Open in app

Sign in

Write

Sign in

Veraltete Nutzerkonten ermöglichten unautorisierten Zugriff auf BAMF-Daten

Tim Philipp Schäfers
15 min readMar 5, 2025

--

TL;DR: Für nur 5,97 € und in wenigen Minuten gelang der Zugriff auf ein Test-/Integrationssystem des BAMF — mitsamt Benutzerverwaltung und sensiblen Datensätzen. Die Sicherheitslücke bestand vermutlich seit 2018 und hätte noch weitreichendere Zugriffe ermöglichen können. Das Problem wurde dem BAMF Ende Januar 2025 verantwortlich gemeldet und behoben, doch ähnliche Schwachstellen könnten weiterhin bestehen — mit potenziellen Risiken für AsylbewerberInnendaten. Mehr dazu im Artikel …

Zu diesem Thema ist auch ein Artikel mit weiteren Details auf netzpolitik.org erschienen.

Erstreaktion nach Fund (Symbolbild)

Das Bundesamt für Migration und Flüchtlinge (BAMF) verarbeitet, wie viele Behörden in Deutschland, eine große Menge an Daten. Dabei geht es nicht um irgendwelche Informationen — sondern um hochsensible, personenbezogene Daten von Menschen, die in Deutschland Schutz suchen, oft vor Krieg und Verfolgung.

Das BAMF erfasst unter anderem, wer wann welchen Integrationskurs besucht hat, wo Geflüchtete untergebracht sind und welche familiären Beziehungen bestehen. Doch die Datensammlung geht weit darüber hinaus: Sie enthält auch besonders schützenswerte Informationen wie ethnische, religiöse oder soziale Zugehörigkeit, vollständige biometrische Daten (Fingerabdrücke ab 6 Jahren und Lichtbilder) und teils sogar private Informationen aus Smartphones oder Cloud-Speichern.

Um diese Daten zu verwalten, setzt das BAMF auf verschiedene IT-Fachverfahren, die unterschiedliche behördliche Aufgaben unterstützen, darunter:

  • Die Verteilung von Geflüchteten in Deutschland
  • Die Koordination und Auswertung von Integrationskursen
  • Die Koordination von Forschungsprojekten im Bereich Migration
  • Die Verwaltung von Finanzhilfen und Anträgen
  • Die Bearbeitung von Akten und Verwaltungsvorgängen
  • Weitere Fachverfahren (Beispiele)

Um den Zugang zu diesen IT-Systemen zu steuern, hat das BAMF vor einigen Jahren die „Delegierte Benutzerverwaltung (DeBeV)“ eingeführt — ein zentrales Identitätsmanagement, das Fachverfahren übergreifend funktioniert.

Bildschirmfoto vom Login der “DeBeV” (Webapplikation)

Darüber authentifizieren sich täglich zehntausende Benutzer, sowohl interne Behördenmitarbeiter als auch externe Nutzer. Insgesamt gibt es 50250 Nutzer in der Produktivumgebung, auf der Test- und Abnahmeumgebung sind 9694 angelegt.

In einem durch das Informationsfreiheitsgesetz befreitem Dokument mit dem Titel „IT-Architekturkompendium des BAMF“ aus 2020 wird beschrieben (vgl. S. 26) welche Ziele mit dem Identitätsmanagement verfolgt werden:

Ziele der IDM-Anbindung laut “IT-Architekturkompendium des BAMF”

In dem internen Regelwerk wird auch genannt, dass jedes Fachverfahren an das IDM/IAM (Identity and Access Management) — also die Delegierte Benutzerverwaltung (DeBeV) — angebunden werden muss (vgl. S. 25).

Schwachstellen oder Fehler in solchen Systemen sind nicht nur ärgerlich, sondern können gravierende Folgen haben. Ein guter Grund, sich die Benutzerverwaltung einmal genauer anzusehen. 😉

Auskunftswillige Dokumentation und veraltete Testnutzer ermöglichen Accountübernahme

Ein öffentlich einsehbares Dokument mit dem Titel „Nutzungshinweise zur Delegierten Benutzerverwaltung (DeBeV)“, datiert auf den 27.04.2018, enthielt brisante Details. Anhand von Screenshots der Webapplikation war ersichtlich, dass im Test- bzw. Integrationssystem offenbar ein Benutzeraccount mit der Nutzerkennung „max.mustermann@testtraeger.de“ existierte (vgl. S. 8 ff.).

Bildschirmfoto / Auszug aus den “Nutzungshinweisen” zur DeBeV

Das wirft sofort Fragen auf: Gibt es diesen Nutzeraccount möglicherweise noch? Ist die Domain testtraeger.de vielleicht sogar frei? Und wenn ja — könnte man den Account einfach übernehmen?

Ein kurzer Check bei gängigen Domain-Registraren brachte Klarheit: Die Domain „testtraeger.de“ war noch frei verfügbar. 👀 Also wurde sie für gerade einmal 5,97 € registriert.

Rechnung zum Kauf der Domain “testtraeger.de”

Die spannende Frage blieb: Existiert der Account noch?

Um das herauszufinden, wurde ein sogenanntes Catch-All-Postfach eingerichtet — eine Funktion, die sämtliche E-Mails an beliebige Adressen unter der registrierten Domain in einem zentralen Postfach sammelt.

Dann folgte der entscheidende Test: In der im Dokument genannten Webapplikation (benutzer.test.migra.bamf.de/debev/) wurde die Passwort-vergessen-Funktion genutzt …

Nutzung der Passwort-vergessen Funktion

Wenige Sekunden später landete die entscheidende E-Mail im Postfach max.mustermann@testtraeger.de — inklusive Link zum Zurücksetzen des Passworts. 🙈🎉😮

E-Mail mit Link zum Zurücksetzen des Passworts

Ein Klick auf den Link genügte und ein neues Passwort konnte ohne weitere Authentifizierung oder Zwei-Faktor-Verifizierung gesetzt werden. Die anschließende Anmeldung verlief problemlos 💥

Besonders brisant: Mit dem neu gesetzten Passwort wäre es potenziell möglich gewesen, sich auch in andere IT-Fachverfahren einzuloggen. Denn der letzte Satz der Passwort-zurücksetzen-E-Mail ließ daran keinen Zweifel: „Das neue Passwort gilt dann für alle Verfahren, für die Sie in der delegierten Benutzerverwaltung registriert sind.“

Aus ethischen Gründen wurde jedoch bewusst darauf verzichtet, sich in weitere Fachverfahren einzuloggen oder dies zu probieren. Bereits der erfolgreiche Login in die Benutzerverwaltung reichte aus, um die grundlegende Schwachstelle aufzuzeigen — ohne dabei auf IT-Fachverfahren oder besonders schützenswerte personenbezogene Daten von möglichen Geflüchteten zuzugreifen. In den Integrations- bzw. Testsystemen sollten zwar ohnehin keine Echtdaten geladen werden — allerdings kann dies auch nicht vollständig ausgeschlossen werden (es wäre nicht das erste Mal, dass in solchen Systemen Echtdaten auftauchen).

Nach dem erfolgreichen Setzen des neuen Passworts war der Login in die Delegierte Benutzerverwaltung (DeBeV) problemlos möglich. Die Startseite erwies sich als recht unspektakulär, doch ein Klick auf „Benutzer verwalten“ brachte eine brisante Erkenntnis: Eine Liste mit 200 bis 300 Benutzerkonten wurde geladen.

Benutzerverwaltung innerhalb der DeBeV

Dieser Zugriff ermöglichte detaillierte Einblicke in die Daten der aufgeführten Accounts (u.a. eindeutige ID, E-Mailadresse, Vorname, Nachname, Telefonnummer). Die meisten gehörten Mitarbeitenden des BAMF, doch auch Nutzer aus Forschungseinrichtungen und Kommunen waren vorhanden. Besonders auffällig: Neben dienstlichen BAMF-Adressen tauchten auch @t-online.de- und @gmail.com-Adressen auf.

Ein genauerer Blick offenbarte auffällige Übereinstimmungen: In einigen Fällen stimmten die Vor- und Nachnamen dieser privaten E-Mail-Adressen exakt mit denen dienstlicher BAMF-Konten überein (z. B. bei den Accounts mit der ID 33013 und 311153). Dies deutet darauf hin, dass in der Benutzerverwaltung private E-Mail-Adressen für dienstliche Zwecke genutzt wurden — ein weiteres, potenzielles Sicherheitsproblem.

Wie folgendes Bildschirmfoto zeigt, waren auch — in geringer Anzahl — Accounts von Kommunen betroffen, in diesem Fall offenbar ein Account der Stadt Duisburg:

Benutzername mit Hinweis auf die Stadt Duisburg

Der Zugriff auf den Account max.mustermann@testtraeger.de offenbarte eine weitere Erkenntnis: Er verfügte zumindest teilweise über administrative Rechte innerhalb der abgerufenen Organisation. So wäre es möglich gewesen, beliebige Benutzerkonten zu bearbeiten, zu deaktivieren, Berechtigungen zu entziehen oder sogar Passwörter anderer Accounts zu ändern 💥

Änderung eines Benutzeraccounts

Insbesondere das Zurücksetzen des Passworts für den Account „admin-1@bamftest.de“ (der oberste Account in der Liste) hätte mutmaßlich weitreichende Konsequenzen haben können. Es handelt sich — dem Namen nach zu urteilen — mutmaßlich um einen vollwertigen Administratoren der Umgebung. Aber auch die Möglichkeit, die Passwörter der übrigen 200–300 Accounts zurückzusetzen, hätte zu erheblichen Zugriffsmöglichkeiten auf verschiedene IT-Fachverfahren (im Testmodus) führen können. Innerhalb dieser Fachverfahren wäre es denkbar gewesen nach weiteren, tiefergehenden Schwachstellen zu suchen.

Fassen wir die wichtigsten Erkenntnisse zusammen:

  • Durch die Einsicht in eine ca. 6 Jahre alte Dokumentation konnte ein veralteter Testnutzer in einer BAMF-Benutzerverwaltung identifiziert werden, das zur Verwaltung von Nutzern dient, die auf IT-Fachverfahren im Test- bzw. Integrationsmodus zugreifen.
  • Dieser Testnutzer war mit einer nicht registrierten Domain verknüpft, die für nur 5,97 € von jedem registriert werden konnte.
  • Nach der Registrierung der Domain war es durch die Nutzung der Passwort-zurücksetzen-Funktion möglich, sich einzuloggen und Zugriff auf 200–300 Accounts zu erhalten, die dem BAMF, Kommunen oder Forschungseinrichtungen zugeordnet waren.
  • Es wäre möglich gewesen, die Passwörter dieser Accounts zurückzusetzen und so Zugriff auf zusätzliche Fachverfahren zu erlangen.
  • Einige Nutzeraccounts scheinen auf private E-Mail-Adressen von BAMF-Mitarbeitenden zu verweisen, da Vor- und Nachnamen exakt übereinstimmen.
  • Die Delegierte Benutzerverwaltung des BAMF bietet keine Möglichkeit zur Einrichtung/Aktivierung von Multi-Faktor-Authentifizierung.

Meldung an das BAMF und zusätzliche betroffene Accounts

Weniger als 24 Stunden nach Entdeckung der Sicherheitslücke (am 28.01.2025) wurde die entsprechende Meldung an den behördlichen Datenschutzbeauftragten des BAMF sowie das CERT-Bund (im CC) versendet. In der Meldung wurden alle relevanten Details der Sicherheitsproblematik dargelegt und betont, dass die Meldung ohne böswillige Absicht und im Interesse der Allgemeinheit erfolgte. Zusätzlich wurden Vorschläge zur Minderung der Risiken unterbreitet und die genauen Zeiträume des Zugriffs angegeben. Es wurde ausdrücklich darauf hingewiesen, dass keine Daten verändert wurden und nach Einsicht alle abgerufenen Daten gelöscht wurden, sodass keinerlei Kopien der Daten vorliegen.

Innerhalb von weniger als 4 Stunden (Zeitpunkt der Meldung: 09:30 Uhr, Zeitpunkt der Deaktivierung: 13:27 Uhr) wurde der betroffene Account „max.mustermann@testtraeger.de“ deaktiviert.

E-Mail zur Deaktivierung des Accounts “max.musterann@testtraeger.de”

Zu großem Erstaunen landeten jedoch fünf E-Mails mit dem Betreff „DeBeV: Benutzerkonto — deaktiviert“ im Catch-All-Postfach. Anfangs schien es, als sei die E-Mail mehrfach versendet worden. Bei genauerem Hinsehen stellte sich jedoch heraus, dass es sich um unterschiedliche Accounts handelte.

E-Mail zur Deaktivierung des Accounts “carla-columna@testtraeger.de”

Zusammen mit dem Account „max.mustermann@testtraeger.de“ gab es insgesamt fünf Accounts mit der „testtraeger.de“-Domain:

  • anna.mustermann@testtraeger.de
  • bernd_beispiel@testtraeger.de
  • carla-columna@testtraeger.de
  • maria.muster@testtraeger.de
  • max.mustermann@testtraeger.de

Man könnte annehmen, dass das BAMF sich direkt meldet oder zumindest eine Eingangsbestätigung schickt — doch zunächst blieb es still. Wahrscheinlich wurden intern zunächst Untersuchungen angestellt, etwa um zu prüfen, ob tatsächlich keine Anmeldungen in Fachverfahren erfolgt waren. Da keine Rückmeldung oder Bestätigung eintraf, wurde zwei Tage nach Deaktivierung der Accounts vom Melder des Sicherheitsproblems nachgefragt, ob die oben genannten Accounts nun tatsächlich deaktiviert wurden und ob damit alle notwendigen Maßnahmen ergriffen wurden oder ob Unterstützung bei der Aufklärung des Sachverhalts erforderlich sei.

Am Freitag, dem 31.01.2025 — etwa drei Tage nach der initialen Meldung — meldeten sich schließlich zwei Mitarbeitende des BAMF telefonisch, bedankten sich freundlich und teilten mit, dass das Problem zeitnah behoben worden sei. Sie kündigten zudem eine offizielle, schriftliche Antwort an.

Anruf vom BAMF (Symbolbild)

Auf die telefonische Nachfrage, welche IT-Fachverfahren möglicherweise von der Sicherheitslücke betroffen waren und in welchen Systemen dadurch unberechtigte Anmeldungen hätten erfolgen können, wurde ausweichend reagiert. Durch eine kurze Internetrecherche stößt man allerdings darauf, dass das die Delegierte Benutzerverwaltung (DeBeV) u.a. für folgende Fachverfahren genutzt wird:

- FREE (Fachanwendung zur Registerführung, Erfassung und Erstverteilung zum vorübergehenden Schutz) nach Aufnahmen nach § 24 AufenthG, vgl. Anwendungshinweise FREE (S.10 f.), dabei erfasste Daten beinhalten, u.a. AZR-Nummer, Vorname, Nachname, Staatsangehörigkeit, Geburtsdatum, Geschlecht, Identitäts- oder Reisedokument, Dokument-ID, Status, Kernfamilie, Arbeitsplatz, Wohnraum, weitere Verwandschaft, Unterstützerkreis, Reiseunfähigkeit, weiteres

- Innerhalb von Lernmanagement-Systemen (LMS) für den Stand zur Durchführung von Integrationskursen, vgl. InGe-Online-Kursträger & verschiedene Herstellerwebsites, dabei erfasste Daten beinhalten, u.a. Vorname, Nachname, Integrationskurs, Status des Integrationskurses, ggfs. weitere Informationen (wie AZR-Nummer)

- MoNA für Hochschulen und Forschungseinrichtungen, vgl. Nutzungsbestimmungen für die IT-Fachanwendung MoNA, S. 4

- IT-System für die Innenfonds (ITSI), vgl. Nutzendenhandbuch für Projektantragstellende in ITSI, S. 7

Durch eine Anfrage von netzpolitik.org konnte ermittelt werden, dass die DeBeV für folgende Fachverfahren eingesetzt wird:
Mit internen Nutzenden: IDM, Middleware, Strive.
Mit externen Nutzenden: InGe, AMIF, BABS, FLORA, BerD, ITSI, PIA, AsylOnline und FREE.

Da auch nach mehreren Nachfragen an das BAMF keine offizielle schriftliche Antwort einging, wurde am 07.02.2025 erneut höflich nach dem aktuellen Stand der Dinge gefragt. Es folgte eine knappe Rückmeldung, dass

„das Bundesamt den Vorfall zum Anlass genommen hat, die Risiken und Schwachstellen zu prüfen und zu beheben“

und man sich für den Hinweis bedanken möchte. Damit wurde der Fall zunächst als abgeschlossen betrachtet.

Was hätte schützen oder helfen können?

Zunächst ist es entscheidend, dass Test- und Produktivsysteme klar voneinander getrennt sind. Im vorliegenden Fall handelt es sich — trotz des Namens — nicht um ein reines Testsystem, sondern eher um ein Integrationssystem (in späteren E-Mails wurde das System auch als „Abnahmeumgebung“ bezeichnet), da bereits Dritte auf Daten zugreifen und Daten zu Testzwecken an die Umgebung übermittelt werden (hoffentlich werden dabei keine Echtdaten von Kommunen, Bildungsträgern und anderen Stellen verwendet).

Simple Maßnahmen aus dem Bereich IT-Sicherheit können größere Probleme vermeiden (Symbolbild)

Des Weiteren sollte eine gründliche Benutzerhygiene etabliert und regelmäßige Prüfungen durchgeführt werden. Folgende Maßnahmen sollten kontinuierlich und in kurzen Intervallen überprüft werden:

  • Auslesen der „Last Login“-Zeiten und die Prüfung, ob „veraltete“ Accounts noch benötigt werden. Auf diese Weise hätten die „testtraeger.de“-Accounts wahrscheinlich deutlich früher entdeckt werden können.
  • Deaktivierung veralteter Accounts im ersten Schritt — idealerweise automatisiert (zum Beispiel nach 90 Tagen ohne Login).
  • Löschung deaktivierter Accounts nach einer weiteren definierten Zeitspanne. Dies reduziert die Datenmenge und verringert die Angriffsfläche.
  • Es sollten regelmäßige Audits der Benutzerkonten und der vergebenen Berechtigungen durchgeführt werden.
  • Sollte ein Account erweiterte Rechte haben, ist es wichtig, diese zu prüfen und gegebenenfalls zurückzunehmen. Ein Beispiel: Es ist nicht nachvollziehbar, warum der mutmaßliche Testaccount max.mustermann@testtraeger.de in der Lage war, Passwörter anderer Accounts zurückzusetzen. Die Auswirkungen einer Übernahme wären deutlich geringer gewesen, hätte der Account keine administrativen Rechte besessen.

Abgesehen von der Account-Hygiene sollte geprüft werden, ob eine Multi-Faktor-Authentifizierung (MFA) für interne und externe Nutzer eingeführt werden kann, um die einfache Anmeldung ohne MFA zu verhindern. MFA ist eine der effektivsten Methoden, um sich vor Credential-Stuffing-Angriffen, den Folgen von Phishing-E-Mails oder generell vor Accountübernahmen zu schützen.

Um die oben genannten Szenarien zu vermeiden, sollte jede „öffentliche Domain“, die in der internen Infrastruktur verwendet und konfiguriert wird (einschließlich Testsysteme), registriert und überwacht werden. So kann verhindert werden, dass fremde Personen diese Domains registrieren oder sie unabsichtlich auslaufen. Die Domain „testtraeger.de“ war mutmaßlich nie durch das BAMF registriert, obwohl sie mindestens 6 Jahre lang verwendet wurde (Datum des Dokuments, welches zum Auffinden der Domain geführt hat, siehe oben). Die DeBeV gibt es sogar bereits über 10 Jahre.

Sicherheitskonzept wirft Fragen auf: Kein Multi-Faktor für IT-Fachverfahren?

Nach § 8 des BSI-Gesetzes (BSIG) sind Bundesbehörden verpflichtet, geeignete IT-Sicherheitsmaßnahmen zu ergreifen und den aktuellen Stand der Technik zu berücksichtigen. Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt dabei eine empfohlene Methode zur Umsetzung dar und fordert, dass basierend auf Risikoanalysen Multi-Faktor-Authentifizierung eingesetzt wird. Auch die Datenschutz-Grundverordnung (DSGVO) fordert in Artikel 32 die Implementierung von „geeigneten technischen und organisatorischen Maßnahmen“ (TOMs) zum Schutz personenbezogener Daten.

Betrachtet man das Risiko im Zusammenhang mit den möglicherweise betroffenen Daten (siehe ausführliche Erläuterungen unten), so muss dieses als hoch eingestuft werden. In Anbetracht dessen wäre der Einsatz von Multi-Faktor-Authentifizierung (MFA) zwingend erforderlich. Doch wie der oben beschriebene Zugriff zeigte, bietet die Delegierte Benutzerverwaltung (DeBeV) des BAMF keine Möglichkeit, einen zweiten Authentifizierungsfaktor (z. B. per TOTP) zu konfigurieren. Dies stellt eine klare Diskrepanz zur Forderung des § 8 BSI-Gesetz sowie der DSGVO dar und widerspricht dem gängigen Stand der Technik.

Auch das bereits erwähnte „IT-Architekturkompendium des BAMF“ nennt die Zwei-Faktor-Authentifizierung lediglich als „Möglichkeit, neue Login-Mechanismen einfach zu etablieren“. Auch in einem Statement gegenüber netzpolitik.org räumt das BAMF ein, dass derzeit kein solcher Schutzmechanismus als Möglichkeit vorliegt, u.a. da die DeBeV ein „historisch gewachsenes Verfahren“ sei. Somit werden zahlreiche Fachverfahren des BAMF ohne Zwei-Faktor-Authentifizierung betrieben, obwohl sie sensible personenbezogene Daten über Geflüchtete und Schutzsuchende enthalten und hohe Risiken vorliegen. Angreifern wird es dadurch erheblich erleichtern, Accounts zu kompromittieren. Oder kurzum: Die öffentlich zugänglichen IT-Fachverfahren des BAMF und damit die sensiblen, personenbezogenen Daten vieler Geflüchteter sind deutlich schlechter geschützt als die meisten Social-Media-Konten oder E-Mail-Adressen von sonstigen Privatpersonen.

Alles da möglicherweise falsche Prioritäten und zu wenig Investitionen in IT-Sicherheit getätigt wurden.

Bildschirmfoto zum Tagesschaubericht aus 2023 in dem Einsparungen angekündigt wurden

Dies alles wirft ein negatives Bild auf eine Behörde, die sich selbst als Sicherheitsbehörde versteht. So erklärte das BAMF ausgerechnet in einer Stellungnahme zu Budgetkürzungen im IT-Bereich (November 2023):

„Das Bundesamt versteht sich selbst als Sicherheitsbehörde und gewährleistet in enger Zusammenarbeit mit den Sicherheitsbehörden auch weiterhin die Sicherheit im Asylverfahren”.

Der festgestellte Zustand widerspricht offenbar klar den eigenen Ansprüchen der Behörde an die Sicherheitsstandards ihrer IT-Systeme und steht zudem in Konflikt mit oben dargestellten Gesetzen.

Kein Ende in Sicht?

Eigentlich sollte dieser Artikel nun abgeschlossen sein, jedoch gibt es zwei weitere Punkte, die ebenfalls berichtenswert sind.

1.) Nachträgliche E-Mails an “testtraeger.de”-Adressen

Mitte Februar 2025 wurde festgestellt, dass auch nach der Meldung vom 28.01.2025 — und damit nach der Behebung der eigentlichen Sicherheitslücke — weiterhin fünf E-Mails über produktive E-Mail-Verteiler des BAMF an testtraeger.de-E-Mail-Adressen versendet und im Catch-All-Postfach empfangen wurden.

Empfangene E-Mails im Februar 2025 auf E-Mailadressen von testtraeger.de

Am 17.02.2025 wurde das BAMF darüber informiert, seitdem ist keine weitere E-Mail angekommen (offenbar wurde das Verhalten abgestellt, leider wurde nicht auf den Hinweis geantwortet). Diese Entdeckung erweckt erneut den Eindruck, dass die Domain (testtraeger.de) möglicherweise noch immer in Systemen des BAMF verwendet wird/wurde und keine vollständige Kontrolle über alle Stellen besteht/bestand, an denen die Domain hinterlegt ist. Um dem entgegenzuwirken, wurde dem BAMF am 17.02.2025 zudem angeboten, die Domain per kostenlosem Domain-Transfer zu übertragen — darauf wurde nicht geantwortet.

2.) “Bitte” zur Berichterstattung

In einer E-Mail vom 07.02.2025 bat das BAMF den Melder darum, bei einer möglichen Veröffentlichung des Vorfalls auf die „Veröffentlichung personenbezogener Daten sowie die Erwähnung des BAMF“ zu verzichten 👀.

Es ist selbstverständlich und ethisch korrekt, dass keine personenbezogenen Daten veröffentlicht werden.

Die Bitte, das BAMF nicht zu erwähnen, wurde jedoch nicht befolgt 📃. Dies hat mehrere Gründe:

1.) Zunächst ist es nahezu unmöglich, einen Artikel zu diesem Thema und seinen Auswirkungen zu verfassen, ohne das BAMF zu nennen.

2.) Die öffentliche Berichterstattung kann dazu führen, dass auch andere Organisationen — sowohl Behörden als auch Unternehmen — ihre eigenen Systeme auf ähnliche Sicherheitslücken überprüfen und zusätzliche Schutzmaßnahmen ergreifen. Dies umfasst beispielsweise den Einsatz von Multi-Faktor-Authentifizierung bei IT-Fachverfahren, die Registrierung und das Monitoring von (Test-)Domains in IT-Umgebungen sowie eine allgemein verbesserte Benutzer- und IT-Hygiene. Letztere wird durch die NIS2-Richtlinie in Zukunft für größere Unternehmen verbindlich werden. Letztlich steigt damit die IT-Sicherheit generell.

3.) Das BAMF erfasst in großem Umfang sensible Daten und wird als Bundesamt vollständig durch öffentliche Mittel finanziert. Daher erscheint es angemessen, dass die Behörde für ihre Sicherheitspraktiken Rechenschaft ablegt und transparent(er) ist.

4.) In Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG sollte in Bezug auf Multi-Faktor-Authentifizierung klarer formuliert werden, wann und wie diese implementiert und eingesetzt werden kann. Möglicherweise nimmt das BSI solche Berichte zum Anlass, generelle Sicherheitsempfehlungen für Fachverfahren von Behörden (insbesondere jene mit sensiblen Daten) zu erhöhen.

5.) Für Melder von Sicherheitslücken dieser Art liegt seit Jahren durch diverse Straftatbestände eine erhebliche Grauzone bei der Meldung vor. Eigentlich sollte das „Computerstrafrecht“ durch einen Gesetzentwurf zuletzt reformiert werden, was die Meldung von Sicherheitsproblemen rechtssicher(er) gestalten sollte — durch den Bruch der Ampel-Regierung kam es jedoch nicht dazu. Aus diesem Grund fordern IT-Sicherheitsforschende derzeit erneut: „IT-Sicherheit braucht Rechtssicherheit!“ und rufen zur Unterzeichnung eines offenen Briefes auf. Die Aufmerksamkeit solcher Sicherheitsprobleme und Berichte dazu können dazu beitragen, dass für das Thema sensiblisiert wird und mögliche Änderungen in der Gesetzgebung vorangetrieben werden.

6.) Sofern das BAMF sich weiterhin nicht meldet und die Domain “testtraeger.de” kostenfrei übertragen haben möchte, dient ein Bericht dazu Ideen zur zukünftigen Verwendung der Domain zu sammeln (gern Vorschläge dazu in den Kommentaren vermerken 😉)

Abschließendes

An dieser Stelle sei — neben der erwähnten Kritik — allerdings auch deutlich die sehr schnelle Erstreaktion aus dem BAMF herauszustellen. Die oben angeführten Accounts wurden nach weniger als 4 Stunden nach der Meldung abgestellt, sodass kein Zugriff mehr möglich war 👍 (dies konnte durch die automatisch versendeten E-Mails nachvollzogen werden). Darüber hinaus wurde der Datenschutzvorfall nach Art. 33 DSGVO zeitnah an die zuständige Aufsichtsbehörde (BfDI) gemeldet 📃 (nach eigener Aussage wurden betroffene Personen jedoch auf Grundlage von Art. 34 DSGVO nicht informiert).

Es bleibt zu hoffen, dass ein solches Tempo beibehalten wird und nun weitere Maßnahmen ergriffen werden, um ähnliche Vorfälle zu verhindern. Es sollte zeitnah eine Zwei-Faktor-Authentifizierung für alle öffentlich erreichbaren IT-Fachverfahren eingerichtet werden, damit Daten von Personen, die in Deutschland Schutz suchen, auch tatsächlich nach Stand der Technik geschützt werden.

Dieser Vorfall verdeutlicht zudem die große Verantwortung, die mit der massenhaften Erfassung sensibler Daten — insbesondere von Geflüchteten und Dissidenten — einhergeht. Der Schutz ihrer Freiheitsrechte und eine erhöhte Sicherheit lassen sich letztlich am besten durch Datenminimierung erreichen: Weniger Datensammlung bedeutet mehr Schutz.

Timeline zur Meldung

  • 27.01.2025, ca. 12:52 Uhr: Fund, Registrierung der Domain „testtraeger.de“, initialer Zugriff auf Delegierte Benutzerverwaltung (DeBeV) mit dem Account „max.mustermann@testtrager.de“
  • 28.01.2025, 09:30 Uhr: Meldung an behördlichen Datenschutzbeauftragten des BAMF und CERT Bund in CC (ausführliche Meldung + Dokumentation erfolgte innerhalb von <24 Stunden nach Fund)
  • 28.01.2025, 13:25 Uhr: Deaktivierung aller 5 Accounts mit „@testtraeger.de“ durch Administratoren des BAMF
  • 30.01.2025: Bestätigung des Melders an das BAMF, dass Accounts deaktiviert wurden und kein Zugriff mehr möglich ist, sowie Bitte um Bestätigung der Meldung und Information zu eingeleiteten Maßnahmen
  • 31.01.2025: Anruf von 2 Mitarbeitenden des BAMF und Bestätigung der schnellen Behebung, sowie in Aussichtstellung einer offiziellen Antwort zur Meldung
  • 31.01.2025: Meldung des Vorfalls an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) durch das BAMF
  • 07.02.2025: Erneute Nachfrage des Melders, da keine schriftliche Eingangsbestätigung oder Stellungnahme erfolgt ist
  • 07.02.2025: Kurze Stellungnahme via E-Mail vom BAMF (erste und letzte schriftliche Rückmeldung gegenüber dem Melder überhaupt 😉)
  • 17.02.2025: Hinweis an das BAMF, dass weitere E-Mail an „@testtraeger.de“ geschickt wurden und Angebot eines kostenlosen Domain-Transfers der Domain „testtraeger.de“
  • 05.03.2025: Veröffentlichung dieses Blogposts

Datengruppen, welche durch das BAMF von Geflüchteten verarbeitet, werden:

1. Personenbezogene Daten
Name, Vorname, Geburtsdatum, Geburtsort
Geschlecht
Staatsangehörigkeit(en)
Familienstand
Angaben zu Eltern und Kindern
Adresse bzw. Aufenthaltsort in Deutschland

2. Biometrische Daten
Fingerabdrücke (bei Personen über 6 Jahren)
Lichtbilder

3. Dokumente und Nachweise
Reisepass bzw. Passersatzdokumente
Geburtsurkunde, Heiratsurkunde (falls vorhanden)
Aufenthaltstitel oder frühere Visa

4. Angaben zum Fluchtgrund
Herkunftsland und Fluchtweg
Angaben zur Verfolgung oder Bedrohung
Zugehörigkeit zu einer bestimmten ethnischen, religiösen oder sozialen Gruppe

5. Gesundheitsdaten
Medizinische Atteste (z. B. Nachweise über Traumata oder Behinderungen)
Impfstatus (relevant für Unterbringung und Versorgung)

6. Verfahrensbezogene Daten
Datum der Antragstellung
Aktenzeichen des Asylverfahrens
Anhörungsprotokolle
Entscheide über Asylanträge (Anerkennung, Ablehnung, Duldung etc.)
Rechtsmittel (z. B. Klagen gegen Asylbescheide)

7. Sozial- und Integrationsdaten
Teilnahme an Integrationskursen
Sozialleistungen (z. B. Asylbewerberleistungen)
Beschäftigungsstatus oder Ausbildungsmaßnahmen

Weitere Informationen: Vortrag zu “Gläsernen Geflüchteten” auf dem 37c3.

Sofern euch solche Artikel und Recherchen interessieren, folgt mir gern auf Mastodon. In den nächsten Monaten gibt es Berichte von weiteren Datenreisen … 👍

Verwaltung
Security
Datenschutz
Migration

--

--

Tim Philipp Schäfers
Tim Philipp Schäfers

Written by Tim Philipp Schäfers

3 Followers
0 Following

Protecting What Matters in a Connected World Mostly hacker. lecturer. speaker. writer. We find our path - by walking it. Founder: Mint Secure

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams