anlage_bkamt_20211201_1

Dieses Dokument ist Teil der Anfrage „ID-Wallet: Pläne der Bundesregierung

Digital Enabling GmbH - IT-Sicherheitsbericht 23./24.09.2021

Digital Enabling GmbH - IT-Sicherheitsbericht 23./24.09.2021
Zusammenfassung

Am 23.09.2021 wurde der "digitale Führerschein" als Prototyp im Rahmen der SSI-
Pilotprojekte gestartet; mit stärkerem öffentlichen Interesse als erwartet. Die vom
Bundeskanzleramt beauftragten Unternehmen Digital Enabling GmbH, verantwortlich für die
Publikation der "ID Wallet" App, und esatus AG, verantwortlich für die Entwicklung dieser
App, gerieten in den Fokus von Sicherheitsforscher:innen und Hacker:innen. Aus dem Kreis
der teils mit eindeutig politischen Motivationen gegen das "Ökosystem für Digitale
Identitäten" und dessen politische Verantwortliche gerichteten Aktivist:innen kam es am
Abend des 24.09.2021 zu einem Hacking-Aufruf gegen die IT-Systeme der Digital Enabling
GmbH und der esatus AG. Nach einer Risikobeurteilung im vorliegenden Bedrohungsszenario
durch die Verantwortlichen der Unternehmen wurde in Abstimmung mit dem Projektpartner
Bundesdruckerei GmbH die Entscheidung für präventive Maßnahmen getroffen. Die IT-
Systeme wurden von der Internetanbindung getrennt und prioritätsgeleitet gestaffelt wieder
in Betrieb genommen.

Bericht

Am 23.09.2021 wurde der "digitale Führerschein" (digitale Kopie des Kartenführerscheins
bzw. digitaler Führerscheinnachweis) als Prototyp im Rahmen der SSI-Pilotprojekte des
Bundeskanzleramtes offiziell gestartet. Dazu wurde vom Bundesministerium für Verkehr und
digitale Infrastruktur (BMVI) eine entsprechende Meldung veröffentlich
(https://www.bmvi.de/SharedDocs/DE/Pressemitteilungen/2021/114-scheuer-digitaler-
fuehrerschein.html), die von den Medien aufgenommen und multipliziert wurde. Das
Interesse der Öffentlichkeit war unmittelbar zum Startzeitpunkt deutlich größer als im
Projekt abgeschätzt. In den sozialen Medien (insb. Twitter) wurde kommentiert, teilweise
ergaben sich Diskussionen, auch mit stark negativer Konnotation. Aufgrund der kurz
bevorstehenden Bundestagswahl am 26.09.2021 standen öffentliche Äußerungen teilweise
im politischen Kontext. Die öffentliche Diskussion wurde (und wird) von verschiedenen
Stakeholdern der SSI-Pilotprojekte aufmerksam mitverfolgt.

Technische Grundlage des "digitalen Führerscheins" ist das im Projektverlauf aufgebaute
Ökosystem für Digitale Identitäten einschließlich der in den App Stores verfügbaren "ID
Wallet", einer Smartphone-Anwendung für Endnutzer:innen. Zur Publikation der "ID Wallet"
ist die Digital Enabling GmbH und zu deren Entwicklung ist die esatus AG vom
Bundeskanzleramt beauftragt. Zur Interaktion der "ID Wallet" mit relevanten Backend-
Systemen für Anwendungsfälle stellt die esatus AG für die Digital Enabling GmbH einen
"Mediation Agent" im Rechenzentrum der esatus AG in Langen bei Frankfurt am Main bereit.
Dieser "Mediation Agent" ist im SSI-Ökosystem naturgemäß eine geteilte
Infrastrukturkomponente, die auch von anderen SSI-befähigten Organisationen genutzt
werden kann. Weitere technische Komponenten im Ökosystem werden von anderen
Partnern bereitgestellt, wie der IBM Deutschland GmbH und der Bundesdruckerei GmbH.
Letztere stellt bspw. den elD Service und.den Ausstelldienst für digitale Nachweise (SSI
Issuer) bereit.

Durch das hohe öffentliche Interesse wurde die Digital Enabling GmbH als Herausgeberin der
"ID Wallet" besonders visibel. Die "ID Wallet" und alle mit ihr in Verbindung stehenden

Seite 1/3
Digital Enabling GmbH - IT-Sicherheitsbericht 23./24.09.2021

technischen Komponenten sowie die technische Infrastruktur der Digital Enabling GmbH.
(betrieben durch die esatus AG) geriet in den Fokus von Sicherheitsforscher:innen. Dies
wurde zunächst aus deren öffentlichen Diskussionen auf Twitter in verschiedenen Threads
offenkundig. Aufgrund der Auswertung der öffentlichen Äußerungen kamen die
Verantwortlichen auf Seiten Digital Enabling GmbH und esatus AG zu der Einschätzung, dass
es zu intensiven Sicherheitsanalysen oder Angriffen auf die betriebenen
Infrastrukturkomponenten kommen könnte.

Die esatus AG wurde von zwei Sicherheitsforschern offiziell über zwei Schwachstellen in
Systemen informiert, die unabhängig zur "ID Wallet" und zugehöriger Infrastruktur betrieben
werden:

1. Per Email erfolgte an info@esatus.com am 23.09.2021 um 21:59 h CEST ein Hinweis
über eine "Unkonfigurierte Wordpress Installation auf Ihrer Domain", die nach
Aussage vom Meldenden "angelegt wurde um zu verhindern, dass jemand anderes
sie nutzt". Die WordPress-Instanz wurde binnen weniger Minuten vom technischen
Verantwortlichen der esatus AG deaktiviert. Es handelte sich um eine nicht-
produktive Instanz der esatus AG für öffentliche Demos und Trainings von
konfigurativer SSI-Anbindung, die in keinerlei Bezug und technischer Verbindung zur
"ID Wallet" stand.

2. Über das Kontaktformular der esatus AG erfolgte am 24.09.2021 um 22:13 h CEST ein
Hinweis über mögliche "Subdomain-Takeover". Gemeldet wurde die Möglichkeit,
sechs auf Microsoft Azure zeigende esatus.com Subdomains, die nicht mehr auf eine
aktive virtuelle Maschine zeigen, durch eigene Azure-Konfigurationen zu
übernehmen. Die Subdomains wurden binnen weniger Minuten vom technischen
Verantwortlichen der esatus AG deaktiviert. Die Subdomains wurden zuvor für nicht-
produktive Demo-Instanzen für SSI-Anwendungsfälle genutzt, die in keinerlei Bezug
und technischer Verbindung zur "ID Wallet" standen.

Am 24.09.2021 um bereits 21:14 h CEST erfolgte auf Twitter durch den Account @fluepke
der Aufruf "Happy Hacking Everyone" (siehe
https://twitter.com/fluepke/status/1441481297751334912). Gleichzeitig wurde unter dem
Titel "Helgechain" und dem erneuten Aufruf "Happy hacking every1!" auf GibHub eine Liste
mit DNS-Auflösungen (erstellt durch DNS-Zonentransfer) zu von der esatus AG verwalteten
Domains publiziert (siehe

https: //gist.github.com/Fluepke 2e7d28386cb57adb45f0aa1a76eb7d34). Der Begriff
"Helgechain" bezog sich dabei explizit auf Helge Braun, Mitglied des Deutschen Bundestages,
Bundesminister für besondere Aufgaben und Chef des Bundeskanzleramts, und dessen
begleitenden Twitter-Post zum Start des digitalen Führerscheinnachweises (siehe
https://twitter.com/hbraun/status/1440960485436837888), sowie die generelle Abneigung
der "Community" zu allen Technologien im Innovationsbereich "Blockchain". Der gezielte
Aufruf in eindeutig politischem Kontext mit Polemik und Hasstiraden war ein Indikator für
eine Gruppenbildung bzw. Zusammenrottung aus dem Kreise der politischen Gegner mit
Hacking-Affinität zur gezielten Ausweitung einer negativen öffentlichen Meinungsmäche und
Provokation eines sog. "Shitstorms". (Konzertierte "Anti-Aktionen" von Aktivist:innen der
Jüngeren Vergangenheit hatten ähnliche Verläufe, vgl. Luca-App, Ausstellung von
Impfzertifikaten in Apotheken, HPI Schul-Cloud.)

Seite 2/3
Digital Enabling GmbH - IT-Sicherheitsbericht 23./24.09.2021

Die Verantwortlichen von Digital Enabling GmbH und esatus AG bezogen diese
Informationen und unter anderem weitere Parameter wie nachfolgend aufgelistet in eine
Risikobeurteilung ein:

« Es besteht ein öffentlicher Hacking-Aufruf gegen die Systeme der Digital Enabling
GmbH und der esatus AG.

e  Offenkundig stehen die für die Digital Enabling GmbH im Kontext der "ID Wallet"
betriebenen Systeme nicht isoliert im Fokus, sondern potenziell alle Systeme der
esatus AG.

e Aufgrund der öffentlichen Äußerungen einer versierten "Hacker-Community" sind
gezielte, konzertierte Hacking-Angriffe auf alle Systeme möglich oder sogar
wahrscheinlich.

e Aufgrund der negativen Intensität von Äußerungen und der teilweise politisch
motivierten Diskussion besteht ein hohes Bedrohungspotenzial.

« Die anderen Systeme außerhalb des Kontextes der "ID Wallet" werden mit
angegriffen, um eine breitere Front gegenüber der Digital Enabling GmbH und der
esatus AG aufzubauen.

«e Das akute Bedrohungsszenario lässt sich nicht mit einer einzelnen Maßnahme in
kurzer Zeit adressieren, bspw. sind DNS-Updates technisch bedingt erst zeitlich
verzögert aktiv.

e  Abzuwägen sind negative Reputationseffekte durch eine präventive
Gesamtabschaltung gegenüber möglichen Seiteneffekten durch Angriffe.

Die Risikobeurteilung erfolgte durch die Verantwortlichen auf Seiten Digital Enabling GmbH
und esatus AG in Abstimmung mit der Bundesdruckerei GmbH demzufolge unter '
besonderem Zeitdruck. Eine sich schnell aufbauende Angriffswelle von fachlich
höchstversierten Angreifern mit extrem negativen, zudem politisch motivierten Interessen
wurde für möglich gehalten. Gemeinsam mit den Projektverantwortlichen der
Bundesdruckerei GmbH wurden am 24.09.2021 gegen 23:00 h CEST nach sorgfältiger
Abwägung unter gegebenem Zeitdruck folgende präventive Maßnahmen beschlossen und
umgesetzt:

Offline-Setzung: Die am Standort Langen befindlichen Systeme werden umgehend von der
Internetanbindung getrennt sowie verschiedene in Cloud-Infrastrukturen betriebene
Systeme werden umgehend deaktiviert.

Gestaffelte Wiederinbetriebnahme: Es erfolgt über die folgenden Tage eine
prioritätsgeleitete Wiederinbetriebnahme der Systeme. Im Zuge dessen erfolgen zusätzliche

Tests vor der erneuten Freigabe für die Online-Anbindung.

Langen, 25.09.2021

Seite 3/3