vernetzten Welt sind Cyberbedrohungen allgegenwärtig. Vom einfachen Computervirus bis hin zu komplexen Ransomware-Angriffen – die Gefahren im Internet sind vielfältig und können gravierende Folgen für Ihre persönlichen Daten und Ihre finanzielle Sicherheit haben. Um sich effektiv vor diesen Bedrohungen zu schützen, ist der Einsatz von Antivirensoftware unerlässlich.
Antivirensoftware ist eine spezielle Software, die entwickelt wurde, um Malware zu erkennen, zu verhindern und zu entfernen. Malware ist ein Überbegriff für schädliche Software wie Viren, Würmer, Trojaner, Ransomware und Spyware, die darauf abzielen, Ihre Geräte zu infizieren und Ihre Daten zu stehlen oder zu beschädigen. Ohne eine wirksame Antivirensoftware setzen Sie sich einem hohen Risiko aus, Opfer solcher Cyberangriffe zu werden.
Wenn Sie Antivirensoftware online günstig kaufen möchten, sind Sie bei Softwarekaufen24 genau richtig. Wir bieten Ihnen effiziente Antivirensoftware namhafter Hersteller zu einem überzeugenden Preis-Leistungs-Verhältnis an.
Ashampoo 3D CAD Architecture 11 – die praktische Hausplanungssoftware Das Programm Ashampoo 3D CAD Architecture…
Android 16 - ein Blick auf die Innovationen Überraschenderweise hat Google die erste Entwicklervorschau von…
Adobe Photoshop Elements 2025 Tipps & Tricks im Überblick Adobe Photoshop Elements 2025 für Windows…
Microsoft Copilot - Ignite 2024 stellt Neuerungen in Aussicht Auf der Entwicklerkonferenz Ignite 2024 hat…
Ashampoo ZIP Pro 4 – mehr als nur eine Komprimierungssoftware Der Umgang mit Dateien der…
Windows Server 2022 – wie Sie einen Terminalserver einrichten Mit der zunehmenden Verbreitung von Homeoffice,…