Abo
  • Services:
Anzeige
Schwachstellen in Softwarebibliothek machten Behörden möglicherweise angreifbar.
Schwachstellen in Softwarebibliothek machten Behörden möglicherweise angreifbar. (Bild: Yuri Samoilov / Flickr/CC-BY 2.0)

OSCI-Transport: Schwachstellen könnten Behördenkommunikation gefährden

Schwachstellen in Softwarebibliothek machten Behörden möglicherweise angreifbar.
Schwachstellen in Softwarebibliothek machten Behörden möglicherweise angreifbar. (Bild: Yuri Samoilov / Flickr/CC-BY 2.0)

Zwei Schwachstellen in einem Programm der öffentlichen Verwaltung können unter Umständen dazu genutzt werden, die rechtssichere Signatur und Verschlüsselung von Behördenkommunikation zu umgehen. Ein Patch steht zwar zur Verfügung, wird aber nur langsam eingespielt.

Die IT-Beratungsfirma SEC Consult meldet Schwachstellen in dem in der deutschen öffentlichen Verwaltung weit verbreiteten OSCI-Transportprotokoll. Mit diesem Programm können Behörden verschlüsselte und rechtssicher signierte Nachrichten untereinander oder auch mit externen Stellen austauschen.

Anzeige

Den Angaben zufolge soll es Angreifern über eine External Entity Injection (XXE) und eine Padding Oracle Attacke unter bestimmten Voraussetzungen möglich gewesen sein, sensible Server-Informationen auszuspähen, sowie gegebenenfalls signierte und verschlüsselte Nachrichten zu manipulieren oder zu entschlüsseln. Sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch die für die Software zuständige Koordinierungsstelle für IT-Standards (KoSIT) von Bund und Ländern haben die Schwachstellen bestätigt.

"Mehrere Schwachstellen in der OSCI-Transport-Bibliothek ermöglichen einem entfernten, einfach authentisierten Angreifer das Ausspähen sensitiver Informationen über das System eines Kommunikationspartners, als Man-in-the-Middle auch das Ausspähen sensitiver Informationen aus verschlüsselter Kommunikation, die Manipulation von signierten Transportdaten ohne Einfluss auf die Gültigkeit der Signatur und möglicherweise einen Denial-of-Service-Angriff", schreibt das BSI in einem Advisory (CB-K17/1100).

Alles nicht so schlimm?

Der externe Software-Dienstleister Governikus KG, der OSCI-Transport im Auftrag der KoSIT programmiert und betreut, widerspricht dagegen Meldungen, es habe ein sicherheitsrelevantes Problem mit der Bibliothek gegeben. "Das Advisory [von SEC Consult] stimmt so nicht", sagte eine Pressesprecherin von Governikus im Gespräch mit Golem.de. "Es gibt kein Problem in der deutschen E-Government-Infrastruktur." Die von den Entdeckern getestete Situation sei "kein Szenario, das in der Praxis so angewendet wird". Die beschriebenen Angriffe seien vollkommen theoretischer Natur und die von Governikus bereitgestellten Patches lediglich aus Vorsorge erstellt worden.

Man sei gleich nach Bekanntwerden der Ergebnisse Anfang 2017 mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der Koordinierungsstelle für IT-Standards (KoSIT) und den betroffenen Behörden in einen offenen Austausch getreten. Alle Teilnehmer seien "sehr entspannt" gewesen und hätten das Problem als gering eingeschätzt. Laut SEC Consult hat es zwischen dem 16. Januar und dem 30. Juni in der Tat einen mehrfachen Austausch zwischen den Entdeckern der Schwachstelle, dem BSI und anderen Behörden gegeben. Dabei sei die Notwendigkeit, die Schwachstellen zu schließen, zu keinem Zeitpunkt in Frage gestellt worden.

Ungepatchte Version noch immer in Benutzung

Seit der Entdeckung der Schwachstellen sind fast sechs Monate vergangen und die fehlerbereinigte Version 1.7.1 der Bibliothek steht bereits seit März zur Verfügung. Obwohl die zuständige KoSIT explizit empfiehlt, die gepatchte Version einzuspielen, ist die alte Version 1.6.1 offenbar noch immer im Gebrauch. Laut Hersteller Governikus ist OSCI-Transport in Deutschland in 20 Behörden im Einsatz und möglicherweise hätte bisher lediglich die Hälfte den Patch eingespielt. Belastbare Zahlen gebe es aber wegen der dezentralen Verwaltungsstruktur nicht, sagte die Pressesprecherin.

Die Softwarebibliothek wird unter anderem im Bundesinnenministerium, den Meldeämtern und den Justizbehörden von Bund, Ländern und Kommunen verwendet. Die niedrige Patchrate könnte ein Hinweis darauf sein, dass die Schwachstelle nicht von allen Beteiligten ernst genommen wird. Oder auch dafür, dass eine manuelle und dezentrale Update-Verwaltung nur langsam funktioniert.

Der Hersteller Governikus denkt aller offiziellen Beschwichtigungen zum Trotz offenbar dennoch über Konsequenzen nach: Man überlege derzeit, externe Code-Audits für OSCI-Transport einzuführen, um solche Vorfälle in Zukunft zu verhindern.

Nachtrag vom 4. Juli 2017, 17:09 Uhr

Governikus hat inzwischen eine Presseerklärung veröffentlicht. Darin unterstreicht das Unternehmen seine Position, derzufolge die von SEC Consult vorgenommenen Tests "nicht in einer gemäß Einsatzempfehlungen aufgebauten Infrastruktur durchgeführt wurden." Das getestete Szenario entspreche keinem dem Unternehmen bekannten Einsatzszenario. "Es besteht unserer Meinung nach keine Veranlassung, aus den identifizierten und zwischenzeitlich behobenen möglichen Schwachstellen auf eine Gefährdung der deutschen E-Government-Infrastruktur zu schließen", so Governikus.


eye home zur Startseite
chefin 05. Jul 2017

Weils keine Rolle spielt wie alt etwas ist solange es funktioniert. Auch die Gefahr, das...



Anzeige

Stellenmarkt
  1. Zielpuls GmbH, München
  2. Robert Bosch GmbH, Stuttgart
  3. Technische Universität Hamburg, Hamburg
  4. BG-Phoenics GmbH, München


Anzeige
Top-Angebote
  1. 62,90€ statt 69,90€
  2. (heute u. a. Fire-Tablets günstiger, DC-Filme und Serien reduziert, Sigma-Objektive reduziert)
  3. (u. a. For Honor Deluxe Edition 29,99€, Farcry Primal 19,99€, Far Cry 4 12,99€, The Crew 12...

Folgen Sie uns
       


  1. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  2. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei

  3. Übernahme

    Vivendi lässt Ubisoft ein halbes Jahr in Ruhe

  4. Boston Dynamics

    Humanoider Roboter Atlas macht Salto rückwärts

  5. Projekthoster

    Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

  6. Sicherheitslücke bei Amazon Key

    Amazons Heimlieferanten können Cloud Cam abschalten

  7. Luftfahrt

    China plant Super-Windkanal für Hyperschallflugzeuge

  8. Quad9

    IBM startet sicheren und datenschutzfreundlichen DNS-Dienst

  9. Intel

    Ice-Lake-Xeon ersetzt Xeon Phi Knights Hill

  10. Star Wars Jedi Challenges im Test

    Lichtschwertwirbeln im Wohnzimmer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. Re: Vorkasse bei Tesla

    SP1D3RM4N | 22:40

  2. Re: Mach 5 <--> 43.000 km/h (Mach 35)

    Eheran | 22:38

  3. Re: Witzig. Wieder ein E-Auto bericht von Leuten...

    ChMu | 22:36

  4. Re: Ohne Infrastruktur sinnlos

    ChMu | 22:29

  5. Re: Bitte exakt schreiben!

    bombinho | 22:23


  1. 19:05

  2. 17:08

  3. 16:30

  4. 16:17

  5. 15:49

  6. 15:20

  7. 15:00

  8. 14:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel