Die Sicherheitsforscherin Lilith Wittmann hat erneut gravierende
Sicherheitslücken in der BundID-Implementierung aufgedeckt, die zur
Abschaltung digitaler Verwaltungsdienste in rund 300 Kommunen führten.
Die BundID, die als zentrales Authentifizierungssystem für deutsche
Verwaltungsdienste fungiert, zeigt erhebliche Schwächen auf, die von
Angreifern ausgenutzt werden können.
Wittmann entdeckte in der von der ITEBO-Gruppe entwickelten Portallösung
OpenR@thaus eine fehlerhafte Implementierung des SAML-Protokolls, die es
Angreifern ermöglichte, Nutzer auf beliebige Webseiten umzuleiten und
ihre Daten auszuspähen. Sie demonstrierte diese Schwachstelle, indem sie
eine Fake-Webseite zur Beantragung einer Heizölförderung erstellte, auf
der Nutzerdaten gestohlen werden konnten. Bereits am Wochenende vom 7.
bis 9. Juni 2024 führte die Entdeckung zu einer vorübergehenden
Abschaltung zahlreicher Verwaltungsdienste, um den Fehler zu beheben.
Wenige Tage später wurden erneut alle ITEBO-Instanzen offline genommen,
nachdem Wittmann eine weitere Sicherheitslücke identifiziert hatte.
Diese wiederholten Vorfälle gefährden das Vertrauen in die digitale
Verwaltung. Wittmann kritisiert, dass die BundID als „zentraler
Vertrauensanker“ der Verwaltung zu einem Single Point of Failure
geworden ist. Um zukünftige Sicherheitsvorfälle zu vermeiden, sind
umfassende Sicherheitsüberprüfungen und Verbesserungen in der
Implementierung notwendig.
Quellen: