11. Juni 2024
Stellungnahme zu dem Scam-Angriff mit BundID-Bezug
Die Bürgerserviceplattform von optiGov ist nicht von der Weiterleitungs-Sicherheitslücke bezüglich der Anmeldung im Kontext der BundID betroffen.
Am vergangenen Freitag ist eine potentielle Sicherheitslücke bezüglich der Anmeldung über die BundID bekannt geworden. Dabei handelt es sich um eine Sicherheitslücke, welche nicht direkt in der BundID sondern einem Portal gefunden wurde, welches die BundID als Authentifizierungskomponente nutzt.
Mit der Sicherheitslücke war es möglich durch das Portal eine Anmeldung mit der BundID auf einer dritten, nicht autorisierten und potentiell schädlichen Seite durchzuführen. Diese Sicherheitslücke betrifft ausschließlich den Hersteller und die Kunden dieses Portals. Die Bürgerserviceplattform von optiGov ist und war nicht von dieser betroffen.
Ursprung dieser Sicherheitslücke ist die nicht korrekt implementierte Erweiterung um eine Weiterleitungsfunktion der SAML-Anbindung innerhalb des Portals an die BundID.
Die optiGov-Bürgerserviceplattform bettet die SAML-Anmeldung in einen oAuth-Prozess ein, welcher alleinig für die abschließende Weiterleitung zuständig ist und ebenfalls die Prüfung der Parameter wie z.B. der URL übernimmt auf welche weitergeleitet wird. Diese wird mit einer von der jeweiligen Kommune definierten Liste an erlaubten URLs abgeglichen, um solche Probleme und Sicherheitslücken zu vermeiden.
Technische Einzelheiten und Hintergründe können dem Blog der Verfasserin entnommen werden: https://lilithwittmann.medium.com/bundid-eine-digitale-identit%C3%A4t-schafft-falsches-vertrauen-4a1d0a3faa03