Zum Inhalt (Access key c)Zur Hauptnavigation (Access key h)Zur Unternavigation (Access key u)

Datenschutzhinweis

Unsere Webseite nutzt externe Komponenten (Schriften von Fonts.com, Google Fonts, Youtube- und Vimeo-Videos, Google Maps, OpenStreetMaps, Google Tag Manager, Google Analytics, eTracker). Diese helfen uns unser Angebot stetig zu verbessern und Ihnen einen komfortablen Besuch zu ermöglichen. Durch das Laden externer Komponenten, können Daten über Ihr Verhalten von Dritten gesammelt werden, weshalb wir Ihre Zustimmung benötigen. Ohne Ihre Erlaubnis, kann es zu Einschränkungen bei Inhalt und Bedienung kommen. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

11. Juni 2024

Stellungnahme zu dem Scam-Angriff mit BundID-Bezug

Die Bürgerserviceplattform von optiGov ist nicht von der Weiterleitungs-Sicherheitslücke bezüglich der Anmeldung im Kontext der BundID betroffen.

Am vergangenen Freitag ist eine potentielle Sicherheitslücke bezüglich der Anmeldung über die BundID bekannt geworden. Dabei handelt es sich um eine Sicherheitslücke, welche nicht direkt in der BundID sondern einem Portal gefunden wurde, welches die BundID als Authentifizierungskomponente nutzt.

Mit der Sicherheitslücke war es möglich durch das Portal eine Anmeldung mit der BundID auf einer dritten, nicht autorisierten und potentiell schädlichen Seite durchzuführen. Diese Sicherheitslücke betrifft ausschließlich den Hersteller und die Kunden dieses Portals. Die Bürgerserviceplattform von optiGov ist und war nicht von dieser betroffen.

Ursprung dieser Sicherheitslücke ist die nicht korrekt implementierte Erweiterung um eine Weiterleitungsfunktion der SAML-Anbindung innerhalb des Portals an die BundID. 

Die optiGov-Bürgerserviceplattform bettet die SAML-Anmeldung in einen oAuth-Prozess ein, welcher alleinig für die abschließende Weiterleitung zuständig ist und ebenfalls die Prüfung der Parameter wie z.B. der URL übernimmt auf welche weitergeleitet wird. Diese wird mit einer von der jeweiligen Kommune definierten Liste an erlaubten URLs abgeglichen, um solche Probleme und Sicherheitslücken zu vermeiden.  

Technische Einzelheiten und Hintergründe können dem Blog der Verfasserin entnommen werden: https://lilithwittmann.medium.com/bundid-eine-digitale-identit%C3%A4t-schafft-falsches-vertrauen-4a1d0a3faa03

bundID Logo