{"id":288197,"date":"2023-11-14T11:28:41","date_gmt":"2023-11-14T10:28:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288197"},"modified":"2023-11-14T11:52:35","modified_gmt":"2023-11-14T10:52:35","slug":"neuer-vorfall-datenabfluss-bei-mein-justizpostfach-mglich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/14\/neuer-vorfall-datenabfluss-bei-mein-justizpostfach-mglich\/","title":{"rendered":"Neuer Vorfall: Datenabfluss bei "Mein Justizpostfach" möglich"},"content":{"rendered":"

\"SicherheitNoch ein kleiner Nachtrag eines Vorgangs, der bei mir seit Mitte Oktober 2023 vorliegt (habe das zur\u00fcckgehalten, bis was \u00f6ffentlich wird). Das im Oktober 2023 gerade in Testbetrieb gegangene \"Mein Justizpostfach\" soll die Kommunikation der B\u00fcrger mit der Rechtspflege\/Justiz erm\u00f6glichen. Aber bereits zum Start lag mir der Hinweis vor, dass \u00fcber diese Plattform pers\u00f6nliche Daten Dritter abrufbar w\u00e4ren. Nun ist dieses Problem beseitigt und der Vorgang \u00f6ffentlich best\u00e4tigt. <\/p>\n

<\/p>\n

Mein Justizpostfach<\/h2>\n

\"\"Die Plattform \"Mein Justizpostfach\" soll B\u00fcrgern erm\u00f6glichen, elektronisch mit der Justiz (z.B. Anw\u00e4lten) zu kommunizieren. Zum 16. Oktober hat das Bundesministerium der Justiz diese Plattform vorgestellt – siehe nachfolgender Tweet<\/a> und diese diese Webseite<\/a>. <\/p>\n

\"Mein<\/a><\/p>\n

Um Mein Justizpostfach <\/em>einzurichten, wird ein Nutzerkonto mit einer BundID ben\u00f6tigt. Versprochen wird, dass \u00fcber Mein Justizpostfach<\/em> die verschl\u00fcsselte Kommunikation zwischen Nutzern und der Justiz sowie Beh\u00f6rden, Anw\u00e4lten, Notaren und Steuerberatern auf \"h\u00f6chstem Sicherheitsniveau\" erfolgen k\u00f6nnen soll.<\/p>\n

Der Dienst ist kostenlos, erfordert aber eine sogenannte B\u00fcrgerID \u2013 hier<\/a> und auf dieser Seite<\/a> gibt es einige Informationen. Ich hatte zum 25. Oktober 2023 im Beitrag Die elektronische Akte f\u00fcr Juristen: Defender erkennt MSIL\/AgentTesla.USN!MTB beim Start<\/a> das Thema in einem Nebensatz angesprochen.<\/p>\n

Erster Hinweis auf Probleme <\/h2>\n

Bereits zum 18. Oktober 2023, damals befand sich das Projekt \"Mein Justizpostfach\" gerade in der Erprobungsphase, ist mir dieser Tweet<\/a> unter die Augen gekommen:<\/p>\n

\"Mein<\/a><\/p>\n

Ein Tester hat dort darauf hingewiesen, dass pers\u00f6nliche Daten von B\u00fcrgern \u00fcber das Portal offen gelegt werden \u2013 Details gab es zu diesem Zeitpunkt noch nicht. Die Plattform Mein Justizpostfach <\/em>(MJP) ging zum 12.10.23 als Webanwendung in der Pilotphase und soll eine kostenfreie Alternative zu bisherigen etablierten Programmen sein, welche teils monatlich 69 Euro Netto zu Buche schlagen. <\/p>\n

Datenvorfall jetzt best\u00e4tigt<\/h2>\n

Es war ein Hinweis eines Lesers im Diskussionsbereich (danke daf\u00fcr) der mich auf den, nun von heise aufgegriffenen<\/a>, Datenvorfall aufmerksam machte. Auch auf BlueSky weist Michael Rohrlich<\/a> (Rechtsanwalt f\u00fcr E-Commerce, Datenschutz- & KI-Recht; DSB;) auf den m\u00f6glichen Datenabfluss hin, wie ich gerade gesehen habe. <\/p>\n

\"Datenabfluss<\/p>\n

Aufh\u00e4nger ist der nachfolgende Tweet von md@chaos.sozial<\/a>, der weiter oben bereits den m\u00f6glichen Datenabfluss thematisiert hatte und nun den  Datenvorfall \u00f6ffentlich macht und mit etwas mehr Informationen f\u00fcllt. Es ist wohl die Benachrichtigung von bundID an die Nutzer von \"Mein Justizpostfach\", der nachfolgend als Ausschnitt gezeigt wird. <\/p>\n

\"Mein <\/p>\n

Der Sachverhalt: Es gab im Testbetrieb eine Fehlkonfiguration der Plattform, so dass im Zeitraum vom 12. Oktober bis zum 9. November 2023 Daten auch ohne Autorisierung \u00fcber das Internet m\u00f6glich waren. Betroffen waren der Name und die Anschrift des betreffenden Teilnehmers der Plattform \"Das Justizpostfach\", die dort bei der Einrichtung hinterlegt werden, um ggf. Empf\u00e4nger per Post zu erreichen. <\/p>\n

BundID schreibt zwar in der Information an Nutzer der Plattform, dass keine Abrufe personenbezogener Daten bekannt seien. Mir liegen aber Aussagen von Nutzern vor, die nie diese Information erhalten haben wollen. <\/p>\n

Aber mal nur langsam zum Mitschreiben: Laut obigem Tweet wurde BundID zum 18. Oktober 2023 darauf hingewiesen, dass die im Testbetrieb befindliche Plattform ein fettes Datenleck aufweist. Es brauchte drei Wochen, um dieses Datenleck, welches Zugriff auf personenbezogener Daten per Internet erm\u00f6glicht, zu schlie\u00dfen. <\/p>\n

Bei heise hei\u00dft es, dass der Fehler, der zur Schwachstelle in der Konfiguration f\u00fchrte, beim SAFE-Dienst der Justiz vorlag. SAFE soll laut Justizportal des Bundes und der L\u00e4nder<\/a> die bereits erw\u00e4hnte \"sichere elektronische Identit\u00e4ten in einem f\u00f6deralen Umfeld\" bieten. Hat sich zum Start dann leider als unsicher erwiesen. Realsatire allerorten? <\/p>\n

\n

PS: Es gibt noch einen b\u00f6sen Kommentar<\/a> bei heise, in dem (gem\u00e4\u00df Alias) wohl einer meiner Blog-Leser darauf hin weist, dass OpenID Connect f\u00fcr \"Mein Justizportal\" eingesetzt wird (bei einer schnellen Suche habe ich dazu aber nichts als Best\u00e4tigung gefunden, au\u00dfer dem Hinweis, dass man Single Sign On, SSO, anstrebt). Hat nat\u00fcrlich den Nachteil, dass jeder, der in Besitz eines Authentifizierungs-Tokens gelangt, Zugriff auf die Inhalte bekommt.  <\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Noch ein kleiner Nachtrag eines Vorgangs, der bei mir seit Mitte Oktober 2023 vorliegt (habe das zur\u00fcckgehalten, bis was \u00f6ffentlich wird). Das im Oktober 2023 gerade in Testbetrieb gegangene \"Mein Justizpostfach\" soll die Kommunikation der B\u00fcrger mit der Rechtspflege\/Justiz erm\u00f6glichen. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-288197","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=288197"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288197\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=288197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=288197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=288197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}