Noch ein kleiner Nachtrag eines Vorgangs, der bei mir seit Mitte Oktober 2023 vorliegt (habe das zurückgehalten, bis was öffentlich wird). Das im Oktober 2023 gerade in Testbetrieb gegangene „Mein Justizpostfach“ soll die Kommunikation der Bürger mit der Rechtspflege/Justiz ermöglichen. Aber bereits zum Start lag mir der Hinweis vor, dass über diese Plattform persönliche Daten Dritter abrufbar wären. Nun ist dieses Problem beseitigt und der Vorgang öffentlich bestätigt.
Mein Justizpostfach
Die Plattform „Mein Justizpostfach“ soll Bürgern ermöglichen, elektronisch mit der Justiz (z.B. Anwälten) zu kommunizieren. Zum 16. Oktober hat das Bundesministerium der Justiz diese Plattform vorgestellt – siehe nachfolgender Tweet und diese diese Webseite.
Um Mein Justizpostfach einzurichten, wird ein Nutzerkonto mit einer BundID benötigt. Versprochen wird, dass über Mein Justizpostfach die verschlüsselte Kommunikation zwischen Nutzern und der Justiz sowie Behörden, Anwälten, Notaren und Steuerberatern auf „höchstem Sicherheitsniveau“ erfolgen können soll.
Der Dienst ist kostenlos, erfordert aber eine sogenannte BürgerID – hier und auf dieser Seite gibt es einige Informationen. Ich hatte zum 25. Oktober 2023 im Beitrag Die elektronische Akte für Juristen: Defender erkennt MSIL/AgentTesla.USN!MTB beim Start das Thema in einem Nebensatz angesprochen.
Erster Hinweis auf Probleme
Bereits zum 18. Oktober 2023, damals befand sich das Projekt „Mein Justizpostfach“ gerade in der Erprobungsphase, ist mir dieser Tweet unter die Augen gekommen:
Ein Tester hat dort darauf hingewiesen, dass persönliche Daten von Bürgern über das Portal offen gelegt werden – Details gab es zu diesem Zeitpunkt noch nicht. Die Plattform Mein Justizpostfach (MJP) ging zum 12.10.23 als Webanwendung in der Pilotphase und soll eine kostenfreie Alternative zu bisherigen etablierten Programmen sein, welche teils monatlich 69 Euro Netto zu Buche schlagen.
Datenvorfall jetzt bestätigt
Es war ein Hinweis eines Lesers im Diskussionsbereich (danke dafür) der mich auf den, nun von heise aufgegriffenen, Datenvorfall aufmerksam machte. Auch auf BlueSky weist Michael Rohrlich (Rechtsanwalt für E-Commerce, Datenschutz- & KI-Recht; DSB;) auf den möglichen Datenabfluss hin, wie ich gerade gesehen habe.
Aufhänger ist der nachfolgende Tweet von md@chaos.sozial, der weiter oben bereits den möglichen Datenabfluss thematisiert hatte und nun den Datenvorfall öffentlich macht und mit etwas mehr Informationen füllt. Es ist wohl die Benachrichtigung von bundID an die Nutzer von „Mein Justizpostfach“, der nachfolgend als Ausschnitt gezeigt wird.
Der Sachverhalt: Es gab im Testbetrieb eine Fehlkonfiguration der Plattform, so dass im Zeitraum vom 12. Oktober bis zum 9. November 2023 Daten auch ohne Autorisierung über das Internet möglich waren. Betroffen waren der Name und die Anschrift des betreffenden Teilnehmers der Plattform „Das Justizpostfach“, die dort bei der Einrichtung hinterlegt werden, um ggf. Empfänger per Post zu erreichen.
BundID schreibt zwar in der Information an Nutzer der Plattform, dass keine Abrufe personenbezogener Daten bekannt seien. Mir liegen aber Aussagen von Nutzern vor, die nie diese Information erhalten haben wollen.
Aber mal nur langsam zum Mitschreiben: Laut obigem Tweet wurde BundID zum 18. Oktober 2023 darauf hingewiesen, dass die im Testbetrieb befindliche Plattform ein fettes Datenleck aufweist. Es brauchte drei Wochen, um dieses Datenleck, welches Zugriff auf personenbezogener Daten per Internet ermöglicht, zu schließen.
Bei heise heißt es, dass der Fehler, der zur Schwachstelle in der Konfiguration führte, beim SAFE-Dienst der Justiz vorlag. SAFE soll laut Justizportal des Bundes und der Länder die bereits erwähnte „sichere elektronische Identitäten in einem föderalen Umfeld“ bieten. Hat sich zum Start dann leider als unsicher erwiesen. Realsatire allerorten?
PS: Es gibt noch einen bösen Kommentar bei heise, in dem (gemäß Alias) wohl einer meiner Blog-Leser darauf hin weist, dass OpenID Connect für „Mein Justizportal“ eingesetzt wird (bei einer schnellen Suche habe ich dazu aber nichts als Bestätigung gefunden, außer dem Hinweis, dass man Single Sign On, SSO, anstrebt). Hat natürlich den Nachteil, dass jeder, der in Besitz eines Authentifizierungs-Tokens gelangt, Zugriff auf die Inhalte bekommt.
Passt ja zu einem deiner letzten Blog-Beiträge:
https://www.borncity.com/blog/2023/11/12/cyber-security-ii-it-planungsrat-empfiehlt-kommunal-it-von-nis-2-richtlinie-auszunehmen/
NIS-2 wird ja wohl nicht mehr „notwendig“ sein ;-), da darf man dann auch mal ein schluderhaft mit so etwas umgehen.
Der genannte Kommentar auf Heise, wenn dem so sein sollte, spiegelt es schon sehr gut wieder, warum die auf die NIS-2 verzichten wollen. Weil dann müsste man ja (aktuelle) Fachleute an die Sache ranlassen und nicht auf eine alte Technik setzen.
Musste aber erstmal über „Pishing-as-a-Service“ lachen, ist ja, an sich, auch eine Digitaler Service :D
bzgl. OpenID, dass ist eine technische Richtlinie vom BSI ôÔ
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03160/BSI-TR-03160-2.pdf?__blob=publicationFile&v=4
(Seite 10)
Der 1000 u. Xte Beweis – kommuniziere niemals, aber wirklich niemals, zumindest in D, online mit behördlichen Stellen (Gematik u.a. eingeschlossen). Denn da sitzen nur …, welche wir auch noch teuer ihr Leben lang finanzieren.