{"id":295977,"date":"2024-06-09T02:13:26","date_gmt":"2024-06-09T00:13:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295977"},"modified":"2024-06-09T12:09:37","modified_gmt":"2024-06-09T10:09:37","slug":"bundid-und-cyberbetrug-die-heizlfrderung-kleine-lilith-wittman-story","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/09\/bundid-und-cyberbetrug-die-heizlfrderung-kleine-lilith-wittman-story\/","title":{"rendered":"BundID und Cyberbetrug: Die Heizölförderung – (kl)eine Lilith Wittman-Story"},"content":{"rendered":"

\"SicherheitDeutschlands Beh\u00f6rden wollen digitalisieren – Antr\u00e4ge sollen online einreichbar sein. Zur Absicherung, ob der Antragsteller auch der Antragsteller ist, soll die BundID dienen. Beh\u00f6rden k\u00f6nnen dann ihre Antragseiten so (in SAML) implementieren, dass die BundID \u00fcber die betreffende Webseite autorisiert wird. Doof nur, wenn die Implementierung fehlerhaft ist oder von Cyberbetr\u00fcgern ausgenutzt wird. Lilith Wittman hat sich dieses Thema angenommen und mal eine eigene Seite \"Heilz\u00f6lf\u00f6rderung\" eingerichtet. Deutschland und deine Verwaltungsdigitalisierung, das nimmt kein (gutes) Ende.<\/p>\n

<\/p>\n

Die BundID – jeder soll sie haben<\/h2>\n

\"\"D\u00ede BundID<\/a> soll es B\u00fcrgern der Bundesrepublik Deutschland erm\u00f6glichen, sich \u00fcber ein zentrales BundID-Konto f\u00fcr viele Verwaltungsleistungen anzumelden und bei Antr\u00e4gen sicher zu identifizieren. Um die BundID anzulegen, muss der B\u00fcrger auf dieser BundID-Webseite<\/a> ein BundID-Konto anlegen.<\/p>\n

\"BundID-Konto<\/p>\n

Der Nachweis, dass man auch der ist, f\u00fcr den man sich ausgibt, kann beispielsweise der Online-Ausweis verwendet werden. Das wird empfohlen und erfordert einen deutschen Personalausweis samt PIN einen Kartenleser sowie die Ausweis-App. Moderne Handys sollen dabei \u00fcber ihren NFC-Teil als Ausweisleser dienen k\u00f6nnen. Im Blog-Beitrag eID, Pass auf dem Smartphone: Neuer Schlenker, neues Desaster mit Ansage?<\/a> hatte ich 2021 die Erfahrungen mit dieser L\u00f6sung gepostet. Keines meiner damaligen Smartphones wollte als Ausweisleser dienen. Heute habe ich ein Smartphone, was den Ausweis lesen kann – aber ich wei\u00df nicht, ob die AusweisApp<\/a> von Governikus noch funktioniert. Ich habe auf meinem Windows 10 nichts dergleichen installiert.<\/p>\n

Aber egal, nehmen wir an, die Technik funktioniert so, dass Otto-Normalb\u00fcrger das alles problemlos verwenden kann. Der geneigte Mensch h\u00e4lt den Ausweis in N\u00e4he des Smartphones, liest den Ausweis mit der AusweisApp auf dem Smartphone, und hat unter Windows noch eine entsprechende AusweisApp installiert. Diese Kombination sorgt f\u00fcr eine Multi-Faktor-Authentifizierung, die der App auf dem Windows-System signalisiert \"der Benutzer hat sich am Smartphone authentifiziert, gib das f\u00fcr die gew\u00e4hlte Webseite frei\".<\/p>\n

So weit so gut (obwohl die Annahme, dass das alles funktioniert, schon eine Wette ist, die man leicht verlieren kann). Denn es gibt die spannende Frage: \"Kann jeder B\u00fcrger oder Cyberkriminelle eine Fake-Seite aufsetzen, auf der eine Authentifizierung per BundID m\u00f6glich ist?\"<\/p>\n

Wenn Cyberkriminelle BundID fordern<\/h2>\n

Sicherheitsforscherin Lilith Wittmann, u.a. beim Kollektiv Zerforschung<\/a> aktiv, hat sich des Themas BundID angenommen. Hintergrund ist, dass Beh\u00f6rden und Kommunen eine entsprechende Authentifizierung per BundID auf ihren Webseiten per XAML-Client implementieren m\u00fcssen. Von der Beh\u00f6rdenseite, wo sich der geneigte B\u00fcrger anmelden m\u00f6chte, wird er auf die BundID-Seite umgeleitet, best\u00e4tigt dort seine Identit\u00e4t und gelangt zur Beh\u00f6rdenseite zur\u00fcck. Dort kann er dann seinen Verwaltungskram abwickeln, Antr\u00e4ge stellen und was wei\u00df ich.<\/p>\n

\"BundID<\/a><\/p>\n

In obigem Tweet<\/a> weist Wittman darauf hin, dass die BundID breit in der Verwaltungsdigitalisierung eingesetzt werden soll. Nach dem Online-Zugangsgesetz (noch in der Entwurfsphase) soll das alles freiwillig sein. Der nachfolgende Tweet<\/a> von Wittman zeigt, wie der Hase l\u00e4uft.<\/p>\n

\"BundID<\/a><\/p>\n

K\u00f6nnte man mal dr\u00fcber nachdenken und sich beschweren. Aber egal, kommen wir zum Kernpunkt: Alles hochsicher und vertrauensw\u00fcrdig, das mit der BundID, da kann man Gift drauf nehmen.<\/p>\n

Heiz\u00f6lf\u00f6rderung des Bundes<\/h3>\n

Lilith Wittmann war ein wenig kreativ und hat die \"Heiz\u00f6lf\u00f6rderung des Bundes\" erfunden. Das ist politisch zwar nicht korrekt, wir wollen ja weg von dem Zeugs. Und umweltm\u00e4\u00dfig geht es auch nicht, dass korrekterweise m\u00fcsste es \"Heiz\u00f6lf\u00f6rderung des Bundes mit Abfluss\" hei\u00dfen. Ok, war ein Scherz, es flie\u00dft kein Heiz\u00f6l ab, sondern nur die Daten des B\u00fcrgers, der sich per BundID vermeintlich bei einer \"seri\u00f6sen Seite\" anmeldet.<\/p>\n

\"Heiz\u00f6lf\u00f6rderung<\/a><\/p>\n

Obiger Tweet enth\u00e4lt ein eingebettetes Video<\/a>, welches den Datenraub zeigt (einfach auf das Bild klicken, um das Video auf X ansehen zu k\u00f6nnen). F\u00fcr die Seite zur Heiz\u00f6lf\u00f6rderung des Bundes hat Wittmann eine eigene GitHub-Seite mit obiger Oberfl\u00e4che samt XAML-Implementierung f\u00fcr die BundID aufgesetzt.<\/p>\n

Man sieht im Video, wie der Besucher der Seite \"Die Heiz\u00f6lf\u00f6rderung des Bundes\" auf die Schaltfl\u00e4che Login mit BundID<\/em> klickt. Der Besucher wird zur Webseite des Bundes mit der BundID geleitet und kann sich dort authentifizieren. Im Anschluss gelangt er zur\u00fcck zur GitHub-Fake-Seite von Wittmann, wo nun ein vermeintliches Antragsformular wartet (siehe nachfolgendes Bild). Die frohe Botschaft, es gibt 2.000 Euro F\u00f6rderung – sp\u00e4testens an dieser Stelle setzt die Bremse f\u00fcr den gesunden Menschenverstand ein und verhindert Nachdenken.<\/p>\n

Wir wollen eure Daten<\/h3>\n

Auf der Fake-Seite sollen vom Antragsteller die Bankverbindung, der Name, die Steuernummer und eine Telefonnummer angegeben werden. Das ist nat\u00fcrlich alles h\u00f6chst seri\u00f6s, da man sich per BundID identifiziert hat. Nach dem Online-Zugangsgesetz (OZG) sollen das ja bald Millionen Menschen in Deutschland nutzen. Digitalisierung first! Bedenken second!<\/p>\n

\"Antragsseite<\/p>\n

Wie sich das f\u00fcr eine deutsche Beh\u00f6rde geziemt, gibt es dann noch eine Schaltfl\u00e4che Beantragen<\/em>, wo die Heiz\u00f6lf\u00f6rderung beantragt werden kann. Gibt der Nutzer auf der Seite \"Die Heiz\u00f6lf\u00f6rderung des Bundes\" seine Daten ein und klickt als Antragsteller auf Beantragen<\/em>, erh\u00e4lt er auch prompt die \"Antragsbest\u00e4tigung\", wobei die Implementierer der Heiz\u00f6lf\u00f6rderungsseite des Bundes Humor bewiesen haben. Dort hei\u00dft es \"Die Daten sind weg, weg, weg\" – ist nun mal so, wenn Du einen Antrag an einer Beh\u00f6rde einreichst, sind die Daten weg und liegen bei der Beh\u00f6rde.<\/p>\n

In obigem Kontext bedeutet das \"bei dieser Sache mit der Digitalisierung\" aber: Auch Wittmann hat die Daten \u00fcber ihre Fake-Seite abgegriffen – etwas, was Phisher gerne machen. Wer sich die Adressleiste des Browser anschaut und auf die URL achtet, erkennt, dass man nicht auf der Beh\u00f6rdenseite unterwegs ist. Macht aber kaum jemand von den Digitalisierungsopfern – Hauptsache die Webseite funktioniert.<\/p>\n

Wittmann erkl\u00e4rt die Zusammenh\u00e4nge<\/h2>\n

In einer Serie Tweets erkl\u00e4rt Lilith Wittmann die Zusammenh\u00e4nge. Die BundID dient als zentrales Anmeldesystem f\u00fcr viele Antr\u00e4ge des Bundes, der L\u00e4nder und Kommunen. Unterst\u00fctzt eine Antragsseite eine Anmeldung \u00fcber die BundID, strahlt dies f\u00fcr viele Menschen Vertrauensw\u00fcrdigkeit aus.<\/p>\n

\"Risiko<\/a><\/p>\n

Problem: Auf den Seiten, die die BundID zur Identifizierung nutzen, m\u00fcssen diese Entit\u00e4ten selbst ihre Dienste (z.B. Antr\u00e4ge) mit einer Anmeldung \u00fcber die BundID implementieren. Sprich: Die Seite leitet zur BundID-Seite weiter, wo die entsprechende Autorisierung erfolgt. Dann f\u00e4lle der Benutzer auf die Ursprungsseite zur\u00fcck und kann den Antrag ausf\u00fcllen und einreichen – er wurde ja per BundID authentifiziert.<\/p>\n

Zum Risiko schreibt Wittman: \"Wenn jetzt aber eine der Entit\u00e4ten diese Anmeldung falsch implementiert, dann k\u00f6nnen z.B. Scammer diese falsche Implementierung nutzen und es so aussehen lassen, als w\u00fcrde man sich gerade bei einer staatlichen Dienstleistung anmelden<\/em>. Und dann k\u00f6nnen die Scammer einfach eure Daten stehlen und ihr dachtet, ihr h\u00e4ttet nur kurz einen Antrag ausgef\u00fcllt.<\/em>\"<\/p>\n

Die betreffende GitHub-Seite zum Ausprobieren und Beantragen der Heiz\u00f6lf\u00f6rderung gibt es hier<\/a>. Die Geschichte ist eine Story in Progress. Matthias Zahn wies unten im Kommentar auf nachfolgenden Tweet<\/a> hin.<\/p>\n

\"BundID-Implementierungsdesaster\"<\/a>
\nIm rechten Screenshot sieht man, dass die Implementierung die Ziel-URL, die beim Aufruf mitgegeben wird, nicht validiert wird. Es kann jeder Unsinn mit der BundID treiben – BundID f\u00fcr Alle.<\/p>\n

Finale Gedanken<\/h2>\n

Auf die Frage, ob Wittmann das Problem gemeldet hat, kam als Antwort \"Nee, das Konzept ist das Problem. Wenn Du hunderte SAML Clients hast, ist immer einer kaputt. Da hilft auch melden nix mehr<\/em>.\" Wenn ich diesen Tweet<\/a> richtig interpretiere, hat Wittman im Verwaltungsportal der Stadt Georgsmarienh\u00fctte per Anmeldung mit BundID versucht, einen Atomreaktor im Garten anzumelden.<\/p>\n

Laut diesem Tweet<\/a> wurde die betreffende Implementierung f\u00fcr die BundID von den Verantwortlichen aber sehr z\u00fcgig deaktiviert (in diesem Tweet<\/a> hei\u00dft es 1:50 Minuten). Ein weiterer Tweet liefert Details<\/a> zu den Angeboten, die abgeschaltet wurden. Das hei\u00dft: Alle Kommunen, die schon irgend etwas mit der BundID digitalisiert haben, und zum aufgef\u00fchrten Kreis geh\u00f6ren, haben jetzt keine Verwaltungsdigitalisierung mehr.<\/p>\n

So funktioniert die Anmeldung \u00fcber die BundID beim OpenR @thaus der Stadt<\/a> Georgsmarienh\u00fctte nicht mehr, da der Bund das Verfahren zur Authentifizierung per BundID gerade gestoppt hat. Kleines Update: Wittmann hat nun nachfolgenden Tweet<\/a> ver\u00f6ffentlicht – da sind gerade einige Digitalisierungsseiten, die auf die BundID aufsetzen – kaputt.<\/p>\n

\"Webseiten<\/a><\/p>\n

Erkl\u00e4rung: Im Einschub \"St\u00f6rung BundID\" in der rechten Seitenleiste hei\u00dft es, dass die Anmeldung mit der BundID und eine R\u00fcckleitung von der BundID-Oberfl\u00e4che derzeit nicht funktioniere. Mal schauen, wann die \"technische St\u00f6rung\", die auf der obigen im Screenshot gezeigten Verwaltungsseite angegeben wird, vom Bund behoben wird.<\/p>\n

Die Episode zeigt, wie an allen Stellen bei dieser Digitalisierung Fallen lauern und ein Security-Blogger in naher Zukunft viel Spa\u00df haben kann und immer was zu berichten hat. Ich selbst hoffe nun, dass hier in den Kommentaren nicht Leute einschlagen, die sich beschweren, weil das Login auf der Seite mit der \"Heiz\u00f6lf\u00f6rderung\" nicht funktioniert oder nachfragen, wo der F\u00f6rderbetrag bleibt.<\/p>\n

Das ist nicht so ganz aus der Luft gegriffen, im Beitrag Facebook Wants to Be Your One True Login<\/a> hatte ich 2011 skizziert, in welche Abgr\u00fcnde man so geraten kann. Und im 50Plus-Blog gibt es von mir den Beitrag Arbeitsplatz mit Aufstiegschancen und Frischluft \u2013 Lampe auf 457 Meter-Turm wechseln<\/a>, wo heute noch Bewerbungen im Kommentarbereich eintrudeln. Sch\u00f6nen Sonntag – heute ist Europa-Wahl, denkt dran.<\/p>\n

Noch ein Nachtrag: Obiger Beitrag ist ein Work in Progress – Lilith Wittman hat das Ganze nun auf Medium im Beitrag\u00a0BundID: Eine digitale Identit\u00e4t schafft (falsches) Vertrauen<\/a> aufgeschrieben. Da kann jeder nun die Details und Bewertungen nachlesen, die ich oben nur rudiment\u00e4r angerissen habe.<\/p>\n","protected":false},"excerpt":{"rendered":"

Deutschlands Beh\u00f6rden wollen digitalisieren – Antr\u00e4ge sollen online einreichbar sein. Zur Absicherung, ob der Antragsteller auch der Antragsteller ist, soll die BundID dienen. Beh\u00f6rden k\u00f6nnen dann ihre Antragseiten so (in SAML) implementieren, dass die BundID \u00fcber die betreffende Webseite autorisiert … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-295977","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295977","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295977"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295977\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295977"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295977"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295977"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}