Connect with us

Datenschutz & Sicherheit

Arbeitsgruppe empfiehlt Matrix-Protokoll für Behördenkommunikation


Zentrales Bürgerpostfach, BundID, OZG-PLUS-Postfach, MeinJustizpostfach und Elster – um mit Behörden zu kommunizieren, richten sich Bürger*innen, Unternehmen und Organisationen verschiedene Postfächer ein. Denn verschiedene Verwaltungen unterhalten jeweils eigene Kommunikationslösungen.

Die stehen derzeit für sich und sind kaum interoperabel. Denn ob Gerichte, Finanzämter, Gesundheitsämter oder Ausländerbehörden: Alle haben eine eigene IT und IT-Architektur, historisch gewachsen und mit unterschiedlichen technischen und rechtlichen Voraussetzungen.

Das soll sich ändern. Bund und Länder wollen eine „moderne und vertrauenswürdige Kommunikationsinfrastruktur im öffentlichen Sektor, die die bislang isolierten Lösungen schrittweise bündelt und die Interoperabilität stärkt“, so André Göbel, Präsident der Föderalen IT-Kooperation (FITKO).

Die Basiskomponente für die Kommunikation ist Teil der geplanten Deutschland-Architektur (PDF), mit der das Bund-Länder-Gremium IT-Planungsrat neuen Schwung in die Digitalisierung der öffentlichen Verwaltung bringen will. Neben der Basiskomponente Postfächer stehen unter anderem auch Komponenten für Bezahlvorgänge und Authentifizierung an.

Vorteile einer gemeinsamen Infrastruktur

Der Flickenteppich aus verschiedenen Postfach-Lösungen sei sowohl für Bürger*innen und Unternehmen als auch für die Verwaltung selbst unübersichtlich, sagt Dominik Braun gegenüber netzpolitik.org. Er ist Referent für IT-Architekturmanagement bei der FITKO und arbeitet mit Vertreter*innen der Länder Hamburg und Sachsen-Anhalt an der Zielarchitektur für Postfach- und Kommunikationslösungen, kurz ZaPuK.

Das Ziel sei, dass sich die einen besser orientieren können, wo sie welche Post vom Staat bekommen; und die anderen müssten ihre Postfächer nicht getrennt voneinander anbinden und unterschiedliche Schnittstellen, Protokolle und Verschlüsselungsverfahren nutzen.

Das könne finanzielle und personelle Ressourcen einsparen und langfristig auch Vorteile im Bereich IT-Sicherheit bieten. Das sagt Andreas Altmann, Projektmanager beim Ministerium für Infrastruktur und Digitales des Landes Sachsen-Anhalt, und Teil von ZaPuK. Mit einem neuen Beschluss des IT-Planungsrats hat das Team nun das Go für die nächste Phase.

Matrix-Protokoll könnte sich durchsetzen

Die klare Empfehlung der Arbeitsgruppe ist das Matrix-Protokoll. Matrix ist ein Protokoll für die Echtzeitkommunikation, dahinter ein offener Standard für dezentralisierte und interoperable Kommunikation. Damit können Nutzer*innen chatten oder telefonieren, ohne von einem spezifischen Diensteanbieter abhängig zu sein.

Matrix soll den Standard Online Services Computer Interface, kurz OSCI, ablösen, so Altmann gegenüber netzpolitik.org. OSCI gibt es seit dem Jahr 2000. Die „Protokollstandards für den sicheren elektronischen Nachrichtenaustausch über das Internet und andere Netze“ wurden speziell für die öffentliche Verwaltung in Deutschland entwickelt.

Kommunen können entsprechende Standards über das ITZBund beziehen, beispielsweise XMeld für das Ummelden der Wohnungsadresse oder XAusländer für Ausländerbehörden. Laut Bundesmeldedatendigitalisierungs- oder Bundesmeldedatenabruf-Verordnung und Gesetz über das Ausländerzentralregister sind sie sogar dazu verpflichtet, OSCI zu nutzen.

IT-Sicherheit im Vordergrund

Gegenüber Alternativen wie dem international genutzten Matrix-Protokoll wirkt OSCI etwas verstaubt. Derzeit setzt beispielsweise der elektronische Rechtsverkehr für den Transport und die Zwischenspeicherung von Nachrichten auf OSCI auf. Wesentliche Nachteile des Standards: Er sei nicht auf Echtzeitkommunikation ausgelegt und OSCI basiere auf Technologien, die auf dem Markt und in der öffentlichen Verwaltung zunehmend weniger verbreitet sind, so die IT-Architekten von ZaPuK auf OpenCode. Vor allem aber unterstütze die eingesetzte XML-Encryption „keine modernen kryptografischen Anforderungen“.

Zur Ende-zu-Ende-Verschlüsselung empfiehlt die Gruppe die Sicherheitsschicht Messaging Layer Security, kurz MLS. Das sei besonders wichtig, so Dominik Braun gegenüber netzpolitik.org. „Als Bürger will ich nicht, dass jede Behörde nachvollziehen kann, was ich mit einer anderen Behörde kommuniziere.“ Dabei spielten verfassungsrechtliche und Privatsphäreaspekte eine Rolle. „Einzelne Behörden sollen über mich nicht Informationen bei sich bündeln können.“

In Sachen IT-Sicherheit sei laut Braun zudem eine Zero-Trust-Betriebsumgebung geplant. Das entspricht auch der Föderalen Digitalstrategie des IT-Planungsrats (PDF). Danach soll jede technische Instanz „nur die minimalen, absolut notwendigen Rechte bekommen“, um bei einem Angriff die Risiken eines Datenabflusses zu reduzieren.

Eine Lösung für alles wäre schön

Ideal wäre: Bürger*innen, Unternehmen, Organisationen und Behörden nutzen eine Postfach- und Kommunikations-Lösung für alles, so Braun. Daher ist die Empfehlung „die Frontends der bestehenden Lösungen wie MeinJustizpostfach, BundID und OZG-PLUS-Konto in einen Client zusammenzuziehen, der als ein Produkt weiterentwickelt wird“.

Ob es dazu kommt, hänge aber von weiteren Entscheidungen ab, zum Beispiel davon, ob es ein zentrales Verwaltungsportal geben soll. Technisch seien verschiedene Anwendungen denkbar.

Ein paar Designziele stehen jedoch fest: Ende-zu-Ende-Verschlüsselung, Echtzeitverhalten, Mobilfähigkeit und Standards aus offenen und wachsenden Ökosystemen wie Matrix. Außerdem ein Anspruch und rechtliche Vorgabe: Die Kommunikation muss bidirektional verlaufen können – „alles von der Zustellung von Bescheiden bis zu Rückfragen an Behörden über Chat“.

Wichtig sei, dass es im Backend ein koordiniertes einheitliches Produktmanagement gibt, so Braun.

Eine lange Liste von Anforderungen

Das ZaPuK-Team nahm im September seine Arbeit auf. Seither „haben wir alle Postfächer beleuchtet: elektronisches Gerichts- und Verwaltungspostfach, Telematik-Infrastruktur aus dem öffentlichen Gesundheitswesen, zentrales Bürgerkonto, OZG-Plus, De-Mail. Dabei haben wir rund 900 Anforderungen ermittelt und auf 160 konsolidiert“, so Andreas Altmann gegenüber netzpolitik.org. Eine entsprechende Liste ist auf OpenCode öffentlich einsehbar wie auch eine weitere Dokumentation des Vorhabens.

Dort können Interessierte technische Überlegungen des Teams nachvollziehen, bewerten, kommentieren und diskutieren. „Wir sind da für jede Meinung, für jeden konstruktiven Beitrag echt dankbar“, so Altmann.

Teil der Auswertung waren zudem Best-Practice-Beispiele, Dokumente und Interviews mit den Betreibern der bestehenden Postfach-Lösungen. Was sind Gemeinsamkeiten, wo unterscheiden sich die Ansprüche? Organisationskonten müssen andere Anforderungen erfüllen als Privatkonten. „Zeitstempel sind zum Beispiel für den elektronischen Rechtsverkehr wichtig, aber nicht per se in anderen Verwaltungskontexten“, erklärt Braun.

Auch gut 60 Gesetze und Verordnungen bezog das Team für die Zielarchitektur ein, so Altmann, vor allem die Datenschutzgrundverordnung, die Single-Digital-Gateway-Verordnung, eIDAS unter anderem. Die Idee sei, dass die Anforderungen langfristig als MUSS zu lesen sind, erklärt Braun. Für die nächste Phase sei ein juristisches Gutachten zur Frage angedacht, was möglich ist und was verändert werden müsste.

Viele Akteure, viele Gespräche

Dafür hat das Team Zeit bis zur 50. Sitzung des IT-Planungsrats im Sommer 2026. Und auch weitere Fragen soll es bis dahin klären: Wie wird das Vorhaben finanziert? Welche Standardisierungsbedarfe gibt es? Wie wird der Weg für bestehende Lösungen in die gemeinsame Infrastruktur geebnet?

Es gebe riesige IT-Infrastrukturen, so Braun. Da könne man nicht einfach unbedarft an den einzelnen Schrauben drehen. „Unser Ansatz ist maximal konstruktiv. In vielen Domänen funktioniert schon vieles sehr gut.“

Jetzt gelte es, mit den Verantwortlichen der jeweiligen Lösungen zu klären, auszuhandeln, teilweise neu zu erarbeiten, was realistisch möglich sei. Neben vielen anderen sind Gesprächspartner die Betreiber von KONSENS-Verbund (koordinierte neue Softwareentwicklung der Steuerverwaltung), Unternehmenskonto, BundID-Konto, Telematik sowie elektronischem Gerichts- und Verwaltungspostfach.

Braun ist zuversichtlich: „Wir haben mitgedacht, dass die verschiedenen Verwaltungsbereiche ihre eigene Backend-Infrastruktur betreiben können, wenn sie das wollen. Sofern Verwaltungen die Anschlussbedingungen an diese Kommunikations-Infrastruktur erfüllen, kann Behörde X im Land Y sich theoretisch dazu entscheiden, die selbst zu implementieren und sich damit an die Architektur anzuschließen.“

Die Verantwortung für den Betrieb hätten Verwaltungen demnach im eigenen Haus. Für diese dezentral organisierte Infrastruktur seien Matrix, aber auch Mastodon Vorbilder gewesen. Die Hypothese sei: „Wenn jeder für das eigene Backend verantwortlich ist, ist es auch einfacher, diversen rechtlichen Auflagen gerecht zu werden.“



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

chwoot: Kritische Linux-Lücke macht Nutzer auf den meisten Systemen zu Root


Eine kritische Sicherheitslücke klafft in dem Linux-Werkzeug „sudo“ und macht unprivilegierte Nutzer im Handumdrehen zu „root“, dem Systemverwalter. Grund der Malaise: Ein Fehler in der chroot-Funktion von sudo. Eigentlich soll diese Funktion Benutzer in ihrem Heimatverzeichnis „einsperren“, ermöglicht ihnen aber den Ausbruch aus selbigem und die Erweiterung ihrer Rechte. Ein Update steht bereit, Admins von Mehrbenutzersystemen sollten zügig handeln.

Die Sicherheitslücke macht sich einen Fehler in der chroot-Implementation zunutze. Zwischen zwei Funktionsaufrufen ruft diese den „Name Service Switch“ (NSS) auf, der wiederum die Datei /etc/nsswitch.conf lädt. Der Angreifer kann diese Funktion nun dazu bringen, eine von ihm präparierte Datei mit C-Code (eine dynamische .so-Bibliothek) zu laden und mit Root-Rechten auszuführen.

Kritische Lücke in vielen Versionen

Die Lücke versteckt sich in verschiedenen sudo-Versionen – unklar ist, in welchen genau. Der Entdecker, Rich Mirch von „Stratascale Cyber Research Unit“, konnte nicht alle Versionen testen. Er ist jedoch sicher, die Lücke sei in älteren Versionen vor sudo 1.8.32 nicht enthalten, da der schadhafte Code erst in dieser Version auftauchte. In den von ihm getesteten stabilen Versionen 1.9.14 bis 1.9.17 findet sich der Bug. Er hat die CVE-ID CVE-2025-32463 und eine CVSS-Bewertung von 9,2 (Priorität: „kritisch„). Der Entdecker stellt einen Beispielexploit bereit.

Das macht viele, möglicherweise Millionen Linux-Systeme angreifbar. Ubuntu in seiner aktuellen Version 24.04.1, Fedora 41 und potenziell viele andere Distributionsversionen sind gefährdet. Aktualisierte Pakete gibt es jedoch bereits, unter Ubuntu etwa für alle Versionen von Jammy bis Plucky. Sie portieren den Bugfix, der in sudo 1.9.17p1 enthalten ist, in die dort jeweils genutzte sudo-Version. Die aktuell stabile Debian-Version „Bookworm“ ist nicht betroffen – ihre sudo-Version ist schlicht zu alt.


PoC der sudo-Lücke "chwoot"

PoC der sudo-Lücke "chwoot"

So schnell kann’s gehen: Im Handumdrehen wird ein unprivilegierter Nutzer dank „chwoot“ zum Systemadministrator.

(Bild: heise security / cku)

Admins sollten also zügig reagieren und die von ihrer Linux-Distribution bereitgestellten Updates einspielen. Dabei sollten sie zudem nicht vergessen, Vorlagen für Cloud-VMs auf den neuesten Stand zu bringen. Eine frisch installierte Ubuntu-VM bei einem großen deutschen Cloudhoster war am späten Nachmittag des 1. Juli 2025 noch anfällig für die Sicherheitslücke, obgleich das aktualisierte Paket bereits bereitstand. Den von Entdecker Mirch bereitgestellten „Proof of Concept“-Exploit konnten wir nachstellen, mussten dafür lediglich einen C-Compiler installieren.

Mehr sudo-Ungemach

Auch an einer weiteren Stelle in sudo fand der Sicherheitsforscher Rich Mirch eine Sicherheitslücke: Sind Kommandos in der Konfigurationsdatei /etc/sudoers auf bestimmte Hosts eingeschränkt, lässt sich diese Beschränkung durch geschickte Kombination mehrerer Kommandozeilenparameter überlisten. Die Lücke mit der CVE-ID 2025-32462 ist jedoch auf einem frisch installierten System mit Standardeinstellungen nicht ausnutzbar. Sie ist daher nur mit einem CVSS-Punktwert von 2,8 und niedriger Priorität eingestuft. Die Lücke lauerte seit 12 Jahren in sudo und ist nun in Version 1.9.17p1 oder neuer behoben. Übrigens anders als ihr „großer Bruder“ auch auf Debian GNU/Linux: Dort behebt sudo 1.9.13p3-1+deb12u2 den Fehler.


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

Google und Sparkassen starten Altersverifikationssystem


Google startet in Deutschland zusammen mit den Sparkassen ein Pilotprojekt für ein Altersverifikationssystem. Es basiert unter anderem auf Google Wallet, wobei die Sparkasse für die Altersverifikation verantwortlich zeichnet. Es soll unkompliziert ermöglichen, im Netz oder bei Einkäufen einen Altersnachweis zu erbringen – das Ganze auch noch datensparsam.

Google arbeitet bereits länger an einer digitalen Identität (DI), die persönliche Informationen in der Google Wallet speichert und selektiv freigeben kann. Anstatt wie beim Vorzeigen eines Ausweises alle Informationen wie Name, Adresse und weitere persönliche Daten zu teilen, erhalten anfragende Stellen so tatsächlich nur das Geburtsdatum zur Altersprüfung, erörtert Google. Mitte Juni hat Google ein Altersverifikations-Tool für Europa angekündigt, welches die hiesigen Besonderheiten berücksichtigt.

Basis: Credential Manager für Android

Google liefert mit der Credential Manager API eine sichere Möglichkeit, um Identitätsinformationen einschließlich des Alters zu teilen. Webseiten und Apps können dieses Tool nutzen, um etwa die Mobil-Wallet oder digitale Altersverifikations-App abzufragen – und erhalten ausschließlich die nötige Altersinformation, bekräftigt Google. Das soll eine der größten Herausforderungen der universellen Altersverifikation knacken. In einigen Bundesstaaten der USA und in Großbritannien können Interessierte ihre IDs bereits in der Google Wallet ablegen und damit ihr Alter nachweisen, verkündete Google Ende April.

Auf der Konferenz „Global Digital Collaboration Conference“ in Genf hat die Sparkasse nun die Zusammenarbeit mit Google angekündigt. Die Sparkasse mit ihren rund 50 Millionen Kunden stellt den Altersnachweis aus. Der lässt sich dann mittels der Credential Manager API von Google unter Android und mit Chrome bei Apps und Webseiten mit einem Klick einfach freigeben. Kinder und Jugendliche lassen sich so vor ungeeigneten Inhalten schützen.

Weitere Details bleiben derzeit noch unklar. Das Projekt soll in den kommenden Monaten in die Pilotphase gehen. Wie genau der Altersnachweis der Sparkasse gegenüber den Google-Systemen aussieht, ist noch nicht bekannt. Aktuell lassen sich Sparkassenkarten nicht zur Google Wallet hinzufügen – das wäre ein Weg, wie sich die Volljährigkeit belegen ließe. Bislang können sich Sparkassenkundinnen und -kunden damit behelfen, ein Paypal-Konto in der Google Wallet zu hinterlegen und darüber mit der Wallet zu zahlen.

Die Pflicht zur Alterskontrolle ist in Europa ein zunehmend drängenderes Thema, da die EU und einige Mitgliedsstaaten auf eine strengere Umsetzung aus Jugendschutzgründen pochen – unter anderem werden klare Altersgrenzen und Alterskontrollen für die Nutzung von Social-Media-Angeboten gefordert. Der gestiegene Druck in der EU führte im Juni bereits zu einem mehrwöchigen Rückzug der Anbieters Aylo aus Frankreich, der große Porno-Portale wie Pornhub betreibt. Die Franzosen behalfen sich in ihrer Not mit der vermehrten Nutzung von VPN-Diensten zur Verschleierung ihrer Geo-IP.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Internationaler Strafgerichtshof erneut von ausgefeilter Cyberattacke betroffen


Der Internationale Strafgerichtshof (IStGH) ist wieder Ziel einer Cyberattacke geworden. Die in Den Haag sitzende Institution sprach am Montag von einem „neuen, komplexen und gezielten Cybersicherheitsvorfall“. Dieser sei Ende voriger Woche entdeckt und mittlerweile eingedämmt worden. Interne „Warn- und Reaktionsmechanismen“ hätten funktioniert. Derzeit erfolge „eine gerichtsweite Folgenabschätzung“, heißt es weiter. Es würden Maßnahmen ergriffen, um die Auswirkungen des Angriffs abzuschwächen.

Weitere Details etwa über kompromittierte Daten oder Konten hat der IStGH, der vor 23 Jahren mit der Ratifizierung des sogenannten römischen Statuts durch über 60 Staaten offiziell eingerichtet wurde, bislang nicht bekannt gegeben. Der Gerichtshof war bereits 2023 ins Visier eines damals als „beispiellos“ bezeichneten Cyberangriffs geraten. Im Anschluss verdichteten sich Hinweise, dass es sich dabei um einen Versuch handelte, Spionage zu betreiben und den Auftrag der Einrichtung zu untergraben. Diese erhöhte im Anschluss die eigenen IT-Sicherheitsmaßnahmen. Potenzielle Täter wurden bislang nicht genannt.

Haftbefehle gegen Netanjahu, Putin & Co.

Der IStGH sorgte in den vergangenen Jahren wiederholt für Schlagzeilen. So erließ er Haftbefehle gegen den israelischen Regierungschef Benjamin Netanjahu, den damaligen israelischen Verteidigungsminister Joav Gallant sowie mehrere Anführer der Hamas. Ihnen werden mutmaßliche Verbrechen gegen die Menschlichkeit und Kriegsverbrechen im Gaza-Krieg zur Last gelegt. Auch gegen den russischen Präsidenten Wladimir Putin liegt ein Haftbefehl vor. Einer der Vorwürfe gegen ihn: unrechtmäßige Verschleppung ukrainischer Kinder.

Jüngst sorgte die Meldung für Aufsehen, dass der IStGH-Chefankläger Karim Khan nach US-Sanktionen von seinem Microsoft-basierten E-Mail-Konto ausgeschlossen wurde. Der Softwareriese behauptet, von ihm ergriffene Maßnahmen hätten „in keiner Weise die Einstellung der Dienste für den IStGH“ umfasst. Die Open Source Business Alliance (OSBA) sprach trotzdem von einem Weckruf für digitale Souveränität.


(dahe)



Source link

Weiterlesen

Beliebt