Blindes Vertrauen und Sicherheit städtischer Serviceportale

Die regio iT bietet mit ihrem Serviceportal eine Lösung zur Digitalisierung kommunaler Dienstleistungen. Auf der Homepage der regio iT heißt es dazu:

Trotz OZG ruhig schlafen

Der Termin naht: Bis zum 31. Dezember 2022 müssen rund 250 Dienstleistungen von den Kommunen auch online angeboten werden. So steht es im Onlinezugangsgesetz (OZG). Viele Behörden greifen auf das Serviceportal der regio iT zurück, so auch die Bundesstadt Bonn. Der modulare Aufbau und die anwenderfreundliche Gestaltung machen es so populär. Doch was bedeutet die Einführung des Portals und die Umsetzung des OZG eigentlich in der Praxis für jene, die vor Ort dafür verantwortlich sind?

REGIO IT NACHRICHTEN vom 08.12.2020, abgerufen: 09.12.2020

Ich stellte mir die Frage, ob ich als Verantwortlicher vor Ort oder als Nutzer des Portals ruhig schlafen könnte oder kann. Schnell zeigte sich, dass die ruhigen Nächte zunächst gestört werden würden. Denn neben meiner Heimatstadt Aachen fand ich auch Verweise auf andere Städte, in denen das Portal, teils samt der Schwachstellen, eingesetzt wurde:

Immer mehr Kommunen entscheiden sich für das Serviceportal der regio iT. Und ein Ende dieser Erfolgsgeschichte ist nicht absehbar…

Aachen, Düsseldorf, Potsdam, Bonn, Heinsberg und Herzogenrath… Die Liste der Städte und Gemeinden, die auf das Serviceportal der regio iT setzen, wird immer länger. Und seit kurzem zählen auch Duisburg und Essen dazu.

REGIO IT NACHRICHTEN vom 02.09.2020, abgerufen: 09.12.2020

Sollte diese Erfolgsgeschichte nun also einen Dämpfer bekommen?

Servicekonto.NRW

Zentraler Speicherort für das eigentliche Benutzerkonto ist das Servicekonto.NRW. Es dient als Single Sign-on für Online-Anwendungen auf Landes- und kommunaler Ebene. Neben der Registrierung mit dem elektronischen Personalausweis ist auch die manuelle Registrierung möglich. In diesem Fall kann der Nutzer eine Reihe von Stammdaten selbstständig pflegen. Meldet sich ein Nutzer mit seinem Servicekonto.NRW an einem Serviceportal an, werden diese Stammdaten automatisch an das jeweilige Portal übertragen.

Das Servicekonto.NRW war in meinen Tests zwar nicht anfällig, jedoch spielte die Datenweitergabe an die Serviceportale eine entscheidende Rolle.

Blindes Vertrauen

Die Software der Serviceportale vertraute wohl darauf, dass ausschließlich valide und sichere Informationen aus dem Servicekonto.NRW übertragen werden. Dies führte dazu, dass potentiell gefährliche Zeichenketten nicht entsprechend behandelt wurden. Der Proof-of-Concept der XSS Schwachstellen wurde in einem Video festgehalten und der Link an die Verantwortlichen der regio iT sowie der betroffenen Städte übermittelt.

Bereits vor Veröffentlichung hatte sich das Problem herumgesprochen. Nicht jedem gefiel der Inhalt.

In dem nachfolgenden Video werden die Probleme in den Portalen der Städte Aachen, Duisburg und Essen gezeigt.

An dieser Stelle fehlt der Nachweis, dass das Problem für die Sicherheit der Portale wirklich relevant ist. Ob es zur Ausführung des JavaScripts aus Sicht eines Sachbearbeiters kommt, konnte ich nicht testen. Jedoch deutet das hier gezeigte Verhalten der Anwendung auf eines hin: Blindes Vertrauen.

Behebung

Die Behebung erfolgte an zwei Stellen. Damit soll sichergestellt werden, dass Schwachstellen in den Serviceportalen zu weniger Gefahren führen. Gleichzeitig wurden auch die Probleme in den Portalen behoben.

Servicekonto.NRW

Im Servicekonto NRW wurde eine Begrenzung auf sichere Zeichen implementiert. Damit soll verhindert werden, dass ein Serviceportal überhaupt schädliche Informationen erhält. Ein derartiger Filter kann jedoch nicht in allen denkbaren Situationen wirksamen Schutz bieten, wie der FaIl bei Untis zeigt.

Serviceportale

In den Serviceportalen selbst wurden ebenfalls Anpassungen durchgeführt. Aufgrund der Filterung im Servicekonto und meiner voreiligen Änderung der Daten im Servicekonto.NRW, konnte ich das aber nicht mehr vollständig testen. Zeitweise kam es bei der Übermittlung meiner gefährlichen Daten zu einem Serverfehler bei der Anmeldung.

Meldung & Kommunikation

Die Meldung erfolgte am 09.09.2020 mit einer 90-tägigen Reponsible Disclosure Frist an den Dienstleister und Entwickler regio iT sowie die betroffenen Städte Aachen, Duisburg und Essen. Auch wenn ich die vollständige Wirksamkeit der durchgeführten Maßnahmen nicht bewerten kann, scheint das Problem derzeit behoben.

Von der Stadt Aachen erhielt ich die Information über die Behebung. Eine Sache sah man jedoch scheinbar als irrelevant an: Die Webseite wird weiterhin unverschlüsselt ausgeliefert. Freuen wir uns also auch 2021 auf den nicht DSGVO konformen Betrieb einer kommunalen Webseite.

Auf besonderen Wunsch einer der beteiligten Stellen erfolgte die Veröffentlichung in diesem Fall pünktlich. Insbesondere sollen dadurch Irritationen durch verspätete Veröffentlichungen vermieden werden.

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments