Sicherheitslücke in kommunaler Verwaltungs-Webseite öffnet Datenleck in BundID

Die IT-Sicherheitsforscherin Lilith Wittmann hat erneut ernst zu nehmende Probleme bei der Verwaltungs-IT des Bundes aufgedeckt. Dieses Mal in der sogenannten BundID, die den Zugang zum Bürgerkonto und damit zu digitalen Verwaltungsdienstleistungen ermöglicht.

Der BundID, die bald DeutschlandID heißen soll, mangelt es momentan oft noch an Dienstleistungen, die bereits mit ihr kompatibel sind. Nun kommen auch noch Sicherheitslücken in den bereits bestehenden Möglichkeiten hinzu. Sicherheitsforscherin Lilith Wittmann, die sich selbst gerne als "Krawall-Influenzerin" bezeichnet, hatte in der vergangenen Woche eine Schwachstelle aufgedeckt, die Angreifern Zugang zur BundID und damit den Verwaltungsportalen von hunderten deutschen Kommunen ermöglicht.

Der gute Wille eines Entwicklers wird der BundID zum Verhängnis

Die Schwachstelle befindet sich in der Implementierung der Security Assertion Markup Language (SAML), eine OAuth-Alternative, die bei der BundID als Authentifizierungs-Verfahren zum Einsatz kommt. Hiermit kann die Webseite einer Kommune einen beim BundID-System eingeloggten Nutzer identifizieren, so dass dieser sich nicht bei jeder lokalen Seite neu anmelden muss. SAML gilt zwar grundsätzlich als sicher, ist laut Wittmann aber schwer korrekt zu implementieren. Da hunderte kommunale Ämter dies tun müssen, um mit der BundID kompatibel zu sein, ist die Wahrscheinlichkeit groß, dass irgendwer einen Fehler macht. Genau das ist bei der Software OpenR@thaus des Dienstleisters ITEBO aus Osnabrück passiert, welche anscheinend in einer Vielzahl von Kommunen zum Einsatz kommt.

Laut Wittmann wollte der Hersteller "eine kleine Komfortfunktion zum SAML-Protokoll hinzufügen, die es ermöglicht, dass man als User nach dem Login direkt auf die richtige Webseite weitergeleitet wird." Leider unterlief den Entwicklern dabei ein Fehler, was dazu führte, dass man sich "nach dem Login auf jede beliebige Webseite weiterleiten lassen kann." Um zu zeigen, wie ein Angreifer vorgehen würde, baute Wittmann innerhalb einer Stunde mit KI-Hilfe eine gefälschte Verwaltungsseite, mit der sie persönliche Daten von Bürgern hätte abgreifen können. Zumindest, wenn sie dieser Seite – gelockt von mehreren tausend Euro Heizkostenzuschuss – auf den Leim gegangen wären. Eine Lücke in einer lokalen Implementierung gefährdete so alle in der BundID enthaltenen Daten eines Nutzers.

Ein Implementierungsfehler kommt selten allein

Immerhin reagierte das zuständige Innenministerium prompt und schaltete das System mit der Schwachstelle innerhalb von Stunden ab. Wittmann hatte die Lücke am Freitagabend öffentlich auf Twitter gemeldet, am Sonntagmorgen war das Problem schließlich behoben.

Allerdings schaffte der betroffene Dienstleister es augenscheinlich nicht, seine Software gänzlich abzusichern, denn Anfang dieser Woche entdeckte Wittmann erneut eine Sicherheitslücke im betroffenen System. Diese geht auf eine über acht Jahre alte und offenbar recht unbeachtete Sicherheitslücke in der quelloffenen CMS-Software Liferay zurück, die bei OpenR@thaus zum Einsatz kommt. Nach der Meldung dieser neuen Schwachstelle sind momentan alle kommunalen Dienstleistungen, die OpenR@thaus nutzen, vom Netz genommen worden. Laut Wittmann hat das System anscheinend noch weitere Schwachstellen. Sie selbst hält von der ganzen BundID/DeutschlandID-Idee generell nicht viel: "Eine zentrale ID als Vertrauensanker der Verwaltung ist eine schlechte Idee. Kommunen brauchen keine Dienstleistungen mit irgendwelchen Identitätssystemen dran auf ihrer Webseite. Für alles, wo eine staatliche Identität wirklich zweifelsfrei festgestellt werden muss – online und sofort – sollte einfach der Personalausweis benutzt werden."

Lilith Wittmann machte sich bundesweit in IT-Sicherheitskreisen im Jahr 2021 einen Namen, als sie eine Schwachstelle in der connect-App der CDU entdeckte. Die Partei zeigte sie deswegen zunächst an und entschuldigte sich dann schließlich bei ihr, nachdem es zu einem öffentlichen Aufschrei gekommen war. Große Teile der deutschen IT-Security-Gemeinde sicherten der Forscherin dabei ihre Unterstützung zu.

(dmk)