Sicherheitslücke BundID: Verwaltungsdienste von 300 Kommunen wiederholt offline

Die BundID dient bei Webdiensten deutscher Verwaltungen als Vertrauensanker. Jüngste Ereignisse zeigen jedoch: Das Verfahren bietet Missbrauchspotenzial.

Artikel veröffentlicht am , Marc Stöckel
Sicherheitsforscherin entdeckt wiederholt Sicherheitslücken bei BundID-Implementierung.
Sicherheitsforscherin entdeckt wiederholt Sicherheitslücken bei BundID-Implementierung. (Bild: BundID-Webseite / Screenshot)

Die Sicherheitsforscherin Lilith Wittmann hat Sicherheitslücken im Zusammenhang mit der BundID entdeckt, die nun innerhalb weniger Wochen schon zum zweiten Mal zur Abschaltung digitaler Verwaltungsleistungen von rund 300 Kommunen geführt haben. Wie die Forscherin in einem Blogbeitrag erklärt, ist es Angreifern anhand der Schwachstellen möglich, BundID-Nutzer zu betrügen und ihre Daten auszuspähen.

Um die Auswirkungen des Problems zu demonstrieren, erstellte Wittmann eine Webseite, auf der Besucher eine vermeintliche Heizölförderung vom Bund beantragen können. Wer sich dort mit seiner BundID anmeldet und das Formular ausfüllt, erhält aber keine Förderung. Wie die Forscherin in einem Video zeigt, werden Nutzer dort lediglich von einer Meldung überrascht, in der es heißt: "Deine Daten sind weg weg weg!"

Das Kernproblem sieht die Forscherin in dem Umstand, dass das SAML-Verfahren, das für die Authentifizierung mit der BundID zum Einsatz kommt, kompliziert zu implementieren sei. "Wenn man das SAML-Verfahren also implementiert, können schon einmal Fehler unterlaufen", erklärt Wittmann. Der Umstand, dass das Verfahren auf vielen unterschiedlichen Webseiten genutzt wird, steigert die Wahrscheinlichkeit, dass es zu solchen Fehlern kommt.

Sicherheitslücke in OpenR@thaus

Bei ihrer aktiven Suche nach Implementierungsfehlern wurde die Forscherin auch schnell fündig – in einer von der ITEBO-Gruppe entwickelten Portallösung namens OpenR@thaus. Der Entwickler fügte dort eine Komfortfunktion zum SAML-Protokoll hinzu, durch die Anwender nach der Anmeldung mit ihrer BundID automatisch wieder zur richtigen Webseite weitergeleitet werden.

Laut Wittmann war diese Funktion jedoch fehlerhaft implementiert, so dass auch eine Weiterleitung auf beliebige andere Dienste möglich war. Diesen Umstand konnte die Forscherin ausnutzen, um auf ihrer Fake-Webseite zur Beantragung einer Heizölförderung einen BundID-Login zu implementieren und Nutzerdaten auszuspähen.

Ein Problem ist das vor allem deshalb, weil die BundID als Vertrauensanker dienen soll. Wer sich mit der BundID auf einer Webseite anmeldet, geht in der Regel davon aus, dass es sich um einen vertrauenswürdigen Dienst einer deutschen Verwaltung handelt. "Deswegen ist es wichtig, dass die Systeme der BundID so geschützt sind, dass niemand einfach auf seiner Webseite einen BundID-Login integrieren kann", erklärt Wittmann diesbezüglich.

Dienste von rund 300 Kommunen wiederholt offline

OpenR@thaus wird angeblich von rund 300 Kommunen eingesetzt. "Die Sicherheitslücke existierte in jeder Instanz, die ich finden konnte", warnt Wittmann. Schon über das Wochenende vom 7. bis 9. Juni 2024 führte die Entdeckung der Forscherin zu einer vorübergehenden Abschaltung zahlreicher Verwaltungsdienste, um den Fehler zu beheben.

Wenige Tage später wiederholt sich das Spiel. Alle Itebo-Instanzen seien abgeschaltet worden, heißt es in einem Update von Dienstag – "wieder mal 300 Kommunen ohne digitale Verwaltungsleistungen", so Wittmann. Erst am Abend zuvor hatte die Forscherin in einem X-Beitrag auf eine weitere Sicherheitslücke hingewiesen, mit der sie ihr Projekt Heizölförderung wieder in Betrieb nehmen konnte.

"Eine zentrale ID als Vertrauensanker der Verwaltung ist eine schlechte Idee, versprochen", so Wittmanns Fazit. Als das zentrale Anmeldesystem für Verwaltungsdienstleistungen sei die BundID zu einem Single Point of Failure in der deutschen Verwaltungsinfrastruktur geworden – und damit auch zu einem attraktiven Ziel für Angreifer.

Aktuell auf der Startseite von Golem.de
Solarzellen
40 Prozent mehr Strom durch Kühlung und zwei Seiten

Photovoltaik kann in heißen, trockenen Regionen vielfach mehr Strom liefern als in Europa. Eine simple Kühlung steigert den Ertrag noch.

Solarzellen: 40 Prozent mehr Strom durch Kühlung und zwei Seiten
Artikel
  1. Jahre hinter Waymo: Tesla gibt Rückstand bei autonomem Fahren zu
    Jahre hinter Waymo
    Tesla gibt Rückstand bei autonomem Fahren zu

    Der leitende Entwickler für autonomes Fahren bei Tesla hat eingestanden, dass der E-Auto-Hersteller Jahre hinter seinem Hauptkonkurrenten zurückliegt.

  2. Chip-Festnetztest: Telekom liefert höhere Datenraten als angegeben
    Chip-Festnetztest
    Telekom liefert höhere Datenraten als angegeben

    Der Testsieger Telekom liefert bei einigen Zugängen sogar mehr als versprochen. Vodafone ist in den unteren Preisklassen am günstigsten.

  3. Außerirdische Intelligenz: Warum haben wir noch keine Aliens gefunden?
    Außerirdische Intelligenz  
    Warum haben wir noch keine Aliens gefunden?

    Kopf in den Sand! Seit Jahrzehnten gucken wir mit Teleskopen tief ins All. Außerirdische haben wir zwar bisher nicht entdeckt, das ist aber kein Grund, an ihrer Existenz zu zweifeln.
    Hinweis: Um sich diesen Artikel vorlesen zu lassen, klicken Sie auf den Player im Artikel.
    Von Miroslav Stimac

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Finde einen Job mit
Stellemarkt-Logo
Mach dich schlauer mit
Karrierewelt-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus RTX 5070 inkl. Doom TDA 582€ • MSI RTX 5080 1.169€ • Powercolor RX 9070 XT 739€ • TVs -59% • PCIe-5.0-SSDs zu Tiefstpreisen • Samsung Galaxy Week • Gigabyte 34" Curved WQHD 180Hz 241,90€ • 3 Spiele für 49€ (PS5, Switch, Xbox)
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /