{"id":157332,"date":"2014-10-29T01:17:00","date_gmt":"2014-10-29T00:17:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=157332"},"modified":"2022-06-24T20:05:45","modified_gmt":"2022-06-24T18:05:45","slug":"autsch-elster-portal-mit-pudel-lcke-angreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2014\/10\/29\/autsch-elster-portal-mit-pudel-lcke-angreifbar\/","title":{"rendered":"Autsch: Elster-Portal mit Poodle-Lücke angreifbar …"},"content":{"rendered":"

\"Sicherheit\"Im heutigen Blog-Beitrag r\u00fchre ich euch \u2013 fast passend zu Halloween \u2013 eine nette Horror-Story zusammen. Mit dabei: Das deutsche Steuerverwaltungsportal Elster-Online.de, eine veritable Sicherheitsl\u00fccke, zwei 'Pudel' und der deutsche Steuermichel, der den Amtsschimmel reitet.<\/p>\n

<\/p>\n

Worum geht es?<\/h3>\n

\"\"Seit Mitte Oktober ist die gravierende SSL-Poodle-Verschl\u00fcsselungsl\u00fccke bekannt, die das Aushebeln der SSL-Verschl\u00fcsselung erm\u00f6glicht. Ich hatte u.a. im Beitrag Poodle-Verschl\u00fcsselungsl\u00fccke und wie man testet<\/a> auf das Thema aufmerksam gemacht. Die Poodle-Sicherheitsl\u00fccke erm\u00f6glicht den Angriff auf verschl\u00fcsselte https<\/em>-Verbindungen. Konkret l\u00e4sst sich die Verschl\u00fcsselungsmethode SSLv3 ausgehebeln, so dass die Daten ausspioniert werden k\u00f6nnen. Der Bug wurde von Google am 14. Oktober im Online Security Blog<\/a> \u00f6ffentlich gemacht. Hier gibt es einen Beitrag<\/a>, der detaillierter in die Thematik eintaucht. Ein Serverbetreiber\u00a0 kann die veralterte SSLv3 Verschl\u00fcsselungsmethode deaktivieren, um die Sicherheitsl\u00fccke zu schlie\u00dfen.<\/p>\n

Wie kommt Elster-Online ins Spiel?<\/h3>\n

Vor ein paar Tagen hatte ich mich im Beitrag Elster-Zertifikat verloren, was tun?<\/a> etwas mit dem Elster-Online-Portal befasst und die nicht sonderlich anwendergerechte Portalgestaltung thematisiert. Konkret ging es um das Problem, dass man als Steuerb\u00fcrger erheblich suchen muss, falls man ein Zertifikat zum Signieren der Steuerdaten verloren hat.<\/p>\n

\"\"<\/p>\n

Das obige Bild spricht B\u00e4nde: Kein Durchblick, nirgendwo \u2013 und schwierig ist's obendrein \u2013 so die Aussage. Scheint zu stimmen \u2013 jedenfalls kommen die Webseiten des Elster-Portals etwas \"angestaubt\" daher, und k\u00f6nnen den unbedarften Anwender schon mal zur Verzweifelung treiben. Aber egal.<\/p>\n

Jedenfalls betreibt die deutsche Steuerverwaltung einen riesigen Aufwand, um ein neu auszustellendes Zertifikat sicher in die H\u00e4nde des Beantragenden zu \u00fcbermitteln. Ein neues Zertifikat kann nicht so einfach per E-Mail mit Zugangsdaten heruntergeladen werden. Nein, Du musst ein Konto (mit deinen Zugangsdaten) l\u00f6schen, darfst ein neues Konto beantragen und bekommst anschlie\u00dfend einen Autorisierungscode per Post an die dem Finanzamt bekannte Adresse zugesandt. Klappt sogar, klingt bombensicher und erinnert irgendwie an Fort-Knox.<\/p>\n

So weit so gut \u2013 da soll man nicht maulen, denn schlie\u00dflich geht's ja um unsere Steuerdaten und dem Wolfgang Sch\u00e4uble sein Geld. Da muss gelten \"sicher is sicher\" (aber das war wohl eher Martin Schneiders<\/a> Devise).<\/p>\n

Und wie kommen der Steuermichel und der Pudel zu Halloween?<\/h3>\n

Na ja, naiv wie ich bin, dachte ich mir: Wenn die die Zertifikatsausstellung schon so absichern, dann ist da beim Elster-Portal alles im gr\u00fcnen Bereich. Muss auch so sein, denn immerhin verwalten die ja die Zugangsdaten von 50 Millionen Steuerfl\u00fcchtigen \u2013 up's Freudcher Vertipper \u2013 meinte nat\u00fcrlich Steuerpflichtigen (der Internetradiergummi funktioniert momentan noch nicht). Allein, ein Kommentar zum Artikel Elster-Zertifikat verloren, was tun?<\/a> brachte mich auf die Idee, mal genauer hinzuschauen.<\/p>\n

Auf der Webseite https:\/\/www.ssllabs.com\/ssltest\/<\/a> bietet Qualsys SSL Labs einen SSL Server Test an. Da kann man die URL eines https-Servers eintippen und Qualsys pr\u00fcft, ob dieser Server durch die Poodle SSLv3-Attacke (das ist der erste Pudel) angreifbar ist. Habe ich doch glatt mal f\u00fcr die Site https:\/\/www.elsteronline.de<\/a> getan. Beim Ergebnis<\/a> ist mir dann doch etwas die Kinnlade heruntergeklappt (hier kommt der zweite Pudel, ins Spiel den die Administratoren imho geschossen haben).<\/p>\n

\"\"<\/p>\n

Tja, nicht so ganz einfach in diesem #neuland. Der Elster-Server ist nicht nur per Poodle-L\u00fccke angreifbar, sondern verwendet auch in den Zertifikaten das SHA1-Verschl\u00fcsselungsverfahren<\/a>. Qualsys SSL Labs empfehlt bei der Zertifikatserneuerung auf das sicherere SHA256 zu wechseln (und die NIST gibt die Empfehlung seit 2005). Jetzt habt ihr auch noch die Gruselgeschichte p\u00fcnktlich zum Freitag, zu Halloween, zusammen \u2013 und wie Marc hier schreibt<\/a>, sollte man mal das BSI in Bayern zur Beratung vorbeischicken \u2026<\/p>\n","protected":false},"excerpt":{"rendered":"

Im heutigen Blog-Beitrag r\u00fchre ich euch \u2013 fast passend zu Halloween \u2013 eine nette Horror-Story zusammen. Mit dabei: Das deutsche Steuerverwaltungsportal Elster-Online.de, eine veritable Sicherheitsl\u00fccke, zwei 'Pudel' und der deutsche Steuermichel, der den Amtsschimmel reitet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[3713,1782],"class_list":["post-157332","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-elster","tag-sicherheitslucke"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/157332","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=157332"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/157332\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=157332"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=157332"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=157332"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}