In den vergangenen Wochen waren zahlreiche digitale Verwaltungen, die mit OpenR@thaus laufen, plötzlich offline. Hintergrund ist, dass das Service-Portal des IT-Dienstleisters ITEBO wegen Schwachstellen offline genommen werden musste. Das war im Juni 2024 bereits das zweite Mal binnen 14 Tagen, dass um die 300 Kommunen ihre digitalen Verwaltungsdienstleistungen nicht mehr anbieten konnten. Was steckte dahinter? Nach mehreren Leserhinweisen – daher nochmals eine kurze Betrachtung des Sachverhalts, den ich im Nachgang mal online stelle.
Anzeige
Leserhinweise auf OpenR@thaus
Ich greife mal ein Thema auf, welches mir mehrfach von Lesern genannt wurde. Bereits am 21. Juni 2026 erreichte mich die Mail des Lesers A. G. mit der Information, dass das Portal open-rathaus.de wieder offline sei. Ich war gerade in Urlaub und habe das Thema daher nicht aufgegriffen. Zum 29. Juni 2024 meldete sich L. R. mit einer weiteren Mail mit dem Hinweis, dass das "digitale Bürgerportal" der Stadt Emden seit dem 24.06.2024 nicht zu erreichen sei.
Der Leser berichtete, dass der Dienstleister das Portal "wegen einer potentiellen Beeinträchtigung vorsichtshalber" vom Netz genommen habe. Auf der Seite wurde geschrieben, dass man schätzt, dass die sichere Wiederherstellung des Dienstes eine Woche benötigt. Und man beeilte sich, zu versichern, dass keine personenbezogenen oder auch sonstigen Daten abgegriffen worden seien. Darauf hin haben beim Leser alle Alarmglocken geklingelt, da er einen Hack vermutete.
Inzwischen läuft deren Portal wieder (siehe obiger Screenshot), wenn auch die URL zum Angebot geändert wurde – da hat man im Hintergrund etwas geschnitzt. Und am 4. Juli 2024 gab es im Diskussionsbereich des Blogs denen Kommentar von Bernie mit folgendem Tenor:
Anzeige
Serviceportal OpenR@thaus des IT-Dienstleisters ITEBO nicht erreichbar.
Wegen einer Sicherheitslücke wurde das Serviceportal OpenR@thaus zum zweiten Mal in kurzer Zeit vom Netz genommen. Davon betroffen sind rund 300 Kommunen. Die Wartungsarbeiten dauern derzeit an. Offenbar besteht ein Zusammenhang zu einer Schwachstelle der BundID, die es erlaubt, relativ einfach auf einer eigenen Website ein BundID-Log-in umzusetzen.
Bernie hat dann noch auf einen Artikel von Kommune21 verlinkt, wo man zum 2.7. 2024 den Sachverhalt (Serviceportal OpenR@thaus des IT-Dienstleisters ITEBO abgeschaltet) angesprochen hat.
Seit dem 4. Juli 2024 ist dieses Serviceportal aber wieder online. Alle diese Hinweise haben es nicht in den Blog geschafft, nicht als Böswilligkeit, sondern weil ich das Thema eigentlich abgehandelt hatte – weswegen ich den Kommentar im Diskussionsbereich auch nicht freigeschaltet habe. Nachdem aber mehrere Leser auf die Probleme bei OpenR@thaus hinwiesen, möchte ich im Nachgang noch einige Informationen liefern.
Was steckt hinter OpenR@thaus?
Bei OpenR@thaus handelt es sich um ein um ein Service-Portal, welches vom IT-Dienstleister ITEBO betrieben wird. Dort werden zentrale Basisdienste, standardisierte Schnittstellen und ein Prozess-Baukasten bereitgestellt, um Kommunen die Umsetzung des Online Zugangsgesetzes (OZG) zu ermöglichen.
Mit dem Onlinezugangsgesetz (OZG) hat die Bundesregierung bereits 2017 den Anstoß zur Erweiterung des Onlineangebotes von Dienstleistungen gegeben. Rahmenbedingungen zum Servicekonto, zum Portalverbund und zur Authentifizierung wurden definiert. Bis Ende 2022 müssen 575 Dienstleistungen von Bund, Ländern, Landkreisen, Städten, Gemeinden und Samtgemeinden digital zur Verfügung stehen, hieß es mal.
Und mit der Portallösung OpenR@thaus können standardisierte Dienstleistungen halb- oder vollautomatisch online angeboten und im Fachverfahren der Kommunen mit wenigen Handgriffen abgeschlossen werden. Sachbearbeiterinnen und Sachbearbeiter sollen entlastet, Routinetätigkeiten minimiert werden, so das Versprechen. Meiner Kenntnis nach greifen so um die 300 Kommunen auf diesen Baukasten zurück, um Verwaltungsdienstleistungen zu digitalisieren.
Was steckt hinter der Abschaltung?
Immer wenn irgend etwas zentralisiert wird, schießt mir der Cybervorfall der Südwestfalen IT durch den Kopf. Ein Angriff auf den kommunalen IT-Dienstleister beförderte um die 100 Kommunen digital ins Abseits (ich hatte ausgiebig im Blog berichtet. Und in der Tat waren Ende Juni digitale Verwaltungen von so um die 300 Kommunen offline, weil OpenR@thaus, das Service-Portal des IT-Dienstleisters ITEBO, offline gegangen war.
Was war passiert? Gab es einen Hack? Hier kann ich Entwarnung geben – weil mir die Hintergründe wohl weitgehend klar waren. Anfang Juni 2024 hatte ich im Blog-Beitrag BundID und Cyberbetrug: Die Heizölförderung – (kl)eine Lilith Wittman-Story ein Problem mit dem gesamten Ansatz aufgegriffen. Lilith Wittmann hatte nachgewiesen, dass SAML-Implementierungsfehler bei der Einrichtung der digitalen Verwaltungsdienstleister mittels der Portallösung OpenR@thaus fatale Folgen haben können.
Für alle Verwaltungsdienstleistungen benötigt der Bürger eine BundID, um sich gegenüber der Verwaltung authentifizieren und Dienstleistungen in Anspruch nehmen zu können. Wittmann hatte dann flugs eine eigene Seite "Heilzölförderung" eingerichtet, die die BundID nutzte, um Daten abzugreifen – war natürlich nur eine Demonstration. Aber in Folge gingen binnen einer Stunde alle ca. 300 Kommunen, die über die Portallösung OpenR@thaus digitale Dienstleistungen anboten, offline.
Der IT-Dienstleister ITEBO hatte sein Service-Portal offline genommen und einige Leute durften Nacht- und Wochendschichten absolvieren. Für mich war das Thema an dieser Stelle eigentlich durch, die ITEBO repariert ihr Portal und die IT-Leute der Kommunen sorgen dafür, dass die Einbindung des Portals sauber passiert.
Zum 18. Juni 2024 kam mir obiger Tweet von Lilith Wittman unter die Augen, die hatte OpenR@thaus wieder kaputt gemacht, und hat es in Form eines kurzen Nachtrags hier dokumentiert. Sie hatte einfach die alte Lücke auf Twitter erneut erwähnt und wohl auch auf Mastodon gepostet. Binnen Stunden wurde das Fachverfahren, welches für die Demonstration verwendet wurde, durch das Innenministerium (BMI) abgeschaltet. Wittmann wies darauf hin, dass viel mehr Portale die Sicherheitslücke aufweisen, worauf alle diese Portale abgeschaltet wurden. Damit waren die digitalen Rathäuser von ca. 300 Kommunen offline und zeigten die oben erwähnte Meldung.
Die Kollegen von Golem haben dann zum 18. Juni 2024 den Sachverhalt rund um die "Sicherheitslücke BundID" im Artikel Verwaltungsdienste von 300 Kommunen wiederholt offline aufgegriffen. Ich selbst habe mir die zeitnahe Berichterstattung gespart, sondern war an ab dem 19. Juni beim Wandern an der Mosel – war deutlich entspannter, als über BundID und deren Schwachstellen zu bloggen. Nachdem mir das Thema aber von mehreren Lesern zugetragen wurde, habe ich mich doch für einen Nachtrag entschieden – niemand soll dumm sterben müssen.
Ähnliche Artikel:
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT; Stand Januar 2024
Südwestfalen IT: Cybervorfall nachbearbeitet – andere machen es besser
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2
BundID und Cyberbetrug: Die Heizölförderung – (kl)eine Lilith Wittman-Story
Zwang zur BundID bei Einmalzahlung200 war unzulässig
Anzeige
Wir brauchen Ehrlichkeit, Transparenz, Verbesserungswillen, Pfilchtenhefte oder ITSM. Engagierte Admins wie MaxM oder Andere die hier oft mitlesen – oder einfach eine pedantischere Prüfung und die Suche nach Bugs.
Wir benötigen ein definiertes, sozial verträgliches und geplantes, wirtschaftliches Sicherheitsniveau für unsere IT. Mehr von Herrn Kuketz (Grüße) – ebenso weniger verklagte DSBs auf EU-Ebene.
Was wir nicht benötigen: Zwang zur BundID ohne Rechtsgrundlage, "Digitalisierung First, Bedenken Second" oder das neue AKW neben dem KI-Rechenzentrum.
Mit dem zitierten Post von Bernie (Grüße!) ist auch der verschwundene (imho wichtige) Kommentar aus Diskussion während der Wartung wieder aufgetaucht. Danke @ GB!
DSBs haben mit Datensicherheit nichts zu tun. Datensicherheit oder IT-Sicherheit muss die IT grundsätzlich sicherstellen.
Eines fehlt… Faire Bezahlung! Die TVöD sind im Vergleich zur Privatwirtschaft, einfach unterirdisch aufgestellt. Wer noch Beamter werden kann, ist das evtl was anderes wenn die Pension los geht vs Rente. Nur bis dahin ist auch die Bezahlung ein großes Thema. Zahlste nix kriegste nix :)
@Phadda verstehe den Gedanken, ich kenne Beides. IMHO ergibt sich die letzten 5? 10? 15? Jahre ein abstruses Bild bei "fair".
Ich kenne Heuschrecken, American Management und ebenso "Behörden". Wenige Führungs- oder HR-Kräfte können überhaupt noch "Deine Leistung" realistisch beurteilen [ zunehmende Spezialisierung, fehlendes Verständnis, etc. ]. Die Koppelung an "realistische & ehrliche" Leistung ist in letzten Jahren diametral zum reellen Einsatz. Wenn Du 50/60h+ für 6-stellige Beträge arbeitest – könnte man auch 35 oder 39h nach TVöD arbeiten.
In 70er Jahren hat 1 Person die Familie ernährt, früher waren arbeitende Frauen verpöhnt/verboten. Ich kenne privat seit 1990 keine Familie mehr ohne Double-Income.
Ich möchte jedoch weiter an unser Engagement glauben – und ebenso will ich soziale, geile und ehrliche IT abliefern.
Wieso "oder"? Für mich gehört da ein "und" hin.
Kommunen und Landkreise sind aus Sicht des Bundes nicht wichtig und daher von NIS-2 ausgenommen…
Frei nach Forrest Gump: Dumm ist wer Dummes tut
Norddeutsch: Nicht nur dann!
Was wäre denn eine Alternative zur BundID? Das jede noch so kleine Kommune eine eigene Lösung auf die Beine stellt? Hätte zur Folge, dass man sich bei jeder Kommune, bei der man Verwaltungsleistungen in Anspruch nimmt, ein Konto registrieren muss (zugegeben, kommt nicht so oft vor, dass das wechselt). Eine Authentifizierung und Autorisierung über den nPA? Möglich, benötigt aber Hardware zum Aus-/Einlesen und irgendwie ist das ja auch wieder etwas zentrales.
Ich bin der Überzeugung, dass eine Zentralisierung der IT für Kommunen, die einzige Möglichkeit ist, wie man ansatzweise eine vernünftige und sichere IT-Infrastruktur und IT-Dienste im kommunalen Umfeld anbieten kann. Kommunen haben oftmals nicht die Personalstärke, um sowas im Alleingang zu stemmen. Es gibt genug IT-Dienstleister, die nur für die öffentliche Hand arbeiten und ich finde, dass das in der Form eine gute Sache ist. So gibt es noch immer Wettbewerb. Und dennoch wird man voneinander lernen, ich glaube der Fall bei der SIT hat einige in diesem Umfeld wachgerüttelt und sorgt letztendlich dafür, dass die IT-Sicherheit insgesamt verbessert wird.
Die Frage ist berechtigt @Anonymous. Imho jedoch auch suggestiv, man sollte Punkte wie a) lokale eigene Lösungen b) einzelne "Konten" c) Zentralisierung der IT … nicht vermischen oder pauschal mit BundID vergleichen.
Die Zentralisierung von Diensten (IT-Service, Fachanwendung, SOA, Hosting oder wie auch immer ) ist wohl unbestritten wesentlicher Synergiefaktor.
Es lässt sich abwägen wann in Modellierung, Geschäftsprozess oder nennen wir es "Use Case" eine "zentrale ID als Vertrauensanker" wirklich zwingend nötig ist. Gehe daher mit Wittmann hier mit. KISS – keep it stupid simple.
Ich will sichere & saubere IT & Architektur mit definierten Schutzbedarf & Sicherheitsniveau. Dies wird operativ seit Ewigkeiten zB bei BundID ad absurdum geführt. Das leitet jedoch nicht zu Deiner obigen Frage "was ist Alternative" sondern eher zu "WIE modelliert, implementiert und betreibt man es vernünftig".
Wenn jedoch unsichere Architektur oder Lösungen nur durch sonst fehlende Machbarkeit oder kommunal-lokal begrenzte Ressourcen und Personalstärke begründet werden… dann sollte man zurück zur Planung oder in Teilbereichen zu bewusstem Verzicht.
Schwärmerei bei Modebegriffen wie "Digitalgipfel" , E-Government-Gesetz oder marketingoptimiert "Rathaus mit @" macht die gerade so vorhandene Lösung nicht automatisch sinnvoll, sicher oder vernünftig.
Wäre nicht verkehrt, auch wenn die Gefahr größer wird, das ein zentraler Ausfall effektiv alle Kommune off nehmen könnte. Kosten/Effizienz vs Ausfallwahrscheinlichkeit?
Durch die Föderalismus ist das ganz auf die Länder übertragen worden. Zentrale Themen wie Bundeswehr nicht, Polizeiuniform und Co dann doch wieder und und und Durch eine Zentralisierung hätte evtl auch eine eigene Cloud entstehen können, wenn entsprechend gutes Personal dabei wäre. Das halt alles Fiktion, aber träumen ist nicht verboten (noch) :-D
Bei unserem Landkreis gibt es zentrale IT Systeme aka Applikationen, jedoch hat jede Kommune bei einigen anderen Theme freie Hand wie Domänen/Deployment und Achtung "Security/Datenschutz". Da stellt es einen dann schon die Haare auf, das die "zentrale IT" im Landkreis dann doch nicht mehr so Zentral ist :(
Ja, da ist es mal nicht von Microsoft und doch auch nicht sicher. Das wegen Sicherheitslücke offline nehmen bis diese geschlossen ist auch keine Lösung für diejenigen, welche diese Dienstleistung nutzen wollen/müssen.
Weil Microsoft ja auch Fachverfahren entwickelt und bereitstellt. Microsoft stellt Basisdienste zur Verfügung und eine Plattform auf der man seine eigenen Anwendungen (Fachverfahren) hostet.