Zeugnisse in der Blockchain: Kaputter Blödsinn mit Ansage

Es kommt, wie es kommen musste: Die Zeugnis-Blockchain der Bundesdruckerei ist offline. Das war vorhersehbar.

Ein IMHO von veröffentlicht am
Mit Zeugnissen kann man auch Spaß haben. Die Bundesdruckerei hat sich das aber sicher anders vorgestellt.
Mit Zeugnissen kann man auch Spaß haben. Die Bundesdruckerei hat sich das aber sicher anders vorgestellt. (Bild: Pixabay)

Das Internet ist zum Austausch für süße Tiere geschaffen worden, deshalb fand sich am Morgen auf einer Webseite der Bundesdruckerei noch ein Erdferkel - in Ascii-Art und statt der Webseite für das Projekt, Zeugnisse in einer Blockchain zu speichern. In dem Dienst und der Webseite waren zuvor zahlreiche Lücken gefunden worden. Inzwischen zeigt die Seite nur noch eine kurze Text-Meldung für den HTTP-Fehler 403. Dass es überhaupt so weit gekommen ist, zeigt die absolute technische Unfähigkeit eines Staatsunternehmens, das sich damit jegliches Restvertrauen verspielt hat.

Stellenmarkt
  1. Systemadministrator (m/w/d) für Container Services
    Bayerische Versorgungskammer, München
  2. Software Engineer (gn*) für SFA/MES Automation
    Siltronic AG, Burghausen
Detailsuche

Schon bei der Ankündigung der Pläne, Zeugnisse in einer Blockchain speichern zu wollen, waren wir alles andere als überzeugt von dem Projekt und verzweifelt darüber, dass sich in Sachen Digitalisierung nicht um echte Probleme gekümmert wird. Mit dem nun sehr schnellen Ende des Projekts sind aber auch unsere schlimmsten Befürchtungen zu dem Projekt eigentlich noch übertroffen worden.

  • Die Webseite zu dem Dienst der Bundesdruckerei zeigte zwischenzeitlich ein Erdferkel. (Bild: Screenshot Golem.de)
Die Webseite zu dem Dienst der Bundesdruckerei zeigte zwischenzeitlich ein Erdferkel. (Bild: Screenshot Golem.de)

Am Dienstagabend haben sich die Entwicklerin Lilith Wittmann und eine Person mit dem Pseudonym Flüpke die technische Umsetzung der Zeugnis-Blockchain sowie dessen Web-Frontend zur Überprüfung der Zeugnisse näher angeschaut. Und die Ergebnisse sind nach nur wenigen Stunden erwartbar katastrophal, wie bei den anderen Digitalisierungsprojekten der öffentlichen Verwaltung, die diese beiden und andere bereits zerlegt haben.

Triviale Lücken und große Angriffsfläche

Zunächst fand Flüpke mit einer XSS-Lücke einen absoluten Anfängerfehler, der allein schon so haarsträubend trivial ist, dass er in einem Projekt der Bundesdruckerei überhaupt nicht vorkommen sollte. Darüber hinaus war der Zugriff auf die API des Dienstes völlig ungeschützt und es ließen sich darüber einfach Zeugnisse ausstellen.

Golem Karrierewelt
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    26.07.2022, Virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    05.-07.09.2022, Virtuell
Weitere IT-Trainings

Eingabedaten wurden dabei auch nicht überprüft, so dass es ziemlich leicht war, auch einfach kaputte PDFs zu erzeugen. Flüpke schreibt gar, dass über einfachste Manipulationen Fehler in dem Java-Backend des Dienstes erzeugt werden konnten. Eine komplette Übernahme des Dienstes darüber erscheint zumindest nicht unwahrscheinlich. Darüber hinaus ist es wohl auch gelungen, falsche Daten in die angeblich fälschungssichere Blockchain zu schreiben.

Der Dienst mit den Zeugnissen selbst basiert auf PDFs, die weitere XML-Metadaten enthalten. Zur Überprüfung sollten diese bei der Bundesdruckerei hochgeladen werden. Der Dienst nutzte also mindestens einen PDF- und XML-Parser und damit vielfach angegriffene und angreifbare Technik sowie eben zwei der komplexesten Datenformate überhaupt. Das kann einfach nicht gut gehen - auch nicht, indem man einfach hofft, dass schon nichts schiefgehen wird.

Blockchain für Entwickler: Das Handbuch für Software Engineers. Grundlagen, Programmierung, Anwendung. Mit vielen Praxisbeispielen

Kaputte Digitalisierung überrascht nicht mehr

Auch unabhängig von der Idee, eine Blockchain zu nutzen, ist die technische Umsetzung also bestenfalls schlecht durchdacht und bietet vor allem extrem viel Angriffsfläche. Das wirkliche Bittere an dieser Erkenntnis ist aber eben, dass der dabei an den Tag gelegte Dilettantismus nicht mehr überrascht. So waren ja selbst die Testwebseiten für den Dienst frei im Netz.

Ein Projekt nach dem anderen, das staatliche Stellen aufsetzen, wird von Aktivisten, Experten wie aus dem Chaos Computer Club, der Presse und einer weiten Zivilgesellschaft schon Monate im Voraus fachlich kritisiert, es werden einfachere Alternative aufgezeigt, oder schlicht erklärt, warum es sich im konkreten Fall um schlechte Ideen handelt. Statt Dank verteilt der Staat hier aber weiter sogar oft Drohungen oder gar Klagen.

All das interessiert viele Verantwortliche in Behörden aber offensichtlich überhaupt nicht. Sie werfen weiter irgendwelchen Glücksrittern für vermeintliche Hype-Technologien wie Blockchain Steuergelder hinterher und am Ende scheitert das Projekt, wie vorhergesagt. Das war schon beim digitalen Führerschein so. Diese Ignoranz jeglicher Expertise für digitale Projekte des Staates muss endlich aufhören!

Nachtrag vom 10. Februar 2022, 12:33 Uhr

Bei dem kurzzeitig abgebildeten Tier handelt es sich nicht wie zunächst berichtet um einen Ameisenbär. Die ASCII-Art zeigt ein Erdferkel. Die Tiere sehen sich zwar ähnlich, sind aber nicht näher verwandt.

IMHO ist der Kommentar von Golem.de [IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)]

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


treysis 16. Feb 2022

Also bei LW steht nix davon, dass sie Entwicklerin wäre. Und die Lauten waren ja eher...

treysis 16. Feb 2022

Es müsste halt eine öffentliche Blockchain sein. Und gleichzeitig müsste es genug...

friespeace 15. Feb 2022

Das hat mit den Ausschreibungsvorschriften eher wenig zu tun. Die gelten übrigens schon...

ImBackAlive 15. Feb 2022

Da die Digitalisierung ja aus irgendeinem Grund im Verkehrsministerium aufgehangen ist...



Aktuell auf der Startseite von Golem.de
Layouten mit LaTex
Setzt du noch oder gestaltest du schon?

LaTex bietet viele Möglichkeiten, Briefe durch Schriftarten, Buchstabenbreiten und spezielle Kopf- und Fußzeilen besonders aussehen zu lassen.
Eine Anleitung von Uwe Ziegenhagen

Layouten mit LaTex: Setzt du noch oder gestaltest du schon?
Artikel
  1. Saudi Aramco legt zu: Apple nicht mehr wertvollstes Unternehmen
    Saudi Aramco legt zu
    Apple nicht mehr wertvollstes Unternehmen

    Der iPhone-Konzern verliert seine Spitzenposition bei der Marktkapitalisierung, Europa fehlt in den Top 10 und SAP fällt aus den Top 100.

  2. Fußball: Fifa verwendet KI für Abseitsbestimmung bei WM
    Fußball
    Fifa verwendet KI für Abseitsbestimmung bei WM

    Bei der Fußball-WM 2022 in Katar werden Abseitsstellungen mit einem Hightech-Ball und KI überprüft - das soll schneller gehen und verständlicher sein.

  3. Photovoltaik: Tesla zeigt Solar-Anhänger mit Starlink-Antenne
    Photovoltaik
    Tesla zeigt Solar-Anhänger mit Starlink-Antenne

    Tesla hat auf der Ideenexpo in Hannover einen Anhänger mit ausfahrbaren Photovoltaik-Modulen nebst Starlink-Antenne vorgestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • EVGA RTX 3090 24G günstig wie nie: 1.649€ • MindStar (MSI RTX 3060 429€, MSI Optix 31,5“ WQHD 165Hz 369€) • Samsung QLED 85" günstig wie nie: 1.732,72€ • Alternate (Tower-Gehäuse & CPU-Kühler v. Raijintek) • Der beste 2.000€-Gaming-PC • LG TV 65" 120Hz -56% [Werbung]
    •  /