Zeugnisse in der Blockchain: Kaputter Blödsinn mit Ansage

Das Internet ist zum Austausch für süße Tiere geschaffen worden, deshalb fand sich am Morgen auf einer Webseite der Bundesdruckerei noch ein Erdferkel - in Ascii-Art und statt der Webseite für das Projekt, Zeugnisse in einer Blockchain zu speichern. In dem Dienst und der Webseite waren zuvor zahlreiche Lücken gefunden worden. Inzwischen zeigt die Seite nur noch eine kurze Text-Meldung für den HTTP-Fehler 403. Dass es überhaupt so weit gekommen ist, zeigt die absolute technische Unfähigkeit eines Staatsunternehmens, das sich damit jegliches Restvertrauen verspielt hat.

Schon bei der Ankündigung der Pläne, Zeugnisse in einer Blockchain speichern zu wollen, waren wir alles andere als überzeugt von dem Projekt und verzweifelt darüber, dass sich in Sachen Digitalisierung nicht um echte Probleme gekümmert wird. Mit dem nun sehr schnellen Ende des Projekts sind aber auch unsere schlimmsten Befürchtungen zu dem Projekt eigentlich noch übertroffen worden.

Am Dienstagabend haben sich die Entwicklerin Lilith Wittmann und eine Person mit dem Pseudonym Flüpke die technische Umsetzung der Zeugnis-Blockchain sowie dessen Web-Frontend zur Überprüfung der Zeugnisse näher angeschaut. Und die Ergebnisse sind nach nur wenigen Stunden erwartbar katastrophal, wie bei den anderen Digitalisierungsprojekten der öffentlichen Verwaltung, die diese beiden und andere bereits zerlegt haben.

Triviale Lücken und große Angriffsfläche

Zunächst fand Flüpke mit einer XSS-Lücke einen absoluten Anfängerfehler, der allein schon so haarsträubend trivial ist, dass er in einem Projekt der Bundesdruckerei überhaupt nicht vorkommen sollte. Darüber hinaus war der Zugriff auf die API des Dienstes völlig ungeschützt und es ließen sich darüber einfach Zeugnisse ausstellen.

Eingabedaten wurden dabei auch nicht überprüft, so dass es ziemlich leicht war, auch einfach kaputte PDFs zu erzeugen. Flüpke schreibt gar, dass über einfachste Manipulationen Fehler in dem Java-Backend des Dienstes erzeugt werden konnten. Eine komplette Übernahme des Dienstes darüber erscheint zumindest nicht unwahrscheinlich. Darüber hinaus ist es wohl auch gelungen, falsche Daten in die angeblich fälschungssichere Blockchain zu schreiben.

Der Dienst mit den Zeugnissen selbst basiert auf PDFs, die weitere XML-Metadaten enthalten. Zur Überprüfung sollten diese bei der Bundesdruckerei hochgeladen werden. Der Dienst nutzte also mindestens einen PDF- und XML-Parser und damit vielfach angegriffene und angreifbare Technik sowie eben zwei der komplexesten Datenformate überhaupt. Das kann einfach nicht gut gehen - auch nicht, indem man einfach hofft, dass schon nichts schiefgehen wird.

Blockchain für Entwickler: Das Handbuch für Software Engineers. Grundlagen, Programmierung, Anwendung. Mit vielen Praxisbeispielen

Kaputte Digitalisierung überrascht nicht mehr

Auch unabhängig von der Idee, eine Blockchain zu nutzen, ist die technische Umsetzung also bestenfalls schlecht durchdacht und bietet vor allem extrem viel Angriffsfläche. Das wirkliche Bittere an dieser Erkenntnis ist aber eben, dass der dabei an den Tag gelegte Dilettantismus nicht mehr überrascht. So waren ja selbst die Testwebseiten für den Dienst frei im Netz.

Ein Projekt nach dem anderen, das staatliche Stellen aufsetzen, wird von Aktivisten, Experten wie aus dem Chaos Computer Club, der Presse und einer weiten Zivilgesellschaft schon Monate im Voraus fachlich kritisiert, es werden einfachere Alternative aufgezeigt, oder schlicht erklärt, warum es sich im konkreten Fall um schlechte Ideen handelt. Statt Dank verteilt der Staat hier aber weiter sogar oft Drohungen oder gar Klagen.

All das interessiert viele Verantwortliche in Behörden aber offensichtlich überhaupt nicht. Sie werfen weiter irgendwelchen Glücksrittern für vermeintliche Hype-Technologien wie Blockchain Steuergelder hinterher und am Ende scheitert das Projekt, wie vorhergesagt. Das war schon beim digitalen Führerschein so. Diese Ignoranz jeglicher Expertise für digitale Projekte des Staates muss endlich aufhören!

Nachtrag vom 10. Februar 2022, 12:33 Uhr

Bei dem kurzzeitig abgebildeten Tier handelt es sich nicht wie zunächst berichtet um einen Ameisenbär. Die ASCII-Art zeigt ein Erdferkel. Die Tiere sehen sich zwar ähnlich, sind aber nicht näher verwandt.

IMHO ist der Kommentar von Golem.de [IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)]