BAMF: Skurrile Testkonten ermöglichten unautorisierten Datenzugriff
Das Anlegen eines Nutzerkontos mit "max.mustermann@testtraeger.de" ging fürs Migrationsamt nicht gut aus. Es diente einem Experten rasch als Sesam-öffne-dich.
(Bild: tete_escape/Shutterstock.com)
Der IT-Security-Fachmann Tim Philipp Schäfers hat beim Bundesamt für Migration und Flüchtlinge (BAMF) eine schwerwiegende Sicherheitslücke entdeckt, die sich wegen veralteter Nutzerkonten mit recht skurrilen E-Mail-Adressen wie "max.mustermann@testtraeger.de" und insgesamt unzureichenden Schutzmaßnahmen auftat. Darüber erlangte der Experte unter Einsatz geringster Mittel rasch Administrationsrechte auf einem BAMF-System. Bei einem Cyberangriff hätte dies übel enden können: Die Behörde verarbeitet hochsensible personenbezogene Daten von Geflüchteten, darunter Informationen zu Integrationskursen, Unterbringung und familiären Beziehungen sowie biometrische Merkmale.
Um den Zugang zu seinen IT-Systemen zu steuern, führte das BAMF vor einigen Jahren eine "Delegierte Benutzerverwaltung (DeBeV)", erklärt Schäfers in einem Bericht über seine Entdeckung. Dabei handle es sich um ein zentrales Identitätsmanagement, das über diverse Fachverfahren hinweg funktioniere. Ein öffentlich einsehbares Dokument mit Nutzungshinweisen zur DeBeV vom April 2018 habe brisante Details enthalten. Anhand von Screenshots der Web-Applikation sei ersichtlich gewesen, dass im Test- und Integrationssystem offenbar ein Account mit der Nutzerkennung "max.mustermann@testtraeger.de" existierte. Die Domain sei noch frei gewesen. Schäfers sicherte sie sich für 5,97 Euro.
Weiter fand der Sicherheitsforscher in der Dokumentation einen Hinweis auf den Einsatz der "Passwort vergessen"-Funktion bei DeBeV. Um zu prüfen, ob das Mustermann-Konto noch existierte, richtete er ein sogenanntes Catch-All-Postfach ein. Damit landen sämtliche E-Mails an beliebige Adressen unter der registrierten Domain in einer zentralen Inbox. Siehe da: Wenige Sekunden nach dem Drücken auf die Vergessen-Funktion landete ihm zufolge die entscheidende E-Mail in dem Postfach – inklusive Link zum Zurücksetzen des Passworts. Ein Klick auf den Link habe genügt, um ein neues Passwort ohne weitere Authentifizierung oder Zwei-Faktor-Authentifizierung setzen zu können. Die anschließende Anmeldung sei problemlos verlaufen.
Zugang zu anderen Fachverfahren stand offen
Als besonders brisant schätzt es der Autor ein, dass es ihm mit dem neu gesetzten Passwort potenziell möglich gewesen wäre, sich auch in andere IT-Fachverfahren einzuloggen. Darauf habe er "aus ethischen Gründen" zwar verzichtet. Ein Klick auf "Benutzer verwalten" habe aber eine Liste mit 200 bis 300 Nutzerkonten zutage gefördert, die dem BAMF, Kommunen und Forschungseinrichtungen zugeordnet gewesen seien. Einige Nutzer hätten demnach private E-Mail-Adressen für dienstliche Zwecke verwendet, was ein zusätzliches Sicherheitsrisiko darstelle. Der Zugriff auf den Account hätte potenziell weitreichende administrative Rechte ermöglicht, einschließlich der Möglichkeit, Passwörter anderer Konten zurückzusetzen.
Bernd Beispiel, Carla Columna und Maria Muster
Schäfers meldete die Schwachstelle laut seines Berichts an das BAMF, woraufhin die Behörde den betroffenen Account zusammen mit den vier weiteren Konten anna.mustermann, bernd_beispiel, carla-columna und maria.muster unter der gleichen Domain innerhalb von vier Stunden deaktiviert habe. Eine sofortige Rückmeldung vom BAMF sei nicht erfolgt, was zu weiteren Nachfragen führte. Schließlich habe die Behörde bestätigt, dass die Sicherheitsprobleme behoben worden seien. Laut Netzpolitik.org informierte das Amt auch die Bundesdatenschutzbehörde. Schäfers empfiehlt, eine klare Trennung zwischen Test- und Produktivsystemen vorzunehmen, Konten-Hygiene zu üben sowie eine Multi-Faktor-Authentifizierung zu implementieren, um solche Sicherheitslücken zu vermeiden.
Tim Philipp Schäfers' Name korrigiert.
(mack)
