BundID und digitale Identitäten: Risiken zentraler Systeme

Die BundID¹ wurde als zentrales Anmeldesystem für digitale Verwaltungsleistungen geschaffen und dient inzwischen als zentrale Identitätsplattform für zahlreiche Behörden, Bundesländer und Kommunen. Dadurch ist jedoch ein sogenannter Single Point of Failure entstanden: Fällt das System aus oder wird eine Schwachstelle ausgenutzt, können zahlreiche Verwaltungsangebote gleichzeitig betroffen sein.

Im unten verlinkten Beitrag² beschreibt die Autorin, wie sie bei Recherchen eine Sicherheitslücke in der kommunalen Software OpenR@thaus entdeckte. Durch eine fehlerhafte Implementierung des SAML-Authentifizierungsverfahrens konnten Nutzer nach dem Login auf beliebige Webseiten umgeleitet werden. Dadurch ließ sich ein scheinbar offizieller Verwaltungsprozess nachbilden, der für Phishing, Datendiebstahl oder Betrug missbraucht werden könnte.

Da die betroffene Software in zahlreichen Kommunen eingesetzt wurde, führte die Veröffentlichung der Schwachstelle zur vorübergehenden Abschaltung vieler Verwaltungsportale. Die Autorin kritisiert dabei nicht nur die konkrete Umsetzung, sondern vor allem die Architektur des Gesamtsystems. Komplexe Authentifizierungsverfahren würden in zahlreichen Portalen implementiert und erhöhten dadurch das Risiko von Fehlern erheblich.

Zudem fehle es an transparenter Nutzerführung. Bürger könnten oft nicht eindeutig erkennen, welche Stelle auf welche Daten zugreift. Die Autorin sieht deshalb zentrale Identitätssysteme wie die BundID kritisch und plädiert für einfachere und sicherere Ansätze. Für besonders sensible Vorgänge sollte ihrer Ansicht nach direkt der elektronische Personalausweis verwendet werden. Auch die geplante Ausweitung der BundID auf weitere digitale Nachweise bewertet sie kritisch und fordert politische Korrekturen bei der Digitalisierung der Verwaltung.

 

Resümee

Aus Sicht des Datenschutzes sind zentrale digitale Identitätssysteme nicht nur unter Sicherheitsaspekten kritisch zu betrachten. Werden zahlreiche Verwaltungsleistungen, Nachweise und personenbezogene Daten über eine einzige digitale Identität verknüpft, entstehen umfangreiche Möglichkeiten zur Datensammlung und Nachverfolgung von Nutzeraktivitäten. Deshalb sind transparente Kontrollmechanismen, eine konsequente Datenminimierung und klare rechtliche Grenzen entscheidend, um die informationelle Selbstbestimmung und die Bürgerrechte langfristig zu schützen. Gerade bei der Einführung und Bewertung solcher Systeme sind Datenschutz, IT-Sicherheit und Compliance von zentraler Bedeutung.

 

Unsere Angebote für Sie:

  • Beratung und Umsetzung von  DSGVO und BDSG
  • Beratung und Umsetzung ISO 27001, TISAX und NIS-2
  • Stellung des externen Datenschutzbeauftragten (DSB)
  • Durchführung interner Audits zur Vorbereitung auf Zertifizierungsaudits
  • Schulungen für Mitarbeiter zur Audit- und Sicherheitskompetenz

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie zu
Audits, Datenschutz und IT-Sicherheit.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

Quellen und Links:

¹ Webseite zur BundID
https://id.bund.de/de

² Artikel der Autorin
https://lilithwittmann.medium.com/bundid-eine-digitale-identit%C3%A4t-schafft-falsches-vertrauen-4a1d0a3faa03

EDV-Sachverständige bei Phishing – IT-Forensik und Beweissicherung
https://www.tec4net.com/web/gutachten/

Datenschutzberatung mit tec4net: DSGVO, BDSG und LDSG erfolgreich umsetzen
https://www.tec4net.com/web/datenschutz/

Auditdurchführung nach ISO 19011
https://www.tec4net.com/web/iso-19011/

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com