Schwachstellen in Kernkomponente deutscher Behördenkommunikation aufgedeckt

Wolfgang Ettlinger und Marc Nimmerrichter haben im Auftrag des in Wien ansässigen SEC Consult Vulnerability Lab mehrere Schwachstellen in dem von deutschen Behörden verwendeten Protokoll OSCI-Transport aufgedeckt. Sie könnten ausgenutzt werden, um Daten, die zwischen Behörden übermittelt werden, zu entschlüsseln, zu manipulieren oder Dateien von Behörden-Servern auszulesen.

OSCI-Transport wurde bereits 2002 festgelegt und ist seit 2004 für die elektronische Kommunikation in der Bundesverwaltung im Einsatz. Das Protokoll wird unter anderem in der Justiz, dem Gesundheitswesen und dem Meldewesen genutzt. Anspruch ist es, Integrität, Authentizität, Vertraulichkeit und Nachvollziehbarkeit bei der Übermittlung von Nachrichten zu gewährleisten.

Den Erkenntnissen von Ettlinger und Nimmerrichter zufolge wird der aufgrund mehrerer Sicherheitslücken, die bereits bei einer “oberflächlichen Sicherheitsüberprüfung” gefunden worden seien, aber nicht eingelöst. Denn in der OSCI-Transport Bibliothek, eine Java-Implementierung der Version 1.2 des OSCI-Transport Protokolls, stecken mehrere Sicherheitslücken. Das keine vollständige Sicherheitsanalyse durchgeführt worden sei, ist es den Forscher zudem möglich, dass weitere Schwachstellen oder Angriffsszenarien existieren.

Auf jeden Fall konnte SEC Consult eigenen Angaben zufolge in Version 1.6.1 der OSCI Bibliothek für Java mehrere Schwachstellen identifizieren und diese in zumindest einem OSCI Kommunikationsszenario verifizieren. Demnach ist das auf dem XML-Format basierende Protokoll für einen Angriff mit XML External Entity Injection (XXE) anfällig. Dafür muss der Angreifer eine manipulierte Protokollnachricht an einen Teilnehmer senden. Das erlaubt es ihm dann zum Beispiel, Konfigurationsdateien mit Passwörtern, private Schlüssel oder andere interne Informationen auszulesen.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Auch eine anderweitig bekannte Angriffsmethode, XML Signature Wrapping, führte den Forschern zufolge zum Erfolg. Dabei lassen sich signierte Daten durch beliebige Daten ersetzen. Da die Sicherheitsmechanismen von OSCI-Transport 1.2 allesamt optional sind, sind den Forschern zufolge weitere Angriffsszenarien denkbar. Allerdings könnten sie durch die verwendeten Anwendungen, auf die SEC Consult keinen Zugriff hatte, wieder eingeschränkt werden.

Die Koordinierungsstelle für IT-Standards (KoSIT) hat aufgrund der jetzt veröffentlichten Forschungsergebnisse, über die sie bereits vorab informiert war, bereits am 13. März eine fehlerbereinigte Version (1.7.1) zur Verfügung gestellt. Am 30. März wurde dann auch eine korrigierte Version des Standards veröffentlicht. Derzeit werden wohl noch Nutzer der Bibliothek darüber informiert. Ob die inzwischen alle die fehlerbereinigte Version nutzen ist nicht bekannt.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

View Comments

  • "...und viele Arztpraxen verfügten noch nicht einmal über die zum Auslesen der Daten benötigte Infrastruktur. Sie sollen Stand heute ab 2018 durch Abzüge gezwungen werden, bei der elektronischen Gesundheitskarte mitzumachen."
    Wir sind längst im Bereich der angedrohten Strafen, falls die Hardware nicht bereitgestellt wird. Die Hardware ist aber bis zum heutigen Tag nicht erhätlich.

Recent Posts

Die Neuheiten der AWS re:Invent-Konferenz

Amazon Web Services (AWS) hat auf seiner re:Invent-Konferenz zahlreiche Innovationen vorgestellt, unter anderem für das…

3 Tagen ago

US-Handelsbehörde FTC klagt gegen Zusammenschluss von Nvidia und ARM

Nvidia erhält laut FTC Zugriff auf vertrauliche Informationen von Mitbewerbern. Darin sieht die Behörde einen…

3 Tagen ago

Google stellt Pläne für Ausbau seiner Cloud-Infrastruktur vor

Die Zahl der Regionen steigt von 25 im April auf jetzt 29. Neu sind Cloud-Regionen…

3 Tagen ago

Windows 11: Microsoft kündigt neue Anpassungsmöglichkeiten für das Startmenü an

Windows Insider testen sie derzeit im Developer Channel. Ein neues Layout bietet mehr angeheftete Elemente…

4 Tagen ago

Sicherheit und eine geschützte IP im Internet

Viel zu häufig sind Anwender im Internet leider nur schlecht geschützt unterwegs. Was beim privaten…

4 Tagen ago

Qualcomm stellt neue Snapdragon-Plattform für Windows-PCs vor

Sie bietet 85 Prozent mehr CPU-Leistung als der Vorgänger. Der Snapdragon 8cx Gen 3 integriert…

4 Tagen ago