News

BundID – IT-Sicherheitsforscherin deckt Lücke auf

BundID – bedrohliche Sicherheitslücke entdeckt

Die BundID, auch bekannt als Nutzerkonto Bund (NKB), dient Bürgern zur Identifikation und Authentifizierung bei Online-Verwaltungsdiensten. Über ein Konto bei der BundID ist es möglich, Online-Anträge bei Bundes-, Landes- und Kommunalbehörden sowie bei mittelbaren Verwaltungen zu stellen. Zudem verfügt die BundID über ein Postfach, das eine sichere Kommunikation zwischen Bürgern und der öffentlichen Verwaltung gewährleisten soll. Hier können Behörden mit Zustimmung der Nutzer auch rechtskräftige Bescheide zustellen. Letzte Woche hat Sicherheitsforscherin Lilith Wittmann, die sich selbst als „Krawall-Influenzerin“ bezeichnet, eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, Zugang zur BundID zu erhalten und somit in die Verwaltungsportale hunderter deutscher Kommunen einzudringen.

Was Sie über die BundID-Sicherheitslücke wissen sollten, erfahren Sie in diesem Blogbeitrag.

Security Assertion Markup Language – hier lauert die Schwachstelle

Die aufgedeckte Sicherheitslücke liegt in der Anwendung der Security Assertion Markup Language (SAML) für die Authentifizierung im Rahmen der BundID. SAML, eine Alternative zu OAuth, ermöglicht es Webseiten von Kommunen, Nutzer, die bereits im BundID-System angemeldet sind, automatisch zu erkennen und ihnen das wiederholte Anmelden zu ersparen. Obwohl SAML generell als sicher gilt, weist die Sicherheitsforscherin Wittmann darauf hin, dass die korrekte Implementierung komplex ist. Dies stellt besonders für hunderte kommunale Ämter, die mit der BundID arbeiten müssen, eine Herausforderung dar und erhöht das Risiko von Implementierungsfehlern. Ein solcher Fehler trat bei der Software OpenR@thaus des Dienstleisters ITEBO aus Osnabrück auf, die in vielen Kommunen genutzt wird.

Nach Angaben von Wittmann versuchte der Hersteller, eine Benutzerfreundlichkeitsfunktion zum SAML-Protokoll hinzuzufügen, die Nutzer nach dem Login direkt auf die passende Webseite weiterleitet. Dies führte jedoch zu einem schwerwiegenden Fehler, der es ermöglichte, Nutzer auf beliebige Webseiten umzuleiten. Um das potenzielle Vorgehen eines Angreifers zu demonstrieren, erstellte Wittmann in nur einer Stunde mit Hilfe von KI eine gefälschte Verwaltungsseite, die in der Lage gewesen wäre, persönliche Daten von Bürgern zu sammeln, vor allem, wenn diese durch das Versprechen eines Heizkostenzuschusses angelockt worden wären. Durch diesen lokalen Implementierungsfehler wurden sämtliche in der BundID gespeicherten Nutzerdaten gefährdet.

Das zuständige Innenministerium reagierte jedoch schnell und stellte das betroffene System innerhalb weniger Stunden ab. Wittmann hatte die Schwachstelle am Freitagabend öffentlich über X gemeldet, und bis Sonntagmorgen wurde das Problem behoben.

Weitere Sicherheitslücke in dieser Woche entdeckt

Obwohl der Dienstleister nach der ersten Sicherheitsmeldung Maßnahmen ergriff, gelang es ihm nicht, sein System vollständig zu sichern. Zu Beginn dieser Woche entdeckte Wittmann eine weitere Schwachstelle. Diese Sicherheitslücke ist auf eine acht Jahre alte, weitgehend ignorierte Anfälligkeit in der Open-Source-CMS-Software Liferay zurückzuführen, die in OpenR@thaus verwendet wird. Nachdem diese neue Schwachstelle gemeldet wurde, mussten alle kommunalen Dienste, die OpenR@thaus verwenden, vorübergehend offline genommen werden. Wittmann zufolge enthält das System vermutlich noch weitere Schwächen. Doch was ist OpenR@thaus eigentlich?

Was ist OpenR@thaus?

Die Verwaltungsdienstleistungen erleben einen Wandel: von analog zu digital, von manuell zu automatisiert und von tagelangen Wartezeiten zu sofortigen Auskünften. Mit der Einführung des Onlinezugangsgesetzes (OZG) im Jahr 2017 hat die Bundesregierung die Weichen für eine Ausweitung des Onlineangebots öffentlicher Dienstleistungen gestellt. Es wurden klare Rahmenbedingungen für das Servicekonto, den Portalverbund und die Authentifizierungsverfahren festgelegt. Heute lassen sich standardisierte Dienstleistungen über die Portallösung OpenR@thaus halb- oder sogar vollautomatisch online abwickeln und abschließen. OpenR@thaus bietet zentral Zugriff auf wesentliche Funktionen wie ein zentrales Bürgerkonto, Anbindungen an Zahlungsdienstleister wie pmPayment, die Integration der elektronischen Identität (eID) und die Vernetzung mit dem Portalverbund des Bundes.

Derzeit sind die OpenR@thaus-Serviceportale wegen möglicher Cyberangriffe offline. Es wurden keine personenbezogenen Daten abgegriffen.

So schützen Sie sich vor Cyberbedrohungen

In der heutigen digital vernetzten Welt sind Cyberbedrohungen allgegenwärtig. Vom einfachen Computervirus bis hin zu komplexen Ransomware-Angriffen – die Gefahren im Internet sind vielfältig und können gravierende Folgen für Ihre persönlichen Daten und Ihre finanzielle Sicherheit haben. Um sich effektiv vor diesen Bedrohungen zu schützen, ist der Einsatz von Antivirensoftware unerlässlich.

Antivirensoftware ist eine spezielle Software, die entwickelt wurde, um Malware zu erkennen, zu verhindern und zu entfernen. Malware ist ein Überbegriff für schädliche Software wie Viren, Würmer, Trojaner, Ransomware und Spyware, die darauf abzielen, Ihre Geräte zu infizieren und Ihre Daten zu stehlen oder zu beschädigen. Ohne eine wirksame Antivirensoftware setzen Sie sich einem hohen Risiko aus, Opfer solcher Cyberangriffe zu werden.

Wenn Sie Antivirensoftware online günstig kaufen möchten, sind Sie bei Softwarekaufen24 genau richtig. Wir bieten Ihnen effiziente Antivirensoftware namhafter Hersteller zu einem überzeugenden Preis-Leistungs-Verhältnis an.

Daniel Rottländer

Recent Posts

E-Mail-Checker des BSI – das verbirgt sich dahinter

E-Mail-Checker des BSI – was Sie darüber wissen sollten E-Mails sind Alltag – und Einfallstor…

2 Tagen ago

Gestohlene PayPal-Zugangsdaten im Umlauf: So schützen sich Nutzer

PayPal-Daten im Darknet aufgetaucht – welche Schritte jetzt wichtig sind Kriminelle bieten derzeit gestohlene Zugangsdaten…

4 Tagen ago

Kofax Power PDF Advanced – wie Sie eine Bates-Nummerierung einfügen

Kofax Power PDF Advanced – so können Sie eine Bates-Nummerierung einfügen Bates-Nummern dienen der eindeutigen…

6 Tagen ago

Kostenlose Videosoftware – die häufig versteckten Nachteile

Kostenlose Videosoftware – das ist oftmals der Haken Wer in Suchmaschinen nach „Videosoftware kostenlos“ oder…

1 Woche ago

PowerShell 2.0 – Microsoft entfernt älteres Shell-Programm

PowerShell 2.0 – ältere Shell-Programm-Version wird entfernt Microsoft entfernt Windows PowerShell 2.0 endgültig aus Windows.…

1 Woche ago

IT-Wissen – was ist CSV?

Funktion und Aufbau von CSV-Dateien im Überblick CSV gehört zu den stillen Arbeitspferden der IT.…

1 Woche ago