Digital Enabling GmbH — IT-Sicherheitsbericht 23./24.09.2021 Digital Enabling GmbH — IT-Sicherheitsbericht 23./24.09.2021 Zusammenfassung Am 23.09.2021 wurde der "digitale Fiihrerschein" als Prototyp im Rahmen der SSI- Pilotprojekte gestartet; mit starkerem 6ffentlichen Interesse als erwartet. Die vom Bundeskanzleramt beauftragten Unternehmen Digital Enabling GmbH, verantwortlich fir die Publikation der "ID Wallet" App, und esatus AG, verantwortlich fir die Entwicklung dieser App, gerieten in den Fokus von Sicherheitsforscher:innen und Hacker:innen. Aus dem Kreis der teils mit eindeutig politischen Motivationen gegen das "Okosystem fiir Digitale Identitdten" und dessen politische Verantwortliche gerichteten Aktivist:innen kam es am Abend des 24.09.2021 zu einem Hacking-Aufruf gegen die IT-Systeme der Digital Enabling GmbH und der esatus AG. Nach einer Risikobeurteilung im vorliegenden Bedrohungsszenario durch die Verantwortlichen der Unternehmen wurde in Abstimmung mit dem Projektpartner Bundesdruckerei GmbH die Entscheidung fiir praventive MaBnahmen getroffen. Die IT- Systeme wurden von der Internetanbindung getrennt und prioritatsgeleitet gestaffelt wieder in Betrieb genommen. Bericht Am 23.09.2021 wurde der "digitale Fihrerschein" (digitale Kopie des Kartenfiihrerscheins bzw. digitaler Filhrerscheinnachweis) als Prototyp im Rahmen der SSI-Pilotprojekte des Bundeskanzleramtes offiziell gestartet. Dazu wurde vom Bundesministerium fiir Verkehr und digitale Infrastruktur (BMVI1) eine entsprechende Meldung veroffentlich (https://www.bmvi.de/SharedDocs/DE/Pressemitteilungen/2021/114-scheuer-digitaler- fuehrerschein.html), die von den Medien aufgenommen und multipliziert wurde. Das Interesse der Offentlichkeit war unmittelbar zum Startzeitpunkt deutlich groRer als im Projekt abgeschitzt. In den sozialen Medien (insh. Twitter) wurde kommentiert, teilweise ergaben sich Diskussionen, auch mit stark negativer Konnotation. Aufgrund der kurz bevorstehenden Bundestagswahl am 26.09.2021 standen éffentliche AuRerungen teilweise im politischen Kontext. Die 6ffentliche Diskussion wurde (und wird) von verschiedenen Stakeholdern der SSI-Pilotprojekte aufmerksam mitverfolgt. Technische Grundlage des "digitalen Fiihrerscheins” ist das im Projektverlauf aufgebaute Okosystem fiir Digitale Identititen einschlieRlich der in den App Stores verfiigbaren "ID Wallet", einer Smartphone-Anwendung fiir Endnutzer:innen. Zur Publikation der "ID Wallet" ist die Digital Enabling GmbH und zu deren Entwicklung ist die esatus AG vom Bundeskanzleramt beauftragt. Zur Interaktion der "ID Wallet" mit relevanten Backend- Systemen fiir Anwendungsfille stellt die esatus AG fiir die Digital Enabling GmbH einen "Mediation Agent" im Rechenzentrum der esatus AG in Langen bei Frankfurt am Main bereit. Dieser "Mediation Agent" ist im SSI-Okosystem naturgemiR eine geteilte Infrastrukturkomponente, die auch von anderen SSI-befdhigten Organisationen genutzt werden kann. Weitere technische Komponenten im Okosystem werden von anderen Partnern bereitgestellt, wie der IBM Deutschland GmbH und der Bundesdruckerei GmbH. Letztere stellt bspw. den elD Service und.den Ausstelldienst fiir digitale Nachweise (SSI Issuer) bereit. Durch das hohe 6ffentliche Interesse wurde die Digital Enabling GmbH als Herausgeberin der "ID Wallet" besonders visibel. Die "ID Wallet" und alle mit ihr in Verbindung stehenden Seite 1/3

Digital Enabling GmbH — IT-Sicherheitshericht 23./24.09.2021 technischen Komponenten sowie die technische Infrastruktur der Digital Enabling GmbH - (betrieben durch die esatus AG) geriet in den Fokus von Sicherheitsforscher:innen. Dies wurde zunichst aus deren éffentlichen Diskussionen auf Twitter in verschiedenen Threads offenkundig. Aufgrund der Auswertung der 6ffentlichen AuRerungen kamen die Verantwortlichen auf Seiten Digital Enabling GmbH und esatus AG zu der Einschatzung, dass es zu intensiven Sicherheitsanalysen oder Angriffen auf die betriebenen Infrastrukturkomponenten kommen kénnte. Die esatus AG wurde von zwei Sicherheitsforschern offiziell tiber zwei Schwachstellen in Systemen informiert, die unabhéngig zur "ID Wallet" und zugehériger Infrastruktur betrieben werden: 1.  Per Email erfolgte an info@esatus.com am 23.09.2021 um 21:59 h CEST ein Hinweis tiber eine "Unkonfigurierte Wordpress Installation auf threr Domain", die nach Aussage vom Meldenden "angelegt wurde um zu verhindern, dass jemand anderes sie nutzt". Die WordPress-Instanz wurde binnen weniger Minuten vom technischen Verantwortlichen der esatus AG deaktiviert. Es handelte sich um eine nicht- produktive Instanz der esatus AG fiir 6ffentliche Demos und Trainings von konfigurativer SSI-Anbindung, die in keinerlei Bezug und technischer Verbindung zur "ID Wallet" stand. 2.   Uber das Kontaktformular der esatus AG erfolgte am 24.09.2021 um 22:13 h CEST ein Hinweis liber mégliche "Subdomain-Takeover". Gemeldet wurde die Mdéglichkeit, sechs auf Microsoft Azure zeigende esatus.com Subdomains, die nicht mehr auf eine aktive virtuelle Maschine zeigen, durch eigene Azure-Konfigurationen zu ubernehmen. Die Subdomains wurden binnen weniger Minuten vom technischen Verantwortlichen der esatus AG deaktiviert. Die Subdomains wurden zuvor fiir nicht- produktive Demo-Instanzen fiir SSI-Anwendungsfélle genutzt, die in keinerlei Bezug und technischer Verbindung zur "ID Wallet" standen. Am 24.09.2021 um bereits 21:14 h CEST erfolgte auf Twitter durch den Account @fluepke der Aufruf "Happy Hacking Everyone" (siehe https://twitter.com/fluepke/status/1441481297751334912). Gleichzeitig wurde unter dem Titel "Helgechain" und dem erneuten Aufruf "Happy hacking everyl!" auf GibHub eine Liste mit DNS-Auflésungen (erstellt durch DNS-Zonentransfer) zu von der esatus AG verwalteten Domains publiziert (siehe https://gist.github.com/Fluepke/2e7d28386ch57adb45f0aala76eb7d34). Der Begriff "Helgechain" bezog sich dabei explizit auf Helge Braun, Mitglied des Deutschen Bundestages, Bundesminister fiir besondere Aufgaben und Chef des Bundeskanzleramts, und dessen begleitenden Twitter-Post zum Start des digitalen Fiihrerscheinnachweises (siehe https://twitter.com/hbraun/status/1440960485436837888), sowie die generelle Abneigung der "Community" zu allen Technologien im Innovationsbereich "Blockchain". Der gezielte Aufruf in eindeutig politischem Kontext mit Polemik und Hasstiraden war ein Indikator fiir eine Gruppenbildung bzw. Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinitat zur gezielten Ausweitung einer negativen &ffentlichen Meinungsmache und Provokation eines sog. "Shitstorms". (Konzertierte "Anti-Aktionen" von Aktivist:innen der jungeren Vergangenheit hatten dhnliche Verliufe, vgl. Luca-App, Ausstellung von Impfzertifikaten in Apotheken, HPI Schul-Cloud.) Seite 2/3

Digital Enabling GmbH — IT-Sicherheitsbericht 23./24.09.2021 Die Verantwortlichen von Digital Enabling GmbH und esatus AG bezogen diese Informationen und unter anderem weitere Parameter wie nachfolgend aufgelistet in eine Risikobeurteilung ein: *  Es besteht ein 6ffentlicher Hacking-Aufruf gegen die Systeme der Digital Enabling GmbH und der esatus AG. »   Offenkundig stehen die fiir die Digital Enabling GmbH im Kontext der "ID Wallet" betriebenen Systeme nicht isoliert im Fokus, sondern potenziell alle Systeme der esatus AG. »  Aufgrund der 6ffentlichen AuRerungen einer versierten "Hacker-Community" sind gezielte, konzertierte Hacking-Angriffe auf alle Systeme méglich oder sogar wahrscheinlich. e   Aufgrund der negativen Intensitit von AuRerungen und der teilweise politisch motivierten Diskussion besteht ein hohes Bedrohungspotenzial. +   Die anderen Systeme auRerhalb des Kontextes der "ID Wallet" werden mit angegriffen, um eine breitere Front gegeniiber der Digital Enabling GmbH und der esatus AG aufzubauen. »    Das akute Bedrohungsszenario lasst sich nicht mit einef einzelnen MaRnahme in kurzer Zeit adressieren, bspw. sind DNS-Updates technisch bedingt erst zeitlich verzogert aktiv. »    Abzuwégen sind negative Reputationseffekte durch eine praventive Gesamtabschaltung gegeniiber méglichen Seiteneffekten duréh Angriffe. Die Risikobeurteilung erfolgte durch die Verantwortlichen auf Seiten Digital En abling GmbH und esatus AG in Abstimmung mit der Bundesdruckerei GmbH demzufolge unter besonderem Zeitdruck. Eine sich schnell aufbauende Angriffswelle von fachlich héchstversierten Angreifern mit extrem negativen, zudem politisch motivierte n Interessen wurde fiir méglich gehalten. Gemeinsam mit den Projektverantwortlichen der Bundesdruckerei GmbH wurden am 24.09.2021 gegen 23:00 h CEST nach sorgfi ltiger Abwdgung unter gegebenem Zeitdruck folgende praventive MaBnahmen be schlossen und umgesetzt: Offline-Setzung: Die am Standort Langen befindlichen Systeme werden umge hend von der Internetanbindung getrennt sowie verschiedene in Cloud-Infrastrukturen betr iebene Systeme werden umgehend deaktiviert. Gestaffelte Wiederinbetriebnahme: Es erfolgt Gber die folgenden Tage eine prioritatsgeleitete Wiederinbetriebnahme der Systeme. Im Zuge dessen erfolgen zus itzliche Tests vor der erneuten Freigabe fiir die Online-Anbindung. Langen, 25.09.2021 Seite 3/3