Sicherheitslücke BundID: Verwaltungsdienste von 300 Kommunen wiederholt offline

Die BundID dient bei Webdiensten deutscher Verwaltungen als Vertrauensanker. Jüngste Ereignisse zeigen jedoch: Das Verfahren bietet Missbrauchspotenzial.

Artikel veröffentlicht am , Marc Stöckel
Sicherheitsforscherin entdeckt wiederholt Sicherheitslücken bei BundID-Implementierung.
Sicherheitsforscherin entdeckt wiederholt Sicherheitslücken bei BundID-Implementierung. (Bild: BundID-Webseite / Screenshot)

Die Sicherheitsforscherin Lilith Wittmann hat Sicherheitslücken im Zusammenhang mit der BundID entdeckt, die nun innerhalb weniger Wochen schon zum zweiten Mal zur Abschaltung digitaler Verwaltungsleistungen von rund 300 Kommunen geführt haben. Wie die Forscherin in einem Blogbeitrag erklärt, ist es Angreifern anhand der Schwachstellen möglich, BundID-Nutzer zu betrügen und ihre Daten auszuspähen.

Um die Auswirkungen des Problems zu demonstrieren, erstellte Wittmann eine Webseite, auf der Besucher eine vermeintliche Heizölförderung vom Bund beantragen können. Wer sich dort mit seiner BundID anmeldet und das Formular ausfüllt, erhält aber keine Förderung. Wie die Forscherin in einem Video zeigt, werden Nutzer dort lediglich von einer Meldung überrascht, in der es heißt: "Deine Daten sind weg weg weg!"

Das Kernproblem sieht die Forscherin in dem Umstand, dass das SAML-Verfahren, das für die Authentifizierung mit der BundID zum Einsatz kommt, kompliziert zu implementieren sei. "Wenn man das SAML-Verfahren also implementiert, können schon einmal Fehler unterlaufen", erklärt Wittmann. Der Umstand, dass das Verfahren auf vielen unterschiedlichen Webseiten genutzt wird, steigert die Wahrscheinlichkeit, dass es zu solchen Fehlern kommt.

Sicherheitslücke in OpenR@thaus

Bei ihrer aktiven Suche nach Implementierungsfehlern wurde die Forscherin auch schnell fündig – in einer von der ITEBO-Gruppe entwickelten Portallösung namens OpenR@thaus. Der Entwickler fügte dort eine Komfortfunktion zum SAML-Protokoll hinzu, durch die Anwender nach der Anmeldung mit ihrer BundID automatisch wieder zur richtigen Webseite weitergeleitet werden.

Laut Wittmann war diese Funktion jedoch fehlerhaft implementiert, so dass auch eine Weiterleitung auf beliebige andere Dienste möglich war. Diesen Umstand konnte die Forscherin ausnutzen, um auf ihrer Fake-Webseite zur Beantragung einer Heizölförderung einen BundID-Login zu implementieren und Nutzerdaten auszuspähen.

Ein Problem ist das vor allem deshalb, weil die BundID als Vertrauensanker dienen soll. Wer sich mit der BundID auf einer Webseite anmeldet, geht in der Regel davon aus, dass es sich um einen vertrauenswürdigen Dienst einer deutschen Verwaltung handelt. "Deswegen ist es wichtig, dass die Systeme der BundID so geschützt sind, dass niemand einfach auf seiner Webseite einen BundID-Login integrieren kann", erklärt Wittmann diesbezüglich.

Dienste von rund 300 Kommunen wiederholt offline

OpenR@thaus wird angeblich von rund 300 Kommunen eingesetzt. "Die Sicherheitslücke existierte in jeder Instanz, die ich finden konnte", warnt Wittmann. Schon über das Wochenende vom 7. bis 9. Juni 2024 führte die Entdeckung der Forscherin zu einer vorübergehenden Abschaltung zahlreicher Verwaltungsdienste, um den Fehler zu beheben.

Wenige Tage später wiederholt sich das Spiel. Alle Itebo-Instanzen seien abgeschaltet worden, heißt es in einem Update von Dienstag – "wieder mal 300 Kommunen ohne digitale Verwaltungsleistungen", so Wittmann. Erst am Abend zuvor hatte die Forscherin in einem X-Beitrag auf eine weitere Sicherheitslücke hingewiesen, mit der sie ihr Projekt Heizölförderung wieder in Betrieb nehmen konnte.

"Eine zentrale ID als Vertrauensanker der Verwaltung ist eine schlechte Idee, versprochen", so Wittmanns Fazit. Als das zentrale Anmeldesystem für Verwaltungsdienstleistungen sei die BundID zu einem Single Point of Failure in der deutschen Verwaltungsinfrastruktur geworden – und damit auch zu einem attraktiven Ziel für Angreifer.

Aktuell auf der Startseite von Golem.de
Zahlreiche Dienste betroffen
Datenbank mit 184 Millionen Zugangsdaten entdeckt

Das Datenleck umfasst Passwörter für Nutzerkonten bei Microsoft, Google, Facebook, Amazon, Apple, Nintendo, Paypal und vielen weiteren.

Zahlreiche Dienste betroffen: Datenbank mit 184 Millionen Zugangsdaten entdeckt
Artikel
  1. Handelskrieg: Trump droht mit 50 Prozent Zöllen auf EU-Produkte
    Handelskrieg  
    Trump droht mit 50 Prozent Zöllen auf EU-Produkte

    US-Präsident Donald Trump verschärft den Handelskrieg mit der EU. Schon in wenigen Tagen sollen die hohen Zölle in Kraft treten.

  2. Analyse deiner Microsoft-365-Sicherheit mit Golem Expert
     
    Analyse deiner Microsoft-365-Sicherheit mit Golem Expert

    Fehlkonfigurationen in Microsoft 365 bleiben oft unentdeckt. Der Golem Expert: Microsoft 365 Compliance & Security Check identifiziert Schwachstellen und liefert konkrete Handlungsempfehlungen - inklusive Experten-Debriefing.
    Sponsored Post von Golem Karrierewelt

  3. Bose QuietComfort SC nur kurz zum Jahresbestpreis
     
    Bose QuietComfort SC nur kurz zum Jahresbestpreis

    Amazon verkauft die Bose QuietComfort SC fast 40 Prozent günstiger. Preiswerter waren die Bluetooth-Kopfhörer mit ANC dieses Jahr noch nicht.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Finde einen Job mit
Stellemarkt-Logo
Mach dich schlauer mit
Karrierewelt-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI RTX 5070 Ti 829€ • Ryzen 7 9800X3D 487,90€ • Corsair K70 Core TKL 98,84€ • Asus RTX 5070 inkl. Doom TDA 583€ • MediaMarkt Gutscheinheft mit Gratis-Zugaben • MSI RTX 5080 1.169€ • TVs -59% • Samsung Galaxy Week • 3 Spiele für 49€
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /