BundID und Cyberbetrug: Die Heizölförderung – (kl)eine Lilith Wittman-Story

Sicherheit (Pexels, allgemeine Nutzung)Deutschlands Behörden wollen digitalisieren – Anträge sollen online einreichbar sein. Zur Absicherung, ob der Antragsteller auch der Antragsteller ist, soll die BundID dienen. Behörden können dann ihre Antragseiten so (in SAML) implementieren, dass die BundID über die betreffende Webseite autorisiert wird. Doof nur, wenn die Implementierung fehlerhaft ist oder von Cyberbetrügern ausgenutzt wird. Lilith Wittman hat sich dieses Thema angenommen und mal eine eigene Seite "Heilzölförderung" eingerichtet. Deutschland und deine Verwaltungsdigitalisierung, das nimmt kein (gutes) Ende.


Anzeige

Die BundID – jeder soll sie haben

Díe BundID soll es Bürgern der Bundesrepublik Deutschland ermöglichen, sich über ein zentrales BundID-Konto für viele Verwaltungsleistungen anzumelden und bei Anträgen sicher zu identifizieren. Um die BundID anzulegen, muss der Bürger auf dieser BundID-Webseite ein BundID-Konto anlegen.

BundID-Konto beantragen

Der Nachweis, dass man auch der ist, für den man sich ausgibt, kann beispielsweise der Online-Ausweis verwendet werden. Das wird empfohlen und erfordert einen deutschen Personalausweis samt PIN einen Kartenleser sowie die Ausweis-App. Moderne Handys sollen dabei über ihren NFC-Teil als Ausweisleser dienen können. Im Blog-Beitrag eID, Pass auf dem Smartphone: Neuer Schlenker, neues Desaster mit Ansage? hatte ich 2021 die Erfahrungen mit dieser Lösung gepostet. Keines meiner damaligen Smartphones wollte als Ausweisleser dienen. Heute habe ich ein Smartphone, was den Ausweis lesen kann – aber ich weiß nicht, ob die AusweisApp von Governikus noch funktioniert. Ich habe auf meinem Windows 10 nichts dergleichen installiert.

Aber egal, nehmen wir an, die Technik funktioniert so, dass Otto-Normalbürger das alles problemlos verwenden kann. Der geneigte Mensch hält den Ausweis in Nähe des Smartphones, liest den Ausweis mit der AusweisApp auf dem Smartphone, und hat unter Windows noch eine entsprechende AusweisApp installiert. Diese Kombination sorgt für eine Multi-Faktor-Authentifizierung, die der App auf dem Windows-System signalisiert "der Benutzer hat sich am Smartphone authentifiziert, gib das für die gewählte Webseite frei".


Anzeige

So weit so gut (obwohl die Annahme, dass das alles funktioniert, schon eine Wette ist, die man leicht verlieren kann). Denn es gibt die spannende Frage: "Kann jeder Bürger oder Cyberkriminelle eine Fake-Seite aufsetzen, auf der eine Authentifizierung per BundID möglich ist?"

Wenn Cyberkriminelle BundID fordern

Sicherheitsforscherin Lilith Wittmann, u.a. beim Kollektiv Zerforschung aktiv, hat sich des Themas BundID angenommen. Hintergrund ist, dass Behörden und Kommunen eine entsprechende Authentifizierung per BundID auf ihren Webseiten per XAML-Client implementieren müssen. Von der Behördenseite, wo sich der geneigte Bürger anmelden möchte, wird er auf die BundID-Seite umgeleitet, bestätigt dort seine Identität und gelangt zur Behördenseite zurück. Dort kann er dann seinen Verwaltungskram abwickeln, Anträge stellen und was weiß ich.

BundID in Praxis

In obigem Tweet weist Wittman darauf hin, dass die BundID breit in der Verwaltungsdigitalisierung eingesetzt werden soll. Nach dem Online-Zugangsgesetz (noch in der Entwurfsphase) soll das alles freiwillig sein. Der nachfolgende Tweet von Wittman zeigt, wie der Hase läuft.

BundID im Online-Zugangsgesetz (Entwurf) und in der Praxis

Könnte man mal drüber nachdenken und sich beschweren. Aber egal, kommen wir zum Kernpunkt: Alles hochsicher und vertrauenswürdig, das mit der BundID, da kann man Gift drauf nehmen.

Heizölförderung des Bundes

Lilith Wittmann war ein wenig kreativ und hat die "Heizölförderung des Bundes" erfunden. Das ist politisch zwar nicht korrekt, wir wollen ja weg von dem Zeugs. Und umweltmäßig geht es auch nicht, dass korrekterweise müsste es "Heizölförderung des Bundes mit Abfluss" heißen. Ok, war ein Scherz, es fließt kein Heizöl ab, sondern nur die Daten des Bürgers, der sich per BundID vermeintlich bei einer "seriösen Seite" anmeldet.

Heizölförderung des Bundes

Obiger Tweet enthält ein eingebettetes Video, welches den Datenraub zeigt (einfach auf das Bild klicken, um das Video auf X ansehen zu können). Für die Seite zur Heizölförderung des Bundes hat Wittmann eine eigene GitHub-Seite mit obiger Oberfläche samt XAML-Implementierung für die BundID aufgesetzt.

Man sieht im Video, wie der Besucher der Seite "Die Heizölförderung des Bundes" auf die Schaltfläche Login mit BundID klickt. Der Besucher wird zur Webseite des Bundes mit der BundID geleitet und kann sich dort authentifizieren. Im Anschluss gelangt er zurück zur GitHub-Fake-Seite von Wittmann, wo nun ein vermeintliches Antragsformular wartet (siehe nachfolgendes Bild). Die frohe Botschaft, es gibt 2.000 Euro Förderung – spätestens an dieser Stelle setzt die Bremse für den gesunden Menschenverstand ein und verhindert Nachdenken.

Wir wollen eure Daten

Auf der Fake-Seite sollen vom Antragsteller die Bankverbindung, der Name, die Steuernummer und eine Telefonnummer angegeben werden. Das ist natürlich alles höchst seriös, da man sich per BundID identifiziert hat. Nach dem Online-Zugangsgesetz (OZG) sollen das ja bald Millionen Menschen in Deutschland nutzen. Digitalisierung first! Bedenken second!

Antragsseite Heizölförderung des Bundes

Wie sich das für eine deutsche Behörde geziemt, gibt es dann noch eine Schaltfläche Beantragen, wo die Heizölförderung beantragt werden kann. Gibt der Nutzer auf der Seite "Die Heizölförderung des Bundes" seine Daten ein und klickt als Antragsteller auf Beantragen, erhält er auch prompt die "Antragsbestätigung", wobei die Implementierer der Heizölförderungsseite des Bundes Humor bewiesen haben. Dort heißt es "Die Daten sind weg, weg, weg" – ist nun mal so, wenn Du einen Antrag an einer Behörde einreichst, sind die Daten weg und liegen bei der Behörde.

In obigem Kontext bedeutet das "bei dieser Sache mit der Digitalisierung" aber: Auch Wittmann hat die Daten über ihre Fake-Seite abgegriffen – etwas, was Phisher gerne machen. Wer sich die Adressleiste des Browser anschaut und auf die URL achtet, erkennt, dass man nicht auf der Behördenseite unterwegs ist. Macht aber kaum jemand von den Digitalisierungsopfern – Hauptsache die Webseite funktioniert.

Wittmann erklärt die Zusammenhänge

In einer Serie Tweets erklärt Lilith Wittmann die Zusammenhänge. Die BundID dient als zentrales Anmeldesystem für viele Anträge des Bundes, der Länder und Kommunen. Unterstützt eine Antragsseite eine Anmeldung über die BundID, strahlt dies für viele Menschen Vertrauenswürdigkeit aus.

Risiko der BundID

Problem: Auf den Seiten, die die BundID zur Identifizierung nutzen, müssen diese Entitäten selbst ihre Dienste (z.B. Anträge) mit einer Anmeldung über die BundID implementieren. Sprich: Die Seite leitet zur BundID-Seite weiter, wo die entsprechende Autorisierung erfolgt. Dann fälle der Benutzer auf die Ursprungsseite zurück und kann den Antrag ausfüllen und einreichen – er wurde ja per BundID authentifiziert.

Zum Risiko schreibt Wittman: "Wenn jetzt aber eine der Entitäten diese Anmeldung falsch implementiert, dann können z.B. Scammer diese falsche Implementierung nutzen und es so aussehen lassen, als würde man sich gerade bei einer staatlichen Dienstleistung anmelden. Und dann können die Scammer einfach eure Daten stehlen und ihr dachtet, ihr hättet nur kurz einen Antrag ausgefüllt."

Die betreffende GitHub-Seite zum Ausprobieren und Beantragen der Heizölförderung gibt es hier. Die Geschichte ist eine Story in Progress. Matthias Zahn wies unten im Kommentar auf nachfolgenden Tweet hin.

BundID-Implementierungsdesaster
Im rechten Screenshot sieht man, dass die Implementierung die Ziel-URL, die beim Aufruf mitgegeben wird, nicht validiert wird. Es kann jeder Unsinn mit der BundID treiben – BundID für Alle.

Finale Gedanken

Auf die Frage, ob Wittmann das Problem gemeldet hat, kam als Antwort "Nee, das Konzept ist das Problem. Wenn Du hunderte SAML Clients hast, ist immer einer kaputt. Da hilft auch melden nix mehr." Wenn ich diesen Tweet richtig interpretiere, hat Wittman im Verwaltungsportal der Stadt Georgsmarienhütte per Anmeldung mit BundID versucht, einen Atomreaktor im Garten anzumelden.

Laut diesem Tweet wurde die betreffende Implementierung für die BundID von den Verantwortlichen aber sehr zügig deaktiviert (in diesem Tweet heißt es 1:50 Minuten). Ein weiterer Tweet liefert Details zu den Angeboten, die abgeschaltet wurden. Das heißt: Alle Kommunen, die schon irgend etwas mit der BundID digitalisiert haben, und zum aufgeführten Kreis gehören, haben jetzt keine Verwaltungsdigitalisierung mehr.

So funktioniert die Anmeldung über die BundID beim OpenR @thaus der Stadt Georgsmarienhütte nicht mehr, da der Bund das Verfahren zur Authentifizierung per BundID gerade gestoppt hat. Kleines Update: Wittmann hat nun nachfolgenden Tweet veröffentlicht – da sind gerade einige Digitalisierungsseiten, die auf die BundID aufsetzen – kaputt.

Webseiten mit BundID kaputt

Erklärung: Im Einschub "Störung BundID" in der rechten Seitenleiste heißt es, dass die Anmeldung mit der BundID und eine Rückleitung von der BundID-Oberfläche derzeit nicht funktioniere. Mal schauen, wann die "technische Störung", die auf der obigen im Screenshot gezeigten Verwaltungsseite angegeben wird, vom Bund behoben wird.

Die Episode zeigt, wie an allen Stellen bei dieser Digitalisierung Fallen lauern und ein Security-Blogger in naher Zukunft viel Spaß haben kann und immer was zu berichten hat. Ich selbst hoffe nun, dass hier in den Kommentaren nicht Leute einschlagen, die sich beschweren, weil das Login auf der Seite mit der "Heizölförderung" nicht funktioniert oder nachfragen, wo der Förderbetrag bleibt.

Das ist nicht so ganz aus der Luft gegriffen, im Beitrag Facebook Wants to Be Your One True Login hatte ich 2011 skizziert, in welche Abgründe man so geraten kann. Und im 50Plus-Blog gibt es von mir den Beitrag Arbeitsplatz mit Aufstiegschancen und Frischluft – Lampe auf 457 Meter-Turm wechseln, wo heute noch Bewerbungen im Kommentarbereich eintrudeln. Schönen Sonntag – heute ist Europa-Wahl, denkt dran.

Noch ein Nachtrag: Obiger Beitrag ist ein Work in Progress – Lilith Wittman hat das Ganze nun auf Medium im Beitrag BundID: Eine digitale Identität schafft (falsches) Vertrauen aufgeschrieben. Da kann jeder nun die Details und Bewertungen nachlesen, die ich oben nur rudimentär angerissen habe.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

34 Antworten zu BundID und Cyberbetrug: Die Heizölförderung – (kl)eine Lilith Wittman-Story

  1. kassandra sagt:

    Je zentral digitaler anhängig der Bürger wird, z.B. durch eID für alles und jeden Online Dienst inkl. Banking, Gesundheit, Versicherungen, Mobilität, Bargeldlosigkeit, desto konformer muss der Bürger sein, sonst steht da eines Tages möglicherweise "Account Suspended" auf dem Zugangsgerät und man ist vom Leben ausgeschlossen.

  2. Alzheimer sagt:

    … denn sie wissen nicht was sie tun – Hallelujah!?
    @Günter:
    Ich bin mal Deinem Tipp aus dem CDU-Beitrag gefolgt und habe mir das Wahlprogramm von Anja Hirschel (Piraten) durchgelesen.

    Die scheint wirklich eine der wenigen Politiker zu sein, die noch einigermassen zurechnungsfähig sind.
    Sie setzt sich u.a. ja hierfür ein:
    – Korruptionsbekämpfung und Eindämmung des Unternehmenslobbyismus
    – Offenlegung und Eindämmung des externen Einflusses auf politische Entscheidungen
    – Das Recht auf Privatsphäre
    – Das Recht auf Selbstbestimmung
    – Datenschutz – Verwendung seiner Daten nur mit Zustimmung
    – Alle Tiere verdienen es, human behandelt zu werden / Einführung artspezifischer Standards für alle Nutztiere
    – Bürgerbeteiligung und offene Verwaltung / Volksabstimmungen
    – Transparenz des öffentlichen Sektors
    und der Rest vom Wahlprogramm klingt ganz vernünftig bei Anja Hirschel – finde ich ;)

    Wünsche allen heute viel Spass beim Kreuzchen machen!

  3. Stefan Klatt sagt:

    "Doof nur, wenn die Implementierung fehlerhaft ist oder von Cyberbetrügern ausgenutzt wird"
    Warum "oder"?

  4. Matthias Zahn sagt:

    Der Tweet (das rechte Bild) zeigt das Problem.
    Bei ITEBO OpenR@thaus sind echte Profis am Werk.

    https://x.com/lilithwittmann/status/1799157972482007208?s=61

    Wenn Du irgendeine Ziel-URL mitschickst und niemand prüft, ob die valide ist.

    • Anonymous sagt:

      Bei einem zentralen Validierungsdienst für zig tausende von Diensten gibt es sauere Äpfel in die man beissen muss? Steht die Überlegung im Raum, wie clever ein zentraler ID Ansatz ist, der damit einen netten Single Point of Failure für ein ganzes Land und damit kritische Angriffsfläche auch für DDoS oä. darstellt.

  5. Norddeutsch sagt:

    Mag jemand das Video irgendwo re-uploaden und teilen? Auf eigener Seite ( lilithwittmann.medium.com/ ) hat Lilith noch Nichts… X mag meine Infrastruktur nicht.

    • Blacky Forest sagt:

      Meine Infrastruktur mag X nicht ;-)

    • Bernd B. sagt:

      …bin zwar ein wenig spät dran, aber einfach den Teilstring "x.com"/"twitter.com" der URL durch "nitter.poast.org" ersetzen.

      Hilft immer (ausser bei 'Schlossaccounts').

      Lohnt aber nicht wirklich, es zeigt nur, wie sie BundID anmeldet und dann auf der Fakeseite ein Formular ausfüllt und absendet, danach nur "Daten sind weg", aber nicht welche Daten (recht sicher ausschliesslich die des Formulars).

      Bund-ID nur insoweit involviert, dass ihre Nutzung Vertrauenswürdigkeit/Offizialität (wie ist das Substantiv von "offiziell"??) der Fakeseite suggeriert.

  6. Anonymous sagt:

    "per Anmeldung mit BundID versucht, einen Atomreaktor im Garten anzumelden."
    😆😆😆
    wie geil, ich feiere das.

  7. F sagt:

    Nur das ich das richtig verstehe: Es wird eine Fakeseite aufgerufen, die leitet auf die BundID Seite weiter, wo ich mich anmelden und dann komme ich zurück auf die Fakeseite. DORT gebe ich Daten ein und Lilith beschreibt die Erfassung dieser Daten auf der Fakeseite als Datenraub? Über BundID sind also KEINE Daten meines Ausweises abgeflossen?

    Sorry, aber damit geht es doch nur um Panikmache, dass die Verwendung von BundID eine Behördenangelegenheit einer Fakeseite suggerieren könnte ! Jede Nutzung von staatlichen CI-Elementen (Flagge mit Stab oder blauer Hintergrund) ist dies auch, für die meisten Menschen wirken diese sogar noch vertrauenserweckender als eine vielen noch unbekannte BundID. SInd daher HTML und CSS automatisch auch "böse" und einen Artikel wert?

    • Günter Born sagt:

      Deine Ausführungen im 2. Absatz kann man so sehen, muss man aber nicht. Mehr muss ich dazu nicht schreiben – und wenn eine BundID-Identifizierung binnen nicht mal 2 Stunden abgeschaltet wird, obwohl da einige digitale Verwaltungsleistungen von Kommunen drüber laufen, lässt das imho tief blicken. Und nein, es war nicht der kleine Blog hier, der das bewirkt hat, sondern – so meine Lesart – einige der oben zitierten Tweets von Wittman. Bei Wittman schauen viele der Digitalisierungsentscheider auf die Posts – habe das bereits häufiger verfolgt, dass ein Opsi thematisiert wurde und dann binnen kurzer Zeit abgeschaltet wurde.

    • Bernd Bachmann sagt:

      Technisch betrachtet sehe ich das genauso wie Du. Ich könnte mir aber vorstellen, dass ein großer Teil der Bevölkerung — und dabei will ich mich selbst explizit nicht ausnehmen — denkt: Nur echte, offizielle, staatliche Seiten dürfen und können diese Identifizierung verwenden.

      Wenn Du durch die Tür eines physischen Rathauses gehst, nimmst Du ja auch an, dass alle dahinter angebotenen Dienstleistungen echt und offiziell sind.

    • Andreas sagt:

      So halb richtig. Du gehst auf eine Fake-Seite die einen Bund-ID Button hat. Wenn du den drückst wirst du auf eine Seite einer Verwaltungseinrichtung geführt die mind. zwei Implementierungsfehler im Bund-Login Prozess hat (CSRF und Open-Redirect). Diese Verwaltungseinrichtung leitet dich dann zum Bund-ID Login. Da loggst dich ein und der Bund leitet dich wieder zur Verwaltungseinrichtung und die leitet dich dann wieder zur Fake-Seite.
      Die redirects von der Verwaltungseinrichtung siehst du aber nicht, daher sieht es so aus als wärst du direkt von der Fake-Seite über die Bund-ID wieder zur Fake-Seite geleitet.

      Kritisch ist das schon, weil man natürlich denkt dass nur legitime Seiten den Bund-ID Login anbieten dürfen. Und technisch stimmt das ja auch, denn du meldest dich eigentlich bei der Verwaltungseinrichtung an.

      Lösung: Natürlich müssen die Service Provider sicher sein. Open-Redirects und das Annehmen von kritischen Parametern über hier POST von einem fremden Server sind klare Sicherheitsmängel.

      Zusätzlich ist es bescheuert dass die Bund-ID Website nicht anzeigt welcher Dienst grade welche Daten anfragt. Das würde so einen Angriff viel offensichtlicher machen.

      • Christian sagt:

        CSRF sehe ich hier nicht – in dem Tweet von Lilith Wittman ist zwar ein Formular, was aber vom Nutzer selbst abgeschickt wird (also nix "F"). Ist wohl der definierte Weg, sich via Bund ID einzuloggen (ähnlich wie klassische OIDC-Mechanismen). Der Open Redirect ist in der Tat das eigentliche Problem.

  8. TBR sagt:

    Estland ist hier Vorreiter. Alles mit einer ID. Ich finde das gut.

    • Anonymous sagt:

      Und wenn die ID mal versehentlich oder auch absichtlich gesperrt wird, iat man vom Leben ausgeschlossen.

      • TBR sagt:

        Klar, jede Medaille hat zwei Seiten. Wir sind ein Land der Bedenkenträger geworden. Einfach nicht mehr zukunftsfähig.

        • Günter Born sagt:

          Ist mir zu pauschal! Nur mal so: Du kannst in Asien auf Baustellen Gerüste aus Bambus sehen und Arbeiter, die dort in Flipp-Flopps herumturnen. Abgesichert wird das nichts, passiert was, war es halt Pech des Einzelnen. Die "Bedenkenträger" haben in Deutschland aber dafür gesorgt, dass auf jeder Baustelle absturzgefährdete Bereiche durch Geländer abzusichern sind. Und auf der Baustelle ist es aus Gründen der Arbeitssicherheit Pflicht, Sicherheitsschuhe und Helm zu tragen.

          Ich glaube kaum, dass irgend ein vernünftig denkender Mensch auf die Idee kommt "weg damit, immer diese Bedenkenträger" (dabei würde es doch das Bauen womöglich arg verbilligen, vermute ich mal). Aber bei IT-Themen, wo einfach mal gefordert wird, dass Sicherheit und Datenschutz "auf die Füße gestellt" werden, kommt sofort jemand mit "Bedenkenträger" um die Ecke. Es gibt zwar "den Vertrauensvorschuss", der bei vielen Menschen in den 2000er Jahren vorhanden war. In den letzten Jahren ist das aber sicher geschleift worden – die Folgen sehen wir doch täglich. Wenn ich jetzt als "Work in Practice" Rock-solide und safety-first System über die nächsten zwei Jahre sehen würde, könnte man seine Positionen ja dynamisch anpassen. Aktuell stelle ich fest, gibt nur noch zwei Gruppen "Ignoranz/Resignation – kann eh nichts machen" und deine "Bedenkenträger", die vor den Problemen warnen. Ich verstehe es echt nicht mehr!.

          • TBR sagt:

            Wir können alles übertreiben und das tun wir auch. Ob ein Bauantrag, ob Datenschutz ob…
            Bürokratie "at it's best". Ich komme aus der Praxis und sehe und erfahre das jeden Tag.

  9. Karel sagt:

    Ich habe dabei nicht verstanden, ob die BundID-Seite dann auch die ausgelesenen, bestätigten Informationen aus dem Personalausweis an die Hacker zurück gespielt hat, oder ob dieses Identifizieren beim Bund nur Seriosität vortäuschen soll, aber eigentlich nur Pseudo ist und keine Daten den Weg ePA – BundID – Hackerseite nehmen. Fall eins wäre richtig schlimm, Fall zwei schon deutlich weniger, empfinde ich.

    • Günter Born sagt:

      Genau weiß ich es nicht – aber meine Interpretation ist aktuell, dass ich die "Ziel-URL" mit angeben kann, wo die BundID-Authentifizierung zurück geliefert werden soll, auch wenn die Anfrage von einer ganz anderen URL kam. Die BundID-Verifizierung wurde jedenfalls in unter 2 Stunden von den Verantwortlichen deaktiviert – da scheint eine Hütte am Brennen.

      • Andreas sagt:

        Nein, die Bund-ID Daten landen NICHT bei der Fake-Seite.
        Die Bund-ID und die Daten werden zurück zur legitimen Verwaltungseinrichtung geleitet. Die Software der Verwaltungseinrichtung leitet dich danach aber zu der Seite weiter die du vor dem Login besucht hast. Und dieser Funktion kann man eine externe URL unterjubeln.
        Es ist ein Implementierungsfehler in der Software der einzelnen Verwaltungseinrichtung und hat mit der Bund-ID selbst nichts zu tun.

        • Karel sagt:

          Was genau ist diese „legitime Verwaltungseinrichtung", die da noch zwischengeschaltet ist? Davon ist weiter oben in den Kommentaren auch schonmal die Rede!
          Und diese „legitime Verwaltungseinrichtung", die die Daten von der BundID erhält leitet sie dann aber auch nicht weiter, oder?

          • koaschten sagt:

            Zum Beispiel die Stadtverwaltung und Landerverwaltung.

            Diese können sich für die Bund ID freischalten lassen und diese dann für Web Services zur Authentifizierung implementieren. Wenn sie dies aber fehlerhaft machen, kann eine x-beliebige Fake Seite "Huckepack" den Bund ID Popup der Stadtverwaltung nutzen um Authentizität vorzugaukeln, in dem die Bund ID Abfrage aufgeht (für die Stadtverwaltungsseite) aber man direkt wieder auf der Fake Seite landet.
            Besagte Heizöl Förderungsseite zum Beispiel.

          • Andreas sagt:

            Im Beispiel war die legitime Seite https://openrathaus.hansestadt-uelzen.de/ – wobei eben alle Seiten betroffen waren die die Software OpenR@thaus einsetzen.

  10. Karel sagt:

    Falsche Adressleiste des Browsers und URL:
    Klar, das ist im Netz schon nochmal deutlich schwerer zu durchschauen, zumal auch seriöse Behördenseiten da schlampig sind: Für den Briefwahlantrag der heutigen EU-Wahl wurde in der Wahlbenachrichtigung ausgeschrieben eine ganz andere URL bei meiner Kommune genannt, als die im QR-Code direkt daneben aufgelöste. Die Seit direkt bei der Kommune verlinkt an dieser Stelle auch kommentarlos nach extern, wobei der Link in einem Button steckt, also erstmal nicht sichtbar ist. Erst mit etwas Recherche findet man heraus, dass die Ziel-Seite der kommunale RZ-Betreiber ist.
    ABER:
    Es ist nicht nur das verwirrende Neuland. Die Leute unterschreiben doch einfach unhinterfragt und eigentlich ungewollt auch vieles ziemlich Unstimmiges in der stofflichen Welt und schreien dann „Betrug". Siehe z.B. 1N Telecom.
    Oder am Übergang Stofflich – Neuland: was manche so per Onlinebanking-TAN freigeben.
    Das soll aber ausdrücklich kein „Selbst schuld" oder „Victim blaming" sein. Es gibt halt nicht nur schwarz und weiss. Bei einigen triggern bestimmte Tatsachen den Gier-Reflex, bei anderen den Alarm, und manches kann man einfach auch nicht überblicken.

  11. Robert Glöckner sagt:

    In Bayern kann das nicht passieren, denn hier gibt es keine Bund-ID, sondern eine eigene Bayern-ID. https://id.bayernportal.de/de/web/login/1/eID

    Es ist aber gar nicht so einfach eine zu bekommen. Ein Bekannter brauchte das um seinen Führerschein verlängern lassen zu können und trotz IT-Erfahrung hatte er mehrere Stunden gebraucht…

  12. 1ST1 sagt:

    Erstaunlich, dass scheinbar jede dahergekommene Webseite überhaupt dafür authorisiert ist, eine Anmeldung per Bund-ID durchzuführen. Würde es da eine Registrierung der authorisierten Seiten geben, bei denen bei jedem Anmeldeverweis ein Schlüsselaustausch statt finden würde, mit dem sich die fremde Seite identifiziert, wäre das Verfahren am Ende ja doch sicher.

    • koaschten sagt:

      Nein es ist nicht jede dahergelaufene Seite authorisiert, sondern man muss als Seitenbetreiber den Zugang beantragen.
      Und dann KORREKT implementieren, da sonst böse Fake Seiten den Bund ID Popup "Huckepack" mitbenutzen. Und darum geht es hier.

  13. Hauptsache vorwärts. sagt:

    Die BundID greift überhaupt keine Daten ab. Sie prüft nur die Personendaten und meldet ein "ok" zurück. All dies ist verschlüsselt und es werden keine Klarnamen o. Ä. versendet.
    Entweder man macht es Open Source und jeder kann es nutzen, was bedeutet man muss halt selbst auch mal prüfen wo man seine Daten eingibt oder man macht es zentral über den Bund, wobei dann alle wieder aufschreien bez. Datensammlung.
    Wie man es auch macht, macht man es verkehrt……

  14. Hobbyperte sagt:

    Also ich verstehe bei der Logik von Bund-ID schon mal vorab zwei Dinge grundsätzlich nicht!
    1.) Wenn es nur um die Authentifizierung geht und man sich bei Bund-ID mit dem e-Perso Authentifiziert um dort diesen ominösen Account zu erstellen. Warum zur Hölle nutzen Kommunen und andere staatlichen Stellen nicht auch einfach die ePerso-Funktion? (die funzt bei mir übrigens sowohl mit Smartphone als auch auf dem Win10-PC bisher klaglos und wird u.a. auch von der deutschen Rentenversicherung als Zugangsverfahren genutzt.)
    2.) Wenn man schon so eine umständliche zentrale Registrierungsstelle zwischenschalten zu müssen meint… warum hat man nicht gleich die Webseite vom Finanzamt genutzt, wo sowieso schon der größte Teil der Bürger registriert ist. Warum immer wieder neue Infrastruktur bauen, die doch eigentlich bereits existiert *grübel* welche Politiker oder Leute aus deren Dunstkreis sich da wohl wieder ne goldene Nase dran mit verdienen …
    Zum Dritten ist und bleibt nicht nachvollziehbar, warum man hierzulande immer wieder das Rad neu erfinden muss, statt über Grenzen hinweg zu schauen. Es gibt hier und da doch alles schon, worüber man in D gerade erst anfängt zu reden. Man könnte all die guten Lösungen doch auch einfach kopieren. Aber das wäre vermutlich zu einfach und zu billig und Politiker und deren Netzwerke könnten dann vermutlich nicht am Aufbau neuer Infrastruktur mit verdienen?!

    PS: zum Fallbeispiel "Heizungsförderung"

    Jeder der schon mal irgendwas bei staatlichen Stellen Beantrag hat weiß, das es nicht mit der Eingabe persönlicher Daten getan ist, die wollen noch tausend andere Dinge haben … welche Heizung, welchen Baujahres war bislang Eingebaut (Rechnungs-Nachweise hochladen) und welche Firma soll nun welche Heizung, Modell usw. neu einbauen? Entsprechende Nachweise vom Auftrag und nach Genehmigung nochmals die Rechnung nach der Fertigstellung sind hochzuladen … und dann irgendwann gäbe es evtl. mal Geld. Aber sicher nicht einfach so vorab. Jedenfalls nicht für den kleinen Otto-Normalbürger! Wäre ja noch schöner …

    Und zu
    "Wer sich die Adressleiste des Browser anschaut und auf die URL achtet, erkennt, dass man nicht auf der Behördenseite unterwegs ist. Macht aber kaum jemand von den Digitalisierungsopfern – Hauptsache die Webseite funktioniert."

    Ja ja, schon richtig, die Browser-Voreinstellungen machen es aber auch nicht gerade leichter Betrug zu verhindern. Da man sich die volle Anzeige der URL oft erst selber so Einstellen muss. Um nicht eine verkürzte URL in der Adressleiste zu sehen, sondern eben die, wo man tatsächlich gerade unterwegs ist.

  15. Uwe Warnecke sagt:

    Das ist eine spannende Geschichte. Schade nur, dass Lilith Wittmann im Fall des Screenshots zu angeblichen Reaktionen der Kommunen einem Irrtum aufgesessen ist. Denn das gezeigte Portal der Stadt Herzberg hat nichts mit Open@Rathaus zu tun. Und die zitierte Meldung unten rechts ist leider viel älter. Sie wurde am 27. Mai als Reaktion eines Schreibens des BMI/BundID zu einer tatsächlichen Störung veröffentlicht (und bis zum Screenshot leider nicht wieder entfernt).
    Der Autor dieses Artikels hat das dann sogar noch überinterpretiert. Tatsächlich war der BundID-Zugang der Stadt Herzberg zu keiner Zeit kompromittiert und/oder wegen des aufgezeigten Fehlers abgeschaltet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.