{"id":296980,"date":"2024-07-07T00:08:00","date_gmt":"2024-07-06T22:08:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296980"},"modified":"2024-07-08T10:49:18","modified_gmt":"2024-07-08T08:49:18","slug":"openrthaus-wegen-sicherheitslcke-im-juni-2024-erneut-abgeschaltet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/07\/openrthaus-wegen-sicherheitslcke-im-juni-2024-erneut-abgeschaltet\/","title":{"rendered":"OpenR@thaus wegen "Sicherheitslücke" im Juni 2024 erneut abgeschaltet"},"content":{"rendered":"

\"SicherheitIn den vergangenen Wochen waren zahlreiche digitale Verwaltungen, die mit OpenR@thaus laufen, pl\u00f6tzlich offline. Hintergrund ist, dass das Service-Portal des\u00a0 IT-Dienstleisters ITEBO wegen Schwachstellen offline genommen werden musste. Das war im Juni 2024 bereits das zweite Mal binnen 14 Tagen, dass um die 300 Kommunen ihre digitalen Verwaltungsdienstleistungen nicht mehr anbieten konnten. Was steckte dahinter? Nach mehreren Leserhinweisen – daher nochmals eine kurze Betrachtung des Sachverhalts, den ich im Nachgang mal online stelle.<\/p>\n

<\/p>\n

Leserhinweise auf OpenR@thaus<\/h2>\n

\"\"Ich greife mal ein Thema auf, welches mir mehrfach von Lesern genannt wurde. Bereits am 21. Juni 2026 erreichte mich die Mail des Lesers A. G. mit der Information, dass das Portal open-rathaus.de<\/a> wieder offline sei. Ich war gerade in Urlaub und habe das Thema daher nicht aufgegriffen. Zum 29. Juni 2024 meldete sich L. R. mit einer weiteren Mail mit dem Hinweis, dass das \"digitale B\u00fcrgerportal\" der Stadt Emden seit dem 24.06.2024 nicht zu erreichen sei.<\/p>\n

Der Leser berichtete, dass der Dienstleister das Portal \"wegen einer potentiellen Beeintr\u00e4chtigung vorsichtshalber\" vom Netz genommen habe. Auf der Seite wurde geschrieben, dass man sch\u00e4tzt, dass die sichere Wiederherstellung des Dienstes eine Woche ben\u00f6tigt. Und man beeilte sich, zu versichern, dass keine personenbezogenen oder auch sonstigen Daten abgegriffen worden seien. Darauf hin haben beim Leser alle Alarmglocken geklingelt, da er einen Hack vermutete.<\/p>\n

\"OpenR@thaus<\/p>\n

Inzwischen l\u00e4uft deren Portal wieder (siehe obiger Screenshot), wenn auch die URL zum Angebot ge\u00e4ndert wurde – da hat man im Hintergrund etwas geschnitzt. Und am 4. Juli 2024 gab es im Diskussionsbereich des Blogs denen Kommentar von Bernie mit folgendem Tenor:<\/p>\n

Serviceportal OpenR@thaus des IT-Dienstleisters ITEBO nicht erreichbar.<\/p>\n

Wegen einer Sicherheitsl\u00fccke wurde das Serviceportal OpenR@thaus zum zweiten Mal in kurzer Zeit vom Netz genommen. Davon betroffen sind rund 300 Kommunen. Die Wartungsarbeiten dauern derzeit an. Offenbar besteht ein Zusammenhang zu einer Schwachstelle der BundID, die es erlaubt, relativ einfach auf einer eigenen Website ein BundID-Log-in umzusetzen.<\/p><\/blockquote>\n

Bernie hat dann noch auf einen Artikel von Kommune21<\/a> verlinkt, wo man zum 2.7. 2024 den Sachverhalt (Serviceportal OpenR@thaus des IT-Dienstleisters ITEBO abgeschaltet) angesprochen hat.<\/p>\n

\"OpenR@thaus<\/p>\n

Seit dem 4. Juli 2024 ist dieses Serviceportal aber wieder online. Alle diese Hinweise haben es nicht in den Blog geschafft, nicht als B\u00f6swilligkeit, sondern weil ich das Thema eigentlich abgehandelt hatte – weswegen ich den Kommentar im Diskussionsbereich auch nicht freigeschaltet habe. Nachdem aber mehrere Leser auf die Probleme bei OpenR@thaus hinwiesen, m\u00f6chte ich im Nachgang noch einige Informationen liefern.<\/p>\n

Was steckt hinter OpenR@thaus?<\/h2>\n

Bei OpenR@thaus handelt es sich um ein um ein Service-Portal, welches vom IT-Dienstleister ITEBO betrieben wird. Dort werden zentrale Basisdienste, standardisierte Schnittstellen und ein Prozess-Baukasten bereitgestellt, um Kommunen die Umsetzung des Online Zugangsgesetzes (OZG) zu erm\u00f6glichen.<\/p>\n

Mit dem Onlinezugangsgesetz (OZG) hat die Bundesregierung bereits 2017 den Ansto\u00df zur Erweiterung des Onlineangebotes von Dienstleistungen gegeben. Rahmenbedingungen zum Servicekonto, zum Portalverbund und zur Authentifizierung wurden definiert. Bis Ende 2022 m\u00fcssen 575 Dienstleistungen von Bund, L\u00e4ndern, Landkreisen, St\u00e4dten, Gemeinden und Samtgemeinden digital zur Verf\u00fcgung stehen, hie\u00df es mal.<\/p><\/blockquote>\n

Und mit der Portall\u00f6sung OpenR@thaus k\u00f6nnen standardisierte Dienstleistungen halb- oder vollautomatisch online angeboten und im Fachverfahren der Kommunen mit wenigen Handgriffen abgeschlossen werden. Sachbearbeiterinnen und Sachbearbeiter sollen entlastet, Routinet\u00e4tigkeiten minimiert werden, so das Versprechen. Meiner Kenntnis nach greifen so um die 300 Kommunen auf diesen Baukasten zur\u00fcck, um Verwaltungsdienstleistungen zu digitalisieren.<\/p>\n

Was steckt hinter der Abschaltung?<\/h2>\n

Immer wenn irgend etwas zentralisiert wird, schie\u00dft mir der Cybervorfall der S\u00fcdwestfalen IT durch den Kopf. Ein Angriff auf den kommunalen IT-Dienstleister bef\u00f6rderte um die 100 Kommunen digital ins Abseits (ich hatte ausgiebig im Blog berichtet. Und in der Tat waren Ende Juni digitale Verwaltungen von so um die 300 Kommunen offline, weil OpenR@thaus, das Service-Portal des\u00a0 IT-Dienstleisters ITEBO, offline gegangen war.<\/p>\n

Was war passiert? Gab es einen Hack? Hier kann ich Entwarnung geben – weil mir die Hintergr\u00fcnde wohl weitgehend klar waren. Anfang Juni 2024 hatte ich im Blog-Beitrag BundID und Cyberbetrug: Die Heiz\u00f6lf\u00f6rderung \u2013 (kl)eine Lilith Wittman-Story<\/a> ein Problem mit dem gesamten Ansatz aufgegriffen. Lilith Wittmann hatte nachgewiesen, dass SAML-Implementierungsfehler bei der Einrichtung der digitalen Verwaltungsdienstleister mittels der Portall\u00f6sung OpenR@thaus fatale Folgen haben k\u00f6nnen.<\/p>\n

F\u00fcr alle Verwaltungsdienstleistungen ben\u00f6tigt der B\u00fcrger eine BundID, um sich gegen\u00fcber der Verwaltung authentifizieren und Dienstleistungen in Anspruch nehmen zu k\u00f6nnen. Wittmann hatte dann flugs eine eigene Seite \"Heilz\u00f6lf\u00f6rderung\" eingerichtet, die die BundID nutzte, um Daten abzugreifen – war nat\u00fcrlich nur eine Demonstration. Aber in Folge gingen binnen einer Stunde alle ca. 300 Kommunen, die \u00fcber die Portall\u00f6sung OpenR@thaus digitale Dienstleistungen anboten, offline.<\/p>\n

Der IT-Dienstleister ITEBO hatte sein Service-Portal offline genommen und einige Leute durften Nacht- und Wochendschichten absolvieren. F\u00fcr mich war das Thema an dieser Stelle eigentlich durch, die ITEBO repariert ihr Portal und die IT-Leute der Kommunen sorgen daf\u00fcr, dass die Einbindung des Portals sauber passiert.<\/p>\n

<\/a><\/p>\n

Zum 18. Juni 2024 kam mir obiger Tweet von Lilith Wittman unter die Augen, die hatte OpenR@thaus wieder kaputt gemacht, und hat es in Form eines kurzen Nachtrags hier dokumentiert<\/a>. Sie hatte einfach die alte L\u00fccke auf Twitter erneut erw\u00e4hnt und wohl auch auf Mastodon gepostet. Binnen Stunden wurde das Fachverfahren, welches f\u00fcr die Demonstration verwendet wurde, durch das Innenministerium (BMI) abgeschaltet. Wittmann wies darauf hin, dass viel mehr Portale die Sicherheitsl\u00fccke aufweisen, worauf alle diese Portale abgeschaltet wurden. Damit waren die digitalen Rath\u00e4user von ca. 300 Kommunen offline und zeigten die oben erw\u00e4hnte Meldung.<\/p>\n

Die Kollegen von Golem haben dann zum 18. Juni 2024 den Sachverhalt rund um die \"Sicherheitsl\u00fccke BundID\" im Artikel Verwaltungsdienste von 300 Kommunen wiederholt offline<\/a> aufgegriffen. Ich selbst habe mir die zeitnahe Berichterstattung gespart, sondern war an ab dem 19. Juni beim Wandern an der Mosel – war deutlich entspannter, als \u00fcber BundID und deren Schwachstellen zu bloggen. Nachdem mir das Thema aber von mehreren Lesern zugetragen wurde, habe ich mich doch f\u00fcr einen Nachtrag entschieden – niemand soll dumm sterben m\u00fcssen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nStillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT trifft mindestens 103 Kommunen<\/a>
\nNeues zum Cyberangriff auf S\u00fcdwestfalen IT<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>
\nS\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a>
\nS\u00fcdwestfalen IT: Wiederanlauf nach Cyberangriff dauert l\u00e4nger; Betreiber werden Vers\u00e4umnisse vorgeworfen<\/a>
\nRansomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT; Stand Januar 2024<\/a>
\nS\u00fcdwestfalen IT: Cybervorfall nachbearbeitet \u2013 andere machen es besser<\/a><\/p>\n

Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1<\/a>
\nRansomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2<\/a><\/p>\n

BundID und Cyberbetrug: Die Heiz\u00f6lf\u00f6rderung \u2013 (kl)eine Lilith Wittman-Story<\/a>
\nZwang zur BundID bei Einmalzahlung200 war unzul\u00e4ssig<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

In den vergangenen Wochen waren zahlreiche digitale Verwaltungen, die mit OpenR@thaus laufen, pl\u00f6tzlich offline. Hintergrund ist, dass das Service-Portal des\u00a0 IT-Dienstleisters ITEBO wegen Schwachstellen offline genommen werden musste. Das war im Juni 2024 bereits das zweite Mal binnen 14 Tagen, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-296980","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296980","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296980"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296980\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296980"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296980"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296980"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}