Am 07. Juni 2024 wurde das Serviceportal OpenR@thaus Ziel eines Scam-Angriffs. Nach einer schnellen Fehlerbehebung im Laufe des Wochenendes geriet OpenR@thaus am 17.06. erneut in den Fokus der Angreiferin und wurde vorbeugend vom Netz genommen.
Auf Basis der Zertifizierungen ISO/IEC 20000-1:2018 und ISO/IEC 27001:2017 verfügt die ITEBO über Prozesse und Verfahren, wie in Krisenfällen zu verfahren ist. In diesem Fall ist auf das Business Continuity Management (BCM) und dem dazugehörigen Notfallplan „Continuity Plan OpenR@thaus“ zurückgegriffen worden.
Bei den in Rede stehenden Sicherheitslücken sind am Abend des 07.06.2024 potentielle Missbrauchsmöglichkeiten eines Redirects (Weiterleitung) der BundID auf nicht legitimierte Web-Seiten aufgezeigt worden. Um diese Weiterleitungen zu unterbinden, wurden die Systeme des Serviceportals OpenR@thaus als Sofortmaßnahme von der BundID getrennt. Innerhalb von 24 Stunden wurde am Wochenende in Zusammenarbeit mit einem Cybersecurity-Dienstleister und dem BMI (Bundesministerium des Innern und für Heimat) eine Lösung für den spezifischen Missbrauchsvektor geschaffen. Die Portale waren Sonntagmorgen, 09. Juni 2024, wieder verfügbar.
Nach weiteren Aktivitäten der Angreiferin wurde am 18.06.2024 eine Neubewertung der Situation vorgenommen und das Abschalten aller Serviceportale veranlasst. „Aufgrund des Angriffs wurden durch die BundID alle Authentifizierungen von OpenR@thaus-Usern gesperrt. Eine Nutzung der Portale durch BürgerInnen war nicht mehr effektiv möglich, da die Anmeldung über das Nutzerkonto nicht mehr zur Verfügung stand. Die Sacharbeiterinstanzen waren allerdings noch verfügbar. Eine Bearbeitung der vorhandenen Anträge durch die kommunalen Verwaltungen konnte somit weitergeführt werden.“ so Thomas Cormann, Servicebereichsleiter bei der ITEBO. „Die Abschaltung der Serviceportale und die Überarbeitung der Struktur der Anbindung über das SAML-Verfahren war daher eine logische Konsequenz. “
Anders als durch die Angreiferin proklamiert, betrifft die Sicherheitslücke im Liferay jedoch eine Softwareversion, welche bereits seit Mitte 2021 nicht mehr in den Serviceportalen zur Verwendung kam.
Betroffene Kunden wurden per Mail fortlaufend über aktuelle Sicherheitsmaßnahmen und ihren Umsetzungsstatus informiert. In Zusammenarbeit mit dem BMI wurden umfangreiche Maßnahmen zur Härtung des Quellcodes getroffen. Die Portale waren am Donnerstagabend, 04.07.2024, wieder verfügbar.
Die ITEBO nimmt den Vorfall zum Anlass, um gemeinsam mit einem externen Cybersecurity-Unternehmen Gespräche zu den Themen Produktsicherheit, Betriebssicherheit und Möglichkeiten von Analytik und Härtung aufzunehmen. „Die daraus gewonnen Erkenntnisse werden unsere bisherigen Maßnahmen der Cybersecurity ergänzen.“ Udo Wenker, Geschäftsführer der ITEBO-Unternehmensgruppe. „Neben dieser wichtigen Erkenntnis ist es uns jedoch ein Anliegen, zu betonen, dass über den Angriffsvektor zu keinem Zeitpunkt Datenabflüsse ermöglicht wurden. Ebenfalls war zu keiner Zeit ein unerwünschter Fremdzugriff auf die Serviceportale oder die Kommunikation zur BundID möglich.“ resümiert Udo Wenker. Wir bedauern die Unannehmlichkeiten und auch die entstandene Verunsicherung, die durch die Abschaltung des Serviceportals entstanden sind, sehr.