Schwachstellen in Kernkomponente deutscher Behördenkommunikation aufgedeckt

Wolfgang Ettlinger und Marc Nimmerrichter haben im Auftrag des in Wien ansässigen SEC Consult Vulnerability Lab mehrere Schwachstellen in dem von deutschen Behörden verwendeten Protokoll OSCI-Transport aufgedeckt. Sie könnten ausgenutzt werden, um Daten, die zwischen Behörden übermittelt werden, zu entschlüsseln, zu manipulieren oder Dateien von Behörden-Servern auszulesen.

OSCI-Transport wurde bereits 2002 festgelegt und ist seit 2004 für die elektronische Kommunikation in der Bundesverwaltung im Einsatz. Das Protokoll wird unter anderem in der Justiz, dem Gesundheitswesen und dem Meldewesen genutzt. Anspruch ist es, Integrität, Authentizität, Vertraulichkeit und Nachvollziehbarkeit bei der Übermittlung von Nachrichten zu gewährleisten.

Den Erkenntnissen von Ettlinger und Nimmerrichter zufolge wird der aufgrund mehrerer Sicherheitslücken, die bereits bei einer “oberflächlichen Sicherheitsüberprüfung” gefunden worden seien, aber nicht eingelöst. Denn in der OSCI-Transport Bibliothek, eine Java-Implementierung der Version 1.2 des OSCI-Transport Protokolls, stecken mehrere Sicherheitslücken. Das keine vollständige Sicherheitsanalyse durchgeführt worden sei, ist es den Forscher zudem möglich, dass weitere Schwachstellen oder Angriffsszenarien existieren.

Auf jeden Fall konnte SEC Consult eigenen Angaben zufolge in Version 1.6.1 der OSCI Bibliothek für Java mehrere Schwachstellen identifizieren und diese in zumindest einem OSCI Kommunikationsszenario verifizieren. Demnach ist das auf dem XML-Format basierende Protokoll für einen Angriff mit XML External Entity Injection (XXE) anfällig. Dafür muss der Angreifer eine manipulierte Protokollnachricht an einen Teilnehmer senden. Das erlaubt es ihm dann zum Beispiel, Konfigurationsdateien mit Passwörtern, private Schlüssel oder andere interne Informationen auszulesen.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Auch eine anderweitig bekannte Angriffsmethode, XML Signature Wrapping, führte den Forschern zufolge zum Erfolg. Dabei lassen sich signierte Daten durch beliebige Daten ersetzen. Da die Sicherheitsmechanismen von OSCI-Transport 1.2 allesamt optional sind, sind den Forschern zufolge weitere Angriffsszenarien denkbar. Allerdings könnten sie durch die verwendeten Anwendungen, auf die SEC Consult keinen Zugriff hatte, wieder eingeschränkt werden.

Die Koordinierungsstelle für IT-Standards (KoSIT) hat aufgrund der jetzt veröffentlichten Forschungsergebnisse, über die sie bereits vorab informiert war, bereits am 13. März eine fehlerbereinigte Version (1.7.1) zur Verfügung gestellt. Am 30. März wurde dann auch eine korrigierte Version des Standards veröffentlicht. Derzeit werden wohl noch Nutzer der Bibliothek darüber informiert. Ob die inzwischen alle die fehlerbereinigte Version nutzen ist nicht bekannt.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

View Comments

  • "...und viele Arztpraxen verfügten noch nicht einmal über die zum Auslesen der Daten benötigte Infrastruktur. Sie sollen Stand heute ab 2018 durch Abzüge gezwungen werden, bei der elektronischen Gesundheitskarte mitzumachen."
    Wir sind längst im Bereich der angedrohten Strafen, falls die Hardware nicht bereitgestellt wird. Die Hardware ist aber bis zum heutigen Tag nicht erhätlich.

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

1 Tag ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago