{"id":289360,"date":"2023-12-17T23:47:19","date_gmt":"2023-12-17T22:47:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289360"},"modified":"2024-10-04T11:00:09","modified_gmt":"2024-10-04T09:00:09","slug":"70-der-kfz-zulassungsstellen-werden-wegen-sicherheitsmngel-fr-digitale-kfz-zulassung-i-kfz-gesperrt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/17\/70-der-kfz-zulassungsstellen-werden-wegen-sicherheitsmngel-fr-digitale-kfz-zulassung-i-kfz-gesperrt\/","title":{"rendered":"70% der KFZ-Zulassungsstellen werden wegen Sicherheitsmängel für digitale KFZ-Zulassung (i-KFZ) gesperrt"},"content":{"rendered":"

\"VW-K\u00e4fer\"Es ist das n\u00e4chste Digitalisierungsdesaster: Im September 2023 ist die digitale KFZ-Zulassung in Deutschland gestartet. Nun ist dieses Digitalisierungsprojekt weitgehend wegen Sicherheitsm\u00e4ngeln schlicht wieder gestoppt worden. Denn das Kraftfahrtbundesamt (KBA) wird gut Zweidrittel der KFZ-Zulassungsstellen in Deutschland den Zugang sperren. Grund sind Sicherheitsm\u00e4ngel, die wohl nach dem Desaster des Cyberangriffs auf die S\u00fcdwestfalen IT (SIT) die Verantwortlichen im KBA bewogen haben, die \"Notbremse\" zu ziehen und abzuschalten. Erg\u00e4nzung:<\/strong> Ich hatte die Gelegenheit, einen Pr\u00fcfbericht einzusehen.<\/p>\n

<\/p>\n

Internetbasierte Fahrzeugzulassung (i-KFZ)<\/h2>\n

\"\"Einen griffigen Namen hatte das Projekt schon – die internetbasierte Fahrzeugzulassung<\/a> – kurz als i-KFZ bezeichnet. Laut Bundesministerium f\u00fcr Digitales und Verkehr (BMDV) sollten B\u00fcrgerinnen und B\u00fcrger ihr Fahrzeug online an-, ab- und ummelden, und sich so den Weg zur Zulassungsstelle und die Wartezeit vor Ort sparen k\u00f6nnen.<\/p>\n

\"Digitale<\/a>
\ni-KFZ; Quelle: BVDV<\/p>\n

Das Bundesministerium f\u00fcr Digitales und Verkehr (BMDV) startet dazu das Projekt i-Kfz, um das Fahrzeugzulassungswesen in Deutschland zu digitalisieren. Mit dem Inkrafttreten der Neufassung der Fahrzeug-Zulassungsverordnung zum 1. September 2023 und der damit einhergehenden Umsetzung von i-Kfz Stufe 4 sollte das Verfahren vollst\u00e4ndig automatisiert und vereinfacht werden.<\/p>\n

Eine bedeutende Neuerung im Verfahren sollte beispielsweise die sofortige Inbetriebsetzung sein. Damit kann das mit i-Kfz zugelassene Fahrzeug direkt im Stra\u00dfenverkehr genutzt werden. Zudem werden die Kosten f\u00fcr die internetbasierte Zulassung im Vergleich zur Anmeldung in der Zulassungsbeh\u00f6rde vor Ort deutlich abgesenkt.<\/p>\n

Die Umsetzung der Online-Fahrzeugzulassung obliegt \u2013 wie alle zulassungsrechtlichen Aufgaben \u2013 den Bundesl\u00e4ndern und Kommunalverwaltungen, schreibt das Ministerium auf seiner Webseite. Diese stellen entsprechende i-Kfz-Portale zur Verf\u00fcgung, die seit dem 1. September 2023 auf i-Kfz Stufe 4 aufger\u00fcstet werden m\u00fcssen. Weitere Informationen zum Verfahren sind daher auf der Internetseite der zust\u00e4ndigen Zulassungsbeh\u00f6rde zu finden. Die BMDV-Seite<\/a> enth\u00e4lt eine Auflistung weiterer Vorteile wie Gro\u00dfkundenschnittstellen etc.<\/p>\n

Sicherheitsm\u00e4ngel bremsen i-KFZ<\/h2>\n

Dass deutsche Verwaltungen bez\u00fcglich der Digitalisierung und vor allem hinsichtlich der Sicherheit eher schlecht aufgestellt sind, zeigen die st\u00e4ndig auftretenden Cybervorf\u00e4lle in Kommunen. Zum 30. Oktober 2023 kam es ja durch einen Cyberangriff auf die S\u00fcdwestfalen IT (SIT) \u2013 ein IT-Dienstleister f\u00fcr Kommunen \u2013 zur \"kommunalen Kernschmelze\" (siehe Links am Artikelende). An die 200 Kommunen in Deutschland sind seit dieser Zeit nicht mehr in der Lage auf die Fachverfahren, die die S\u00fcdwestfalen IT (SIT) bereitstellen soll, zuzugreifen. Auch aktuell versucht man noch von der SIT einzelnen Fachverfahren in einem Notbetrieb f\u00fcr Pilotkommunen im Rahmen eines Wiederanlaufs bereitzustellen.<\/p>\n

Dieser Vorfall d\u00fcrfte ein Weckruf f\u00fcr einige Verantwortliche in Digitalisierungsprojekten des Bunds gewesen sein. Die digitale Anbindung vieler KFZ-Zulassungsstellen an das Kraftfahrtbundesamt (KBA) sowie die Vernetzung bei i-KFZ kann nur funktionieren, wenn die internetbasierte Fahrzeugzulassung sicher und fehlerfrei abgewickelt werden kann (das soll ja alles vernetzt und automatisch ablaufen).<\/p>\n

\"i-KFZ-Sicherheitsprobleme\"<\/a><\/p>\n

Nun berichten verschiedene Medien wie die Automobilwoche (leider nur hinter einer Paywall abrufbar) oder heise<\/a>, dass das Kraftfahrt-Bundesamt (KBA) voraussichtlich vielen deutschen Zulassungsstellen zum Jahresende 2023 die M\u00f6glichkeit sperren werde, Autozulassungen per i-Kfz vorzunehmen. Als Grund gibt die Automobilwoche mangelnde Sicherheit an und beruft sich auf Aussagen des Kraftfahrt-Bundesamt (KBA).<\/p>\n

Heise zitiert die Aussage: \"Laut KBA entspr\u00e4chen die Computersysteme vieler Zulassungsstellen nicht den Sicherheitsmindeststandards.\". Florian Cichon, der Vorstandsvorsitzenden des Zulassungsdienstleisters PremiumZulasser, geht davon aus, dass fast 70 Prozent aller Beh\u00f6rden Zulassungen und andere Auftr\u00e4ge vorerst wieder nur in Papierform bearbeiten k\u00f6nnen. Diese Information findet sich im Artikel PremiumZulasser: Zur\u00fcck zum Papier<\/a>, der auf der Webseite von PremiumZulasser eG abrufbar ist.<\/p>\n

PremiumZulasser eG ist seit Gr\u00fcndung im Juni 2018 als eingetragene Genossenschaft ein Netzwerk selbstst\u00e4ndiger Zulassungsdienstleister Deutschlands. Im Focus der Mitglieder und ihrer Betriebe stehen im Besonderen die Nutzung einheitlicher Softwaresysteme und die Erbringung gemeinsamer bundesweiter Zulassungsdienstleistungen.<\/p><\/blockquote>\n

Bei PremiumZulasser hei\u00dft es im Artikel, dass zuerst Cyberattacken viele Zulassungsbeh\u00f6rden lahm legten (das ist in meinen Augen implizit der Bezug auf den Cybervorfall bei der S\u00fcdwestfalen IT, der auch die Zulassungsstellen der betroffenen Kommunen tangierte). Und nun stolperten die Beh\u00f6rden \u00fcber Unzul\u00e4nglichkeiten bei der Einf\u00fchrung der digitalen Kraftfahrzeugzulassung i-Kfz. Zum Jahreswechsel werde das Kraftfahrtbundesamt (KBA) voraussichtlich 284 von 415 bundesweiten Zulassungsstellen den Onlinezugang sperren, weil deren Systeme nicht die Sicherheitsmindeststandards erf\u00fcllen.<\/p>\n

Zum Thema Sicherheitsmindeststandards muss man wissen, dass das Kraftfahrtbundesamt die Internetbasierte Fahrzeugzulassung (i-Kfz) Mindestsicherheitsanforderungen an die internetbasierte Fahrzeugzulassung (MSA-i-Kfz)<\/a> Version 1.5 (Stand April 2023) voraussetzt (abrufbar auf seiner Download-Seite<\/a>). Dieses Dokument enth\u00e4lt die Anforderungen, welche die Hersteller und Betreiber von i-Kfz<\/abbr>-Portalen erf\u00fcllen m\u00fcssen. Das 92 Seiten umfassende Dokument beschreibt nicht nur die Architektur des Ganzen samt Kommunikationswegen (per s IPSec-Tunnel) und Sicherheitsanforderungen. Es werden auch organisatorische Anforderungen (z.B. Bestellung eines Informationssicherheitsbeauftragten (ISB) und Einf\u00fchrung eines Informationssicherheitsmanagementsystems (ISMS) etc.) angesprochen. Das ist wohl bei vielen Zulassungsstellen nicht gegeben und es wird zum Schutz des Gesamtsystems der digitale Zugang zu i-KFZ abgeschaltet. Die Zulassungsbeh\u00f6rden m\u00fcssen wieder mit Papier arbeiten.<\/p>\n

Auditierung erforderlich<\/h2>\n

Wenn ich es richtig mitbekommen habe, m\u00fcssen sich die Teilnehmer am i-KFZ auditieren lassen. Ich hatte Gelegenheit, einen solchen Pr\u00fcfbericht aus dem Jahr 2021 einzusehen (also noch deutlich vor dem oben referenzierten Dokument mit den Mindestanforderungen MSA-i-KFZ V 1.5 von April 2023.<\/p>\n

Im Pr\u00fcfbericht wurden 22 Schwachstellen identifiziert, eine ganze Reihe in der Kategorie \"Nichtbeachtung von KBA-Vorgaben\", aber auch \"Veraltete Software\" oder \"unbekannte Software\/Zust\u00e4ndigkeiten\". Die Verst\u00f6\u00dfe wurden als hohes Risiko ausgewiesen. Dort wurde das System ohne Beachtung der KBA-Vorgaben aufgebaut und war so nicht zulassungsf\u00e4hig.<\/p>\n

Auf der Webseite von PremiumZulassung eG habe ich noch diesen undatierten Artikel<\/a> gefunden, der besagt, dass zum Start von i-Kfz zum 1. September 2023 nur eine von f\u00fcnf Zulassungsstellen technisch und personell in der Lage war, mit i-Kfz Stufe 4, dem neuen, digitalen Zulassungsportal des Bundes, zu arbeiten. Auf der Download-Seite des KBA findet sich auch das Verzeichnis der i-Kfz Stufe 4 f\u00e4higen Zulassungsbeh\u00f6rden<\/a>. Vielleicht wird da gerade was abgeschaltet und keiner merkt es? Wann das Kraftfahrt-Bundesamt (KBA) abgeschaltete Digitalzug\u00e4nge wieder aktiviert, sei bisher unklar, hei\u00dft es weiter.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nInros Lackner SE: Gab es einen Cyberangriff bei der Firma? Ja!<\/a>
\nConvotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a>
\nNeues vom Cybervorfall bei Convotis (GeigerCloud\/GeigerASP), Desaster f\u00fcr Steuerberater?<\/a>
\nnetgo Opfer eines Cyberangriffs? (6. Nov. 2023)<\/a>
\nSolvenius GmbH Webseite nicht erreichbar \u2013 hat jemand Informationen, was los ist?<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>
\nS\u00fcdwestfalen IT: Wiederanlauf nach Cyberangriff dauert l\u00e4nger; Betreiber werden Vers\u00e4umnisse vorgeworfen<\/a>
\nConvotis (Geiger BDT) best\u00e4tigt Cyberangriff, Infrastruktur \u00fcber Citrix Netscaler ADC kompromittiert?<\/a>
\n\"Cyber-Angriff\" auf Klinikum Esslingen \u2013 Citrix-Bleed ausgenutzt?<\/a>
\nLKA BW: Warnung an Krankenh\u00e4user und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen<\/a>
\nCitrix Bleed: Schwachstelle CVE-2023-4966 verr\u00e4t Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verf\u00fcgbar<\/a>
\nCitrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Es ist das n\u00e4chste Digitalisierungsdesaster: Im September 2023 ist die digitale KFZ-Zulassung in Deutschland gestartet. Nun ist dieses Digitalisierungsprojekt weitgehend wegen Sicherheitsm\u00e4ngeln schlicht wieder gestoppt worden. Denn das Kraftfahrtbundesamt (KBA) wird gut Zweidrittel der KFZ-Zulassungsstellen in Deutschland den Zugang sperren. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-289360","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289360","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=289360"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289360\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=289360"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=289360"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=289360"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}