Sie heißen john.doe@example.com oder max.mustermann@mail.de: Beispiel-Accounts, die für Testzwecke oder zur Illustration in Handbüchern genutzt werden. Auch das Bundesamt für Migration und Flüchtlinge, das BAMF, hatte sich für ein großes IT-System solche Accounts ausgedacht.

Doch am Ende sorgte max.mustermann@testtraeger.de dazu, dass sich ein Sicherheitsforscher Zugriff auf einen Administrator-Account im Test-System verschaffen konnte – ganz ohne spezielles IT-Sicherheitswissen zu nutzen. Der Vorfall zeigt, wie leicht Nachlässigkeit bei der Account-Verwaltung die Vertraulichkeit eines Systems unterlaufen kann. Und wie ein Sicherheitsproblem entstehen kann, ohne dass eine Sicherheitslücke in einer Software ausgenutzt wird.

Was ist die delegierte Benutzerverwaltung?

Das System, das sich der Sicherheitsforscher ansah, war die Testumgebung der sogenannten delegierten Benutzerverwaltung. Diese Benutzerverwaltung braucht es, weil das BAMF für jede Menge unterschiedlicher IT-Fachverfahren zuständig ist. Manche dieser Anwendungen nutzen ausschließlich Angestellte des BAMF, bei anderen brauchen auch externe Nutzer:innen Zugriff. Beim Fachverfahren BABS – Bundesamt Bereitstellung Sprachmittlung – sind das etwa freiberufliche Dolmetscher:innen. BAMF-Mitarbeitende können dort Sprachmittler:innen buchen, die wiederum können ihre Abrechnungen über das System erledigen. Beim neuen Fachverfahren BerD – Berufssprachkurse Digital – sind es die Anbieter der Sprachkurse für Geflüchtete, die Zugang brauchen. Die sollen ab Anfang März ihre Kurse über das System verwalten.

Aber egal ob BAMF-Sachbearbeiter, Dolmetscherin oder Sprachschulmitarbeiter: Damit die Asylbehörde nicht für all die verschiedenen Nutzer:innen Accounts anlegen und verwalten muss, sondern das auch andere machen können, gibt es die delegierte Benutzerverwaltung. Kurz: DeBeV.

DeBeV ist ein großes System in der deutschen Verwaltungslandschaft: In DeBeV gibt es 50.250 Nutzeraccounts, davon sind 5.518 DeBeV-Administratoren. Das hat ein Sprecher des BAMF auf unsere Anfrage geantwortet. Die DeBeV-Administratoren verwalten jeweils einen kleinen Bereich in einem riesigen System. Insgesamt 12.297 unterschiedliche Organisationseinheiten gibt es in DeBeV. Ein Administratoren-Account kann für eine oder mehrere dieser Einheiten zuständig sein. Eine Organisationseinheit, das kann beispielsweise eine Sprachschule, ein Integrationskurs-Träger, eine Hochschule oder eine Kommune sein.

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

„IT-Fachverfahren des BAMF, die an DeBeV angeschlossen sind“ direkt öffnen

Für die Organisation, die sie verwalten, können DeBeV-Administratoren dann Benutzerkonten anlegen, deaktivieren oder bearbeiten. In ihrem Teilbereich haben sie also die Zügel in der Hand. „Die Sicherstellung der Aktualität der Accounts liegt in der Verantwortung der Administratoren der jeweiligen externen Organisationen“, schreibt uns das BAMF. „Selbiges gilt bezüglich der Löschung.“ Wenn ein Sprachschul-Mitarbeiter geht, muss also der entsprechende Administrator dafür sorgen, dass die Person die Zugriffsrechte für das entsprechende Fachverfahren verliert.

Ein wichtiges Testsystem

Und damit die Tausenden Administratoren kein Chaos stiften und die riesige Account-Verwaltung durcheinanderbringen, müssen sie zeigen, dass sie das System bedienen können. Auch bei anderen Account-Nutzer:innen kann es sinnvoll sein, dass sie einige Eingaben mit Testdaten machen, bevor sie am Produktivsystem zu arbeiten beginnen. Dafür gibt es für einige Anwendungen sogar Testfallhefte und vorbereitete Testdaten vom BAMF, an denen die Nutzer:innen zeigen können, dass sie wissen, was sie tun.

Doch dieses Testsystem hat nicht nur 9.694 Nutzer:innen, von denen 3.780 die Rolle eines DeBeV-Administrators haben. Das Testsystem hatte auch fünf Accounts, deren E-Mail-Adressen mit der Domain testtraeger.de endeten. Einer von ihnen, max.mustermann, hatte Administratorenrechte. Und der Account zu max.mustermann@testtraeger.de war in den öffentlich zugänglichen Nutzungshinweisen zum DeBeV-System mehrmals auf Screenshots zu sehen.

5,97 Euro für einen Administrator-Account

Der IT-Sicherheitsforscher Tim Philipp Schäfers sah das und fragte sich: Ist eigentlich die Domain testtraeger.de noch frei? Einige Klicks und 5,97 Euro später war sie auf ihn registriert und hatte ein Postfach, das alle Mails aufnahm, die an beliebige testtraeger.de-Adressen adressiert sind.

Als nächstes rief Schäfers die in den Nutzungshinweisen für DeBeV genannte URL auf und versuchte, das Passwort für den vermeintlichen Max Mustermann zurückzusetzen. Ein Link zum Ändern des Passwort folgte prompt und landete im neuen Postfach. „Ein Klick auf den Link genügte und ein neues Passwort konnte ohne weitere Authentifizierung oder Zwei-Faktor-Verifizierung gesetzt werden“, schreibt Schäfers in einem Bericht über das Sicherheitsproblem.

„Ein historisch gewachsenes Verfahren“

Auch das BAMF bestätigt, dass bei DeBeV keine zusätzlichen Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung oder Smart Cards existieren: „Es gibt keine der genannten Mechanismen“, schreibt ein Sprecher des Bundesamts. „Dies ist technisch bedingt. Bei der DeBeV handelt es sich um ein historisch gewachsenes Verfahren.“ Derzeit, so der Sprecher weiter, prüfe das BAMF eine Einführung solcher Maßnahmen.

Auch gebe es keine Unterschiede in der IT-Sicherheit zwischen Test- und Produktivsystem. „Ziel einer Test- oder Abnahmeumgebung ist es gerade, möglichst produktionsnah zu testen“, so das BAMF.

Beim Klick auf Benutzerverwaltung sah Schäfers dann eine dreistellige Anzahl von Accounts: E-Mail-Adresse, Vor- und Nachname sowie Telefonnummer der entsprechenden Person. Die Accounts waren auf BAMF-Adressen, auf Accounts privater Mail-Anbieter oder Mitarbeitende von Kommunen registriert. Was Schäfers sah, waren alle Nutzenden in der Organisationseinheit, für die Max Mustermann DeBeV-Administrator war.

Was damit alles möglich gewesen wäre, ob Max Mustermann noch weitere Organisationseinheiten verwaltet und ob er das Passwort für „admin-1@bamftest.de“ auch hätte zurücksetzen können, wollte Schäfers aus ethischen Gründen nicht ausprobieren. Schäfers setzt sich für den Schutz persönlicher Daten ein und kritisiert die übermäßige Erfassung sensibler Informationen.

In der Vergangenheit hatte sich der IT-Sicherheitsexperte etwa mit Datenschutz bei Bezahlkarten oder der Sicherheit bei Bankkarten-Sperrungen beschäftigt. Ihm geht es darum, schreibt Schäfers an netzpolitik.org, „Sicherheitslücken verantwortungsbewusst offenzulegen, damit sie behoben werden können, bevor sie Schaden anrichten.“

Deshalb meldete er Ende Januar seine Erkenntnisse an das BAMF.

Carla Columna und Maria Muster waren dabei

Innerhalb weniger Stunden deaktivierte das BAMF den max.mustermann-Account, zusammen mit anna.mustermann, bernd_beispiel, carla-columna und maria.muster. Diese weiteren Accounts, so das BAMF auf Anfrage, hatten jedoch keine Administratorenrolle im System. Auch habe es im Produktivsystem keine testtraeger.de-Accounts gegeben, so die Behörde.

Wenig später unterrichtete das BAMF auch die Bundesdatenschutzbehörde über den Vorfall, was diese uns bestätigte. Die Inhaber:innen der Accounts, die Schäfer einsehen konnte, unterrichtete das BAMF indes nicht und beruft sich auf Artikel 34 der Datenschutzgrundverordnung. Der schreibt eine Unterrichtung dann vor, wenn aus einer Datenschutzverletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ folgt.

Auch wenn es lediglich um das Testsystem ging, das lediglich etwas über die registrierten Nutzer:innen verrät und sonst – zumindest grundsätzlich – nur fiktive Testdaten enthalten soll, zeigt der Vorfall, wie schnell unbeachtete Accounts zu einem Sicherheitsproblem werden können. Das gilt gerade dann, wenn eine Vielzahl von Personen besondere Rechte in einem System haben und kaum zu überblicken ist, ob sich alle mit der selben Sorgfalt um Aktualität bemühen.

Account- und Adress-Hygiene

Der Sicherheitsforscher Schäfers empfiehlt daher, eine „gründliche Benutzerhygiene“ zu etablieren. So ließen sich veraltete und nicht mehr benötigte Accounts besser aufspüren. Werden die nach einer gewissen Zeit vielleicht sogar automatisiert deaktiviert und schließlich gelöscht, verringere das die Angriffsoberfläche. Außerdem sollte „jede ‚öffentliche Domain‘, die in der internen Infrastruktur verwendet und konfiguriert wird (einschließlich Testsysteme), registriert und überwacht werden“. Also: Wer einen Account für eine fiktive testtraeger.de-Mailadresse anlegt, sollte diese Domain auch kontrollieren.

Das gilt auch für andere typische Test- und Beispieladressen wie „test@beispielmail.de“ oder „test@testmail.com“. Wenn einem die zugehörigen Domains nicht gehören oder sich die entsprechenden Accounts nicht anlegen lassen, sollten sie nicht in Systemen oder als Kontakt-Adressen auf Webseiten eingetragen werden. Und doch finden sich auf Impressumsseiten, in Code-Verzeichnissen und anderswo in Netz leicht viele solcher Beispiele.

Um risikolos Test-Adressen und Domains nutzen zu können, ist unter anderem die Domain example.com durch die Organisation IANA reserviert, die für die Namens- und Adresszuordnung im Internet zuständig ist. Niemand soll example.com in die Hände bekommen und ausnutzen können, da sie als Beispiel so verbreitet ist. Auch die Endungen .example oder .test lassen sich gefahrlos nutzen, da sie niemals zur Verwendung im Internet freigegeben werden sollen. Es kann sie also niemand registrieren.

„Schlechter geschützt als private Social-Media-Accounts“

Neben dem Faux-Pas bei der Account-Hygiene wundert sich Schäfers beim BAMF aber vor allem über die mangelnde Zwei-Faktor-Authentifizierung der Behörde bei DeBeV:

Die öffentlich zugänglichen IT-Fachverfahren des BAMF und damit die sensiblen, personenbezogenen Daten vieler Geflüchteter sind deutlich schlechter geschützt als die meisten Social-Media-Konten oder E-Mail-Adressen von sonstigen Privatpersonen.

Auf der anderen Seite nimmt Schäfers aber auch positiv zur Kenntnis, wie schnell die Behörde auf seine Meldung reagiert hat. „Es bleibt zu hoffen, dass ein solches Tempo beibehalten wird und nun weitere Maßnahmen ergriffen werden, um ähnliche Vorfälle zu verhindern“, resümiert der Sicherheitsexperte.