Sicherheitslücke BundID: Verwaltungsdienste von 300 Kommunen wiederholt offline

Die BundID dient bei Webdiensten deutscher Verwaltungen als Vertrauensanker. Jüngste Ereignisse zeigen jedoch: Das Verfahren bietet Missbrauchspotenzial.

Artikel veröffentlicht am , Marc Stöckel
Sicherheitsforscherin entdeckt wiederholt Sicherheitslücken bei BundID-Implementierung.
Sicherheitsforscherin entdeckt wiederholt Sicherheitslücken bei BundID-Implementierung. (Bild: BundID-Webseite / Screenshot)

Die Sicherheitsforscherin Lilith Wittmann hat Sicherheitslücken im Zusammenhang mit der BundID entdeckt, die nun innerhalb weniger Wochen schon zum zweiten Mal zur Abschaltung digitaler Verwaltungsleistungen von rund 300 Kommunen geführt haben. Wie die Forscherin in einem Blogbeitrag erklärt, ist es Angreifern anhand der Schwachstellen möglich, BundID-Nutzer zu betrügen und ihre Daten auszuspähen.

Um die Auswirkungen des Problems zu demonstrieren, erstellte Wittmann eine Webseite, auf der Besucher eine vermeintliche Heizölförderung vom Bund beantragen können. Wer sich dort mit seiner BundID anmeldet und das Formular ausfüllt, erhält aber keine Förderung. Wie die Forscherin in einem Video zeigt, werden Nutzer dort lediglich von einer Meldung überrascht, in der es heißt: "Deine Daten sind weg weg weg!"

Das Kernproblem sieht die Forscherin in dem Umstand, dass das SAML-Verfahren, das für die Authentifizierung mit der BundID zum Einsatz kommt, kompliziert zu implementieren sei. "Wenn man das SAML-Verfahren also implementiert, können schon einmal Fehler unterlaufen", erklärt Wittmann. Der Umstand, dass das Verfahren auf vielen unterschiedlichen Webseiten genutzt wird, steigert die Wahrscheinlichkeit, dass es zu solchen Fehlern kommt.

Sicherheitslücke in OpenR@thaus

Bei ihrer aktiven Suche nach Implementierungsfehlern wurde die Forscherin auch schnell fündig – in einer von der ITEBO-Gruppe entwickelten Portallösung namens OpenR@thaus. Der Entwickler fügte dort eine Komfortfunktion zum SAML-Protokoll hinzu, durch die Anwender nach der Anmeldung mit ihrer BundID automatisch wieder zur richtigen Webseite weitergeleitet werden.

Laut Wittmann war diese Funktion jedoch fehlerhaft implementiert, so dass auch eine Weiterleitung auf beliebige andere Dienste möglich war. Diesen Umstand konnte die Forscherin ausnutzen, um auf ihrer Fake-Webseite zur Beantragung einer Heizölförderung einen BundID-Login zu implementieren und Nutzerdaten auszuspähen.

Ein Problem ist das vor allem deshalb, weil die BundID als Vertrauensanker dienen soll. Wer sich mit der BundID auf einer Webseite anmeldet, geht in der Regel davon aus, dass es sich um einen vertrauenswürdigen Dienst einer deutschen Verwaltung handelt. "Deswegen ist es wichtig, dass die Systeme der BundID so geschützt sind, dass niemand einfach auf seiner Webseite einen BundID-Login integrieren kann", erklärt Wittmann diesbezüglich.

Dienste von rund 300 Kommunen wiederholt offline

OpenR@thaus wird angeblich von rund 300 Kommunen eingesetzt. "Die Sicherheitslücke existierte in jeder Instanz, die ich finden konnte", warnt Wittmann. Schon über das Wochenende vom 7. bis 9. Juni 2024 führte die Entdeckung der Forscherin zu einer vorübergehenden Abschaltung zahlreicher Verwaltungsdienste, um den Fehler zu beheben.

Wenige Tage später wiederholt sich das Spiel. Alle Itebo-Instanzen seien abgeschaltet worden, heißt es in einem Update von Dienstag – "wieder mal 300 Kommunen ohne digitale Verwaltungsleistungen", so Wittmann. Erst am Abend zuvor hatte die Forscherin in einem X-Beitrag auf eine weitere Sicherheitslücke hingewiesen, mit der sie ihr Projekt Heizölförderung wieder in Betrieb nehmen konnte.

"Eine zentrale ID als Vertrauensanker der Verwaltung ist eine schlechte Idee, versprochen", so Wittmanns Fazit. Als das zentrale Anmeldesystem für Verwaltungsdienstleistungen sei die BundID zu einem Single Point of Failure in der deutschen Verwaltungsinfrastruktur geworden – und damit auch zu einem attraktiven Ziel für Angreifer.

Aktuell auf der Startseite von Golem.de
Made in USA
Wie viel ein in den USA gebautes iPhone kosten würde

Trump will den iPhone-Bau in die USA verlagern. Dabei ist das Land dafür gar nicht ausgelegt. Zölle zu zahlen, wäre für Apple einfacher.
Eine Analyse von Oliver Nickel

Made in USA: Wie viel ein in den USA gebautes iPhone kosten würde
Artikel
  1. Nach Patchday: Mysteriöser Ordner erscheint unerwartet unter Windows
    Nach Patchday
    Mysteriöser Ordner erscheint unerwartet unter Windows

    Nach der Installation der jüngsten Updates taucht unter Windows 10 und 11 unerwartet ein neuer Ordner auf. Der Grund dafür ist noch unklar.

  2. Internationale Energieagentur: Verdopplung des Energiebedarfs von Rechenzentren erwartet
    Internationale Energieagentur
    Verdopplung des Energiebedarfs von Rechenzentren erwartet

    KI wird der wichtigste Treiber für den Anstieg des Energiebedarfs der Rechenzentren sein. Die IEA legt schockierende Zahlen vor.

  3. Außer für China: Trump kündigt Zollpause von 90 Tagen an
    Außer für China  
    Trump kündigt Zollpause von 90 Tagen an

    US-Präsident Trump reagiert auf die Unsicherheit an den Finanzmärkten. Nach der Ankündigung legen die Kurse von Apple und Tesla stark zu.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Finde einen Job mit
Stellemarkt-Logo
Mach dich schlauer mit
Karrierewelt-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Ryzen 7 7800X3D 425,64€ • Switch 2-Speicherkarte mit Rabatt vorbestellbar • XFX RX 9070 XT 767,90€ • RTX 5080 ab 1.199€ • Samsung 9100 Pro 1TB 158,53€ • Thermalright AIO-Wasserkühlungen ab 50€ • Asus 31,5" 4K 160Hz 399,90€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /