Zeugnisse in der Blockchain: Kaputter Blödsinn mit Ansage

Es kommt, wie es kommen musste: Die Zeugnis-Blockchain der Bundesdruckerei ist offline. Das war vorhersehbar.

Ein IMHO von veröffentlicht am
Mit Zeugnissen kann man auch Spaß haben. Die Bundesdruckerei hat sich das aber sicher anders vorgestellt.
Mit Zeugnissen kann man auch Spaß haben. Die Bundesdruckerei hat sich das aber sicher anders vorgestellt. (Bild: Pixabay)

Das Internet ist zum Austausch für süße Tiere geschaffen worden, deshalb fand sich am Morgen auf einer Webseite der Bundesdruckerei noch ein Erdferkel - in Ascii-Art und statt der Webseite für das Projekt, Zeugnisse in einer Blockchain zu speichern. In dem Dienst und der Webseite waren zuvor zahlreiche Lücken gefunden worden. Inzwischen zeigt die Seite nur noch eine kurze Text-Meldung für den HTTP-Fehler 403. Dass es überhaupt so weit gekommen ist, zeigt die absolute technische Unfähigkeit eines Staatsunternehmens, das sich damit jegliches Restvertrauen verspielt hat.

Stellenmarkt
  1. (Senior) Software Engineer IoT (m/w/d)
    AUSY Technologies Germany AG, München, Nürnberg, Hamburg, Düsseldorf
  2. IT Projektleiter (m/w/d) interne Digitalisierung
    Dürr IT Service GmbH, Bietigheim-Bissingen
Detailsuche

Schon bei der Ankündigung der Pläne, Zeugnisse in einer Blockchain speichern zu wollen, waren wir alles andere als überzeugt von dem Projekt und verzweifelt darüber, dass sich in Sachen Digitalisierung nicht um echte Probleme gekümmert wird. Mit dem nun sehr schnellen Ende des Projekts sind aber auch unsere schlimmsten Befürchtungen zu dem Projekt eigentlich noch übertroffen worden.

  • Die Webseite zu dem Dienst der Bundesdruckerei zeigte zwischenzeitlich ein Erdferkel. (Bild: Screenshot Golem.de)
Die Webseite zu dem Dienst der Bundesdruckerei zeigte zwischenzeitlich ein Erdferkel. (Bild: Screenshot Golem.de)

Am Dienstagabend haben sich die Entwicklerin Lilith Wittmann und eine Person mit dem Pseudonym Flüpke die technische Umsetzung der Zeugnis-Blockchain sowie dessen Web-Frontend zur Überprüfung der Zeugnisse näher angeschaut. Und die Ergebnisse sind nach nur wenigen Stunden erwartbar katastrophal, wie bei den anderen Digitalisierungsprojekten der öffentlichen Verwaltung, die diese beiden und andere bereits zerlegt haben.

Triviale Lücken und große Angriffsfläche

Zunächst fand Flüpke mit einer XSS-Lücke einen absoluten Anfängerfehler, der allein schon so haarsträubend trivial ist, dass er in einem Projekt der Bundesdruckerei überhaupt nicht vorkommen sollte. Darüber hinaus war der Zugriff auf die API des Dienstes völlig ungeschützt und es ließen sich darüber einfach Zeugnisse ausstellen.

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
Weitere IT-Trainings

Eingabedaten wurden dabei auch nicht überprüft, so dass es ziemlich leicht war, auch einfach kaputte PDFs zu erzeugen. Flüpke schreibt gar, dass über einfachste Manipulationen Fehler in dem Java-Backend des Dienstes erzeugt werden konnten. Eine komplette Übernahme des Dienstes darüber erscheint zumindest nicht unwahrscheinlich. Darüber hinaus ist es wohl auch gelungen, falsche Daten in die angeblich fälschungssichere Blockchain zu schreiben.

Der Dienst mit den Zeugnissen selbst basiert auf PDFs, die weitere XML-Metadaten enthalten. Zur Überprüfung sollten diese bei der Bundesdruckerei hochgeladen werden. Der Dienst nutzte also mindestens einen PDF- und XML-Parser und damit vielfach angegriffene und angreifbare Technik sowie eben zwei der komplexesten Datenformate überhaupt. Das kann einfach nicht gut gehen - auch nicht, indem man einfach hofft, dass schon nichts schiefgehen wird.

Blockchain für Entwickler: Das Handbuch für Software Engineers. Grundlagen, Programmierung, Anwendung. Mit vielen Praxisbeispielen

Kaputte Digitalisierung überrascht nicht mehr

Auch unabhängig von der Idee, eine Blockchain zu nutzen, ist die technische Umsetzung also bestenfalls schlecht durchdacht und bietet vor allem extrem viel Angriffsfläche. Das wirkliche Bittere an dieser Erkenntnis ist aber eben, dass der dabei an den Tag gelegte Dilettantismus nicht mehr überrascht. So waren ja selbst die Testwebseiten für den Dienst frei im Netz.

Ein Projekt nach dem anderen, das staatliche Stellen aufsetzen, wird von Aktivisten, Experten wie aus dem Chaos Computer Club, der Presse und einer weiten Zivilgesellschaft schon Monate im Voraus fachlich kritisiert, es werden einfachere Alternative aufgezeigt, oder schlicht erklärt, warum es sich im konkreten Fall um schlechte Ideen handelt. Statt Dank verteilt der Staat hier aber weiter sogar oft Drohungen oder gar Klagen.

All das interessiert viele Verantwortliche in Behörden aber offensichtlich überhaupt nicht. Sie werfen weiter irgendwelchen Glücksrittern für vermeintliche Hype-Technologien wie Blockchain Steuergelder hinterher und am Ende scheitert das Projekt, wie vorhergesagt. Das war schon beim digitalen Führerschein so. Diese Ignoranz jeglicher Expertise für digitale Projekte des Staates muss endlich aufhören!

Nachtrag vom 10. Februar 2022, 12:33 Uhr

Bei dem kurzzeitig abgebildeten Tier handelt es sich nicht wie zunächst berichtet um einen Ameisenbär. Die ASCII-Art zeigt ein Erdferkel. Die Tiere sehen sich zwar ähnlich, sind aber nicht näher verwandt.

IMHO ist der Kommentar von Golem.de [IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)]

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


treysis 16. Feb 2022

Also bei LW steht nix davon, dass sie Entwicklerin wäre. Und die Lauten waren ja eher...

treysis 16. Feb 2022

Es müsste halt eine öffentliche Blockchain sein. Und gleichzeitig müsste es genug...

friespeace 15. Feb 2022

Das hat mit den Ausschreibungsvorschriften eher wenig zu tun. Die gelten übrigens schon...

ImBackAlive 15. Feb 2022

Da die Digitalisierung ja aus irgendeinem Grund im Verkehrsministerium aufgehangen ist...



Aktuell auf der Startseite von Golem.de
Autoindustrie
Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
Von Wolfgang Gomoll

Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
Artikel
  1. Windenergie: Siemens Energy plant Übernahme von Gamesa
    Windenergie
    Siemens Energy plant Übernahme von Gamesa

    Der Konzern könnte die angeschlagene Windkraft-Tochter ganz übernehmen. Die Aktienkurse stiegen nach Bestätigung der Gerüchte an.

  2. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

  3. Ukrainekrieg: Warum das Internet in der Ukraine noch läuft
    Ukrainekrieg
    Warum das Internet in der Ukraine noch läuft

    Kaum Monopolisten, keine zentralen Internet-Exchanges, schnelle Reparaturen und Hardwarespenden: Das Netz der Ukraine ist sehr widerstandsfähig.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /