Sicherheitslücke BundID: Verwaltungsdienste von 300 Kommunen wiederholt offline

Die Sicherheitsforscherin Lilith Wittmann hat Sicherheitslücken im Zusammenhang mit der BundID entdeckt, die nun innerhalb weniger Wochen schon zum zweiten Mal zur Abschaltung digitaler Verwaltungsleistungen von rund 300 Kommunen geführt haben. Wie die Forscherin in einem Blogbeitrag erklärt, ist es Angreifern anhand der Schwachstellen möglich, BundID-Nutzer zu betrügen und ihre Daten auszuspähen.

Um die Auswirkungen des Problems zu demonstrieren, erstellte Wittmann eine Webseite, auf der Besucher eine vermeintliche Heizölförderung vom Bund beantragen können. Wer sich dort mit seiner BundID anmeldet und das Formular ausfüllt, erhält aber keine Förderung. Wie die Forscherin in einem Video zeigt, werden Nutzer dort lediglich von einer Meldung überrascht, in der es heißt: "Deine Daten sind weg weg weg!"

Das Kernproblem sieht die Forscherin in dem Umstand, dass das SAML-Verfahren, das für die Authentifizierung mit der BundID zum Einsatz kommt, kompliziert zu implementieren sei. "Wenn man das SAML-Verfahren also implementiert, können schon einmal Fehler unterlaufen", erklärt Wittmann. Der Umstand, dass das Verfahren auf vielen unterschiedlichen Webseiten genutzt wird, steigert die Wahrscheinlichkeit, dass es zu solchen Fehlern kommt.

Sicherheitslücke in OpenR@thaus

Bei ihrer aktiven Suche nach Implementierungsfehlern wurde die Forscherin auch schnell fündig – in einer von der ITEBO-Gruppe entwickelten Portallösung namens OpenR@thaus. Der Entwickler fügte dort eine Komfortfunktion zum SAML-Protokoll hinzu, durch die Anwender nach der Anmeldung mit ihrer BundID automatisch wieder zur richtigen Webseite weitergeleitet werden.

Laut Wittmann war diese Funktion jedoch fehlerhaft implementiert, so dass auch eine Weiterleitung auf beliebige andere Dienste möglich war. Diesen Umstand konnte die Forscherin ausnutzen, um auf ihrer Fake-Webseite zur Beantragung einer Heizölförderung einen BundID-Login zu implementieren und Nutzerdaten auszuspähen.

Ein Problem ist das vor allem deshalb, weil die BundID als Vertrauensanker dienen soll. Wer sich mit der BundID auf einer Webseite anmeldet, geht in der Regel davon aus, dass es sich um einen vertrauenswürdigen Dienst einer deutschen Verwaltung handelt. "Deswegen ist es wichtig, dass die Systeme der BundID so geschützt sind, dass niemand einfach auf seiner Webseite einen BundID-Login integrieren kann", erklärt Wittmann diesbezüglich.

Dienste von rund 300 Kommunen wiederholt offline

OpenR@thaus wird angeblich von rund 300 Kommunen eingesetzt. "Die Sicherheitslücke existierte in jeder Instanz, die ich finden konnte", warnt Wittmann. Schon über das Wochenende vom 7. bis 9. Juni 2024 führte die Entdeckung der Forscherin zu einer vorübergehenden Abschaltung zahlreicher Verwaltungsdienste, um den Fehler zu beheben.

Wenige Tage später wiederholt sich das Spiel. Alle Itebo-Instanzen seien abgeschaltet worden, heißt es in einem Update von Dienstag – "wieder mal 300 Kommunen ohne digitale Verwaltungsleistungen", so Wittmann. Erst am Abend zuvor hatte die Forscherin in einem X-Beitrag auf eine weitere Sicherheitslücke hingewiesen, mit der sie ihr Projekt Heizölförderung wieder in Betrieb nehmen konnte.

"Eine zentrale ID als Vertrauensanker der Verwaltung ist eine schlechte Idee, versprochen", so Wittmanns Fazit. Als das zentrale Anmeldesystem für Verwaltungsdienstleistungen sei die BundID zu einem Single Point of Failure in der deutschen Verwaltungsinfrastruktur geworden – und damit auch zu einem attraktiven Ziel für Angreifer.