anlage_bkamt_20211201_1
Dieses Dokument ist Teil der Anfrage „ID-Wallet: Pläne der Bundesregierung“
Digital Enabling GmbH - IT-Sicherheitsbericht 23./24.09.2021 Digital Enabling GmbH - IT-Sicherheitsbericht 23./24.09.2021 Zusammenfassung Am 23.09.2021 wurde der "digitale Führerschein" als Prototyp im Rahmen der SSI- Pilotprojekte gestartet; mit stärkerem öffentlichen Interesse als erwartet. Die vom Bundeskanzleramt beauftragten Unternehmen Digital Enabling GmbH, verantwortlich für die Publikation der "ID Wallet" App, und esatus AG, verantwortlich für die Entwicklung dieser App, gerieten in den Fokus von Sicherheitsforscher:innen und Hacker:innen. Aus dem Kreis der teils mit eindeutig politischen Motivationen gegen das "Ökosystem für Digitale Identitäten" und dessen politische Verantwortliche gerichteten Aktivist:innen kam es am Abend des 24.09.2021 zu einem Hacking-Aufruf gegen die IT-Systeme der Digital Enabling GmbH und der esatus AG. Nach einer Risikobeurteilung im vorliegenden Bedrohungsszenario durch die Verantwortlichen der Unternehmen wurde in Abstimmung mit dem Projektpartner Bundesdruckerei GmbH die Entscheidung für präventive Maßnahmen getroffen. Die IT- Systeme wurden von der Internetanbindung getrennt und prioritätsgeleitet gestaffelt wieder in Betrieb genommen. Bericht Am 23.09.2021 wurde der "digitale Führerschein" (digitale Kopie des Kartenführerscheins bzw. digitaler Führerscheinnachweis) als Prototyp im Rahmen der SSI-Pilotprojekte des Bundeskanzleramtes offiziell gestartet. Dazu wurde vom Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) eine entsprechende Meldung veröffentlich (https://www.bmvi.de/SharedDocs/DE/Pressemitteilungen/2021/114-scheuer-digitaler- fuehrerschein.html), die von den Medien aufgenommen und multipliziert wurde. Das Interesse der Öffentlichkeit war unmittelbar zum Startzeitpunkt deutlich größer als im Projekt abgeschätzt. In den sozialen Medien (insb. Twitter) wurde kommentiert, teilweise ergaben sich Diskussionen, auch mit stark negativer Konnotation. Aufgrund der kurz bevorstehenden Bundestagswahl am 26.09.2021 standen öffentliche Äußerungen teilweise im politischen Kontext. Die öffentliche Diskussion wurde (und wird) von verschiedenen Stakeholdern der SSI-Pilotprojekte aufmerksam mitverfolgt. Technische Grundlage des "digitalen Führerscheins" ist das im Projektverlauf aufgebaute Ökosystem für Digitale Identitäten einschließlich der in den App Stores verfügbaren "ID Wallet", einer Smartphone-Anwendung für Endnutzer:innen. Zur Publikation der "ID Wallet" ist die Digital Enabling GmbH und zu deren Entwicklung ist die esatus AG vom Bundeskanzleramt beauftragt. Zur Interaktion der "ID Wallet" mit relevanten Backend- Systemen für Anwendungsfälle stellt die esatus AG für die Digital Enabling GmbH einen "Mediation Agent" im Rechenzentrum der esatus AG in Langen bei Frankfurt am Main bereit. Dieser "Mediation Agent" ist im SSI-Ökosystem naturgemäß eine geteilte Infrastrukturkomponente, die auch von anderen SSI-befähigten Organisationen genutzt werden kann. Weitere technische Komponenten im Ökosystem werden von anderen Partnern bereitgestellt, wie der IBM Deutschland GmbH und der Bundesdruckerei GmbH. Letztere stellt bspw. den elD Service und.den Ausstelldienst für digitale Nachweise (SSI Issuer) bereit. Durch das hohe öffentliche Interesse wurde die Digital Enabling GmbH als Herausgeberin der "ID Wallet" besonders visibel. Die "ID Wallet" und alle mit ihr in Verbindung stehenden Seite 1/3
Digital Enabling GmbH - IT-Sicherheitsbericht 23./24.09.2021 technischen Komponenten sowie die technische Infrastruktur der Digital Enabling GmbH. (betrieben durch die esatus AG) geriet in den Fokus von Sicherheitsforscher:innen. Dies wurde zunächst aus deren öffentlichen Diskussionen auf Twitter in verschiedenen Threads offenkundig. Aufgrund der Auswertung der öffentlichen Äußerungen kamen die Verantwortlichen auf Seiten Digital Enabling GmbH und esatus AG zu der Einschätzung, dass es zu intensiven Sicherheitsanalysen oder Angriffen auf die betriebenen Infrastrukturkomponenten kommen könnte. Die esatus AG wurde von zwei Sicherheitsforschern offiziell über zwei Schwachstellen in Systemen informiert, die unabhängig zur "ID Wallet" und zugehöriger Infrastruktur betrieben werden: 1. Per Email erfolgte an info@esatus.com am 23.09.2021 um 21:59 h CEST ein Hinweis über eine "Unkonfigurierte Wordpress Installation auf Ihrer Domain", die nach Aussage vom Meldenden "angelegt wurde um zu verhindern, dass jemand anderes sie nutzt". Die WordPress-Instanz wurde binnen weniger Minuten vom technischen Verantwortlichen der esatus AG deaktiviert. Es handelte sich um eine nicht- produktive Instanz der esatus AG für öffentliche Demos und Trainings von konfigurativer SSI-Anbindung, die in keinerlei Bezug und technischer Verbindung zur "ID Wallet" stand. 2. Über das Kontaktformular der esatus AG erfolgte am 24.09.2021 um 22:13 h CEST ein Hinweis über mögliche "Subdomain-Takeover". Gemeldet wurde die Möglichkeit, sechs auf Microsoft Azure zeigende esatus.com Subdomains, die nicht mehr auf eine aktive virtuelle Maschine zeigen, durch eigene Azure-Konfigurationen zu übernehmen. Die Subdomains wurden binnen weniger Minuten vom technischen Verantwortlichen der esatus AG deaktiviert. Die Subdomains wurden zuvor für nicht- produktive Demo-Instanzen für SSI-Anwendungsfälle genutzt, die in keinerlei Bezug und technischer Verbindung zur "ID Wallet" standen. Am 24.09.2021 um bereits 21:14 h CEST erfolgte auf Twitter durch den Account @fluepke der Aufruf "Happy Hacking Everyone" (siehe https://twitter.com/fluepke/status/1441481297751334912). Gleichzeitig wurde unter dem Titel "Helgechain" und dem erneuten Aufruf "Happy hacking every1!" auf GibHub eine Liste mit DNS-Auflösungen (erstellt durch DNS-Zonentransfer) zu von der esatus AG verwalteten Domains publiziert (siehe https: //gist.github.com/Fluepke 2e7d28386cb57adb45f0aa1a76eb7d34). Der Begriff "Helgechain" bezog sich dabei explizit auf Helge Braun, Mitglied des Deutschen Bundestages, Bundesminister für besondere Aufgaben und Chef des Bundeskanzleramts, und dessen begleitenden Twitter-Post zum Start des digitalen Führerscheinnachweises (siehe https://twitter.com/hbraun/status/1440960485436837888), sowie die generelle Abneigung der "Community" zu allen Technologien im Innovationsbereich "Blockchain". Der gezielte Aufruf in eindeutig politischem Kontext mit Polemik und Hasstiraden war ein Indikator für eine Gruppenbildung bzw. Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität zur gezielten Ausweitung einer negativen öffentlichen Meinungsmäche und Provokation eines sog. "Shitstorms". (Konzertierte "Anti-Aktionen" von Aktivist:innen der Jüngeren Vergangenheit hatten ähnliche Verläufe, vgl. Luca-App, Ausstellung von Impfzertifikaten in Apotheken, HPI Schul-Cloud.) Seite 2/3
Digital Enabling GmbH - IT-Sicherheitsbericht 23./24.09.2021 Die Verantwortlichen von Digital Enabling GmbH und esatus AG bezogen diese Informationen und unter anderem weitere Parameter wie nachfolgend aufgelistet in eine Risikobeurteilung ein: « Es besteht ein öffentlicher Hacking-Aufruf gegen die Systeme der Digital Enabling GmbH und der esatus AG. e Offenkundig stehen die für die Digital Enabling GmbH im Kontext der "ID Wallet" betriebenen Systeme nicht isoliert im Fokus, sondern potenziell alle Systeme der esatus AG. e Aufgrund der öffentlichen Äußerungen einer versierten "Hacker-Community" sind gezielte, konzertierte Hacking-Angriffe auf alle Systeme möglich oder sogar wahrscheinlich. e Aufgrund der negativen Intensität von Äußerungen und der teilweise politisch motivierten Diskussion besteht ein hohes Bedrohungspotenzial. « Die anderen Systeme außerhalb des Kontextes der "ID Wallet" werden mit angegriffen, um eine breitere Front gegenüber der Digital Enabling GmbH und der esatus AG aufzubauen. «e Das akute Bedrohungsszenario lässt sich nicht mit einer einzelnen Maßnahme in kurzer Zeit adressieren, bspw. sind DNS-Updates technisch bedingt erst zeitlich verzögert aktiv. e Abzuwägen sind negative Reputationseffekte durch eine präventive Gesamtabschaltung gegenüber möglichen Seiteneffekten durch Angriffe. Die Risikobeurteilung erfolgte durch die Verantwortlichen auf Seiten Digital Enabling GmbH und esatus AG in Abstimmung mit der Bundesdruckerei GmbH demzufolge unter ' besonderem Zeitdruck. Eine sich schnell aufbauende Angriffswelle von fachlich höchstversierten Angreifern mit extrem negativen, zudem politisch motivierten Interessen wurde für möglich gehalten. Gemeinsam mit den Projektverantwortlichen der Bundesdruckerei GmbH wurden am 24.09.2021 gegen 23:00 h CEST nach sorgfältiger Abwägung unter gegebenem Zeitdruck folgende präventive Maßnahmen beschlossen und umgesetzt: Offline-Setzung: Die am Standort Langen befindlichen Systeme werden umgehend von der Internetanbindung getrennt sowie verschiedene in Cloud-Infrastrukturen betriebene Systeme werden umgehend deaktiviert. Gestaffelte Wiederinbetriebnahme: Es erfolgt über die folgenden Tage eine prioritätsgeleitete Wiederinbetriebnahme der Systeme. Im Zuge dessen erfolgen zusätzliche Tests vor der erneuten Freigabe für die Online-Anbindung. Langen, 25.09.2021 Seite 3/3