„Mein Justizpostfach“: BundID-Team informiert über Datenpanne

Wir berichteten über den Startschuss zum Pilotprojekt des Dienstes »Mein Justizpostfach« der Bundes. Dieser Service erlaubt Bürgern laut der Dienstbeschreibung eine sichere und kostenlose digitale Kommunikation mit der Justiz. Damit können beispielsweise rechtskräftige Klagen vor Gericht eingereicht oder Dokumente wie Mietverträge oder Bußgeldbescheide auf sichere Weise elektronisch an Anwälte übermittelt werden. Mit der kostenlosen BundID können Bürger sich online verifizieren und Verwaltungsdienstleistungen von Zuhause aus erledigen.

Nun informiert man Nutzer über eine Panne. So kam es vorübergehend zu einer Fehlkonfiguration des sogenannten SAFE-Diensts der Justiz. Dort werden Namen sowie Postanschriften hinterlegt, damit das Justizpostfach adressiert werden kann.

Aufgrund der Fehlkonfiguration war es theoretisch möglich, personenbezogenen Daten im Zeitraum vom 12. Oktober 2023 bis zum 9. November 2023 auch ohne Autorisierung über das Internet abzurufen. Derzeit sind keine Abrufe der personenbezogenen Daten bekannt. Der Dienstebetreiber hat den Fehler zwischenzeitlich korrigiert, sodass Nutzer nichts weiter veranlassen müssen. Die Sicherheitslücke wurde geschlossen.

Angebot
SanDisk Extreme PRO SDXC UHS-I Speicherkarte 128 GB (V30, Übertragungsgeschwindigkeit 200 MB/s, U3, 4K UHD Videos,...
  • Professionelle Leistung für schnelle Aufnahmen und 4K UHD Videos mit der SanDisk Speicherkarte; Im...

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

37 Kommentare

  1. Es gibt einfach Bereiche, wo das nicht passieren darf, um das Vertrauen der Menschen nicht sofort zu verlieren.

  2. Kein Wunder, wenn man nur Mindestbezahlung im öffentlichen Dienst zahlt, bekommt man halt nur Stümper die nur halbherzig dran arbeiten

    • Was hat die Governikus GmbH mit dem öffentlichen Dienst zu tun?

      • Keine Ahnung, aber alle Softwarelösungen, bei denen ich deren Namen gelesen habe, waren Schrott. Ob es an denen liegt oder an den Bürokraten, die die Software in Auftrag geben, kann ich nicht beurteilen. Im Zweifel sind die Bürokraten schuld, die sind eigentlich immer schuld 😛

        • Wenn du hier schon mit Gebashe anfängst, dann doch bitte mit mehr Inhalt. Welche Software, welches Problem?
          Ich habe übrigens schon ein paar Mal die AusweisApp benutzt und das war regelmäßig problemlos über mein Handy möglich. Einmal war der Dienst, den ich nutzen wollte, nicht erreichbar. Aber das ist ja keine Sache der App.

      • Die haben den Auftrag bestimmt ausgeschrieben, und dann der billigsten, vollkommen inkompetenten Bude den Zuschlag gegeben.

      • Viel. Die Governikus GmbH ist eine Öffentlich-private Partnerschaft (Gewinne privatisieren, Verluste sozialisieren) und bastelt an Authentifizierungsprojekten herum die z.B. im Servicekonto, Justizpostfach etc. zum tragen kommen.
        Die Leute werden auch nicht wirklich besser bezahlt als sonst wo im öffentlichen Dienst.
        Das solche Fehler passieren, wundert mich nicht.
        Die Politik wünscht sich zum Stichtag X eine Funktion für den medienwirksamen roten Knopf und die müssen mal eben was zusammenklöppeln.

        • Die BundID liegt in der Verantwortung des Bundesinnenministeriums, der SAFE-Dienst der Justiz bei der Bundesnotarkammer. Dort wird von einem Leck in der Konfiguration berichtet. Die Governikus GmbH & Co. KG hat damit erst einmal laut dieser Darstellung gar nichts zu tun. Oder weiß jemand mehr?
          Die Governikus GmbH & Co. KG liegt übrigens zu 100% bei der Freien und Hanesstadt Bremen. Aber dazu habt ihr bestimmt auch eine Meinung 😉

          • https://ebo.bund.de/#/impressum
            Realisierung
            Governikus GmbH & Co. KG

            Meine Meinung basiert auf Betreuung auf meiner tägliche Arbeit mit Governikus Software und dem warten auf dringende Updates wg. einer Sicherheitslücke die alle Module betrifft.
            Ganz grob gesagt ist deren Software wie Windows. Eine Basis an die verschiedene Zweige geklöppelt werden. Stinkt im Unterbau etwas, stinkt der Rest hinterher auch.

            • Der Meldung spricht aber doch von einer Fehlkonfiguration im SAFE-System. Was hat denn dann der Hersteller eines anderen Systems damit zu tun?

              Irgendwie bekommt man den Eindruck, als würdest du hier deine persönliche Abneigung gegen ein Unternehmen nutzen, um zu agitieren. Das kann ja wohl nicht sein. Und ob eine „Sicherheitslücke“ ein bestimmtes Produkt betrifft und wenn ja, welche Auswirkungen diese in diesem speziellen Produkt hat, überlassen wir doch zunächst am Besten dem Hersteller.

        • Hallo Keri und alle, „Die Leute werden auch nicht wirklich besser bezahlt als sonst wo im öffentlichen Dienst.“ wie oft hier im Blog schon über angeblich zu hohe Gehälter im öffentlichen oder öffentlich-rechtlichen Bereich polemisiert wurde – und dann so ein Satz! Was denn nun? Gutes Personal will gut bezahlt sein. Überall. Vielleicht sollte das Ausschreibungswesen endlich mal dahingehend überarbeitet werden, daß qualität vor sog. „Wirtschaftlichkeit“ geht. Ja kostet dann u. U. mehr. Aber nichts ist so teuer wie verlorengegangenes Vertrauen in öffentliche Institutionen. Das kostet letztlich die Demokratie. Und _den_ preis möchte ich nicht zahlen.

          • Du musst bei dem Punkt Gehälter zwischen den normalen Angestellten diverser Institutionen und dem Führungspersonal, bzw. den Politikern unterscheiden.
            https://oeffentlicher-dienst.info/c/t/rechner/tvoed/vka?id=tvoed-vka-2022
            Die meisten Angestellten dürften sich so zwischen E5-E8 aufteilen. Der öffentliche Dienst wirbt mit einem sicheren Arbeitsplatz, nicht mit Gehalt.
            Bei gleicher Tätigkeit verdient man in der freien Wirtschaft in der Regel mehr.

            Das Ausschreibungswesen hat auch nichts mit Wirtschaftlichkeit zu tun, sondern mit politischen Interessen. Die Vorgaben kommen in der Regel aus der Politik.
            Deren Interesse besteht mehr in der Wiederwahl als in Wirtschaftlichkeit. Insofern werden oft unsinnige Entscheidungen zugunsten von Herstellern in deren Wahlkreis getroffen.
            Zum Beispiel war München mit dem Limux Projekt führend in den Umstieg in eine Open Source Lösung. Als Microsoft dann ankündigte München als bevorzugten Standort zu nehmen, war nach einem Politikwechsel nun Linux die Katastrophe schlechthin und die Anweisung erfolgte so schnell wie möglich alles auf Windows umzurüsten.

            Anderes Beispiel beim Sondervermögen Bundeswehr.
            https://www.tagesschau.de/inland/innenpolitik/bundeswehrbeschaffung-100.html
            „Als einen wesentlichen Grund für diese unrentable Bevorzugung deutscher Firmen sieht Brzoska ein strukturelles Problem, nämlich vor allem die Abgeordneten des Deutschen Bundestages, die im Verteidigungs- und Haushaltsausschuss über die Beschaffung mitentscheiden. Politikern, die in ihren Wahlkreisen Unternehmen der deutschen Rüstungsindustrie hätten, seien geneigt, sich auch für objektiv unsinnige Beschaffungsprojekte auszusprechen. “

            Der Satz fasst das Dilemma gut zusammen: “ Nach der Analyse der Studie ist der Komplex aus Politik und Industrie eher zusammengewachsen und intransparenter geworden als reformfreudiger.“

            Das Geld was da ist, kommt halt nicht unten an, das meiste versickert in den oberen Etagen.

        • Es wäre schön, wenn du dich vor deinen Kommentaren wenigstens ein bisschen informierst, aber so ist das leider nur Geschwurbel eines uninformierten Haters. Es wäre verschwendete Lebenszeit darauf inhaltlich einzusteigen.

  3. >>Aufgrund der Fehlkonfiguration war es theoretisch möglich, personenbezogenen Daten im Zeitraum vom 12. Oktober 2023 bis zum 9. November 2023 auch ohne Autorisierung über das Internet abzurufen.

    Wow, 4 Wochen offen wie ein Scheunentor. Sowas muss man sich erst mal leisten. Das eh schon geringe Vertrauen in digitale Dienste des Staates wird mit sowas bestimmt nicht verbessert. Seltsam, dass personenbezogene Daten scheinbar vollkommen unverschlüsselt herumliegen. Warum wird die Konfiguration nicht doppelt und dreifach kontrolliert?

  4. Alex the 2nd says:

    Da freut man sich doch auf e-ID, Fingerabdrücke in Ausweisen und Datenbanken sowie digitale Krankenakten.

    • Das klingt nach einem ungesicherten Storage Objekt. Schlimm genug daß das durchrutschen kann, dazu muss man schon viele best practices ignorieren.

      Aber Zugriffe sind nicht bekannt. Was heißt das? Sie haben keinerlei Logs um es zu sehen? Sie haben sie sich nicht angeschaut? Das wäre ein 10x grösseres Versagen….

  5. „Derzeit sind keine Abrufe der personenbezogenen Daten bekannt.“ Ja … das wundert mich jetzt eher weniger, denn ich wette mal, dass man die Nutzer dieser lustigen Dienstleistung an zwei Händen abzählen kann. Vielleicht auch an einer.

    • Für dich als Bürger ist das noch freiwillig. Für Behörden sowie Körperschaften und Anstalten des öffentlichen Rechts wird das verpflichtend, also wird eine Umgebung derzeit aufgebaut oder schon benutzt. So oder so landen Bürgerdaten in diesem Postfach.
      Diese „lustigen“ Dienstleistungen zielen auch weniger auf den 0815 Bürger ab, als auf Firmen, Anwälte und sonstige Justiz.
      Das dort dann sehr sensible Daten landen, kannst du dir sicher denken.

      • Auch fachlich falsch! Mal wieder nur nur Geschwurbel eines uninformierten Haters.

        • Wenn du meinst. Bin seit über 20 Jahren in der kommunalen IT in der Anwendungsadministration unterwegs und mag meinen Job.
          Aber du weißt das sicher alles besser.

  6. „Derzeit sind keine Abrufe der personenbezogenen Daten bekannt.“
    Nach der Meldung hier liegt die Vermutung nahe, dass wahrscheinlich einfach gar nicht nachvollzogen werden kann, ob und wer auf die Daten zugegriffen hat. Das beruhigt jetzt nicht unbedingt.

  7. Leute, wenn ihr es besser könnt, bitte meldet euch da und arbeitet. Kann doch mal passieren. und vermutlich ist kein Schade entstanden. Von mir alles soweit in Ordnung. ich glaube, die hätten nichts besser machen können.

    • Menschen, die sowas besser können, arbeiten in der Regel nicht im öffentlichen Dienst, und auch nicht für den öffentlichen Dienst bei der gebotenen Vergütung.

      • Auch im öffentlichen Dienst arbeiten kompetente Leute. Nur eben zu wenig.
        Und die Bezahlung ist durchaus ein Problem. Vor allem die Art wie man eingestuft wird oder befördert werden kann.
        Bei uns in der IT wurde das Modell der Stellenbewertung vor ein paar Jahren umgestellt auf die Art(!) der Tätigkeit.
        Du kannst also x Verfahren betreuen und jeden Tag 110% geben, du wirst genau so eingestuft wie jemand der Dienst nach Vorschrift macht. Motiviert total, nicht?
        Da hatte die Politik eine echt gute Idee um Geld in der IT Dienstleistung zu sparen um mehr Geld in ihrem eigenen Rathaus übrig zu haben.
        In der Politik wird die IT immer noch nach dem alten Motto gesehen: „Es läuft alles, wofür bezahlen wir euch eigentlich. Es läuft nix, wofür bezahlen wir euch eigentlich.“
        Die IT läuft im optimalen Fall unsichtbar im Hintergrund. Erfolge sieht man nicht und Misserfolge landen böse in der Presse, man gewinnt damit keine Wahlen, hat aber das Risiko das Fehler die Wiederwahl gefährden. Dementsprechend ist und bleibt die IT in den Augen der verantwortlichen Politik das ungeliebte Stiefkind.

      • Hallo El Knipso, „Menschen, die sowas besser können, arbeiten in der Regel nicht im öffentlichen Dienst, und auch nicht für den öffentlichen Dienst bei der gebotenen Vergütung.“ Das bedeutet also, daß EDV- und IT-Experten kein soziales und gesellschaftspolitisches Gewissen haben? Könnte man ja so denken, wenn ihnen nur Geld wichtig ist und sie nicht daran denken, daß es auch sinnvoll sein kann die eigenen Kenntnisse und Fertigkeiten in den Dienst der Allgemeinheit zu stellen, auch wenn das vielleicht weniger einbringt als in der Industrie? Warum arbeiten dann z. B. Anwälte pro bono, oder Ärzte für Obdachlosenprojekte – ja auch studierte Menschen die anscheinend genug sozialkompetenz haben um nicht nur aufs Geld zu blicken? Viele Kommentare hier im Blog – man denke nur an Sätze wie „Wer nicht mit der Zeit geht geht mit der Zeit“, wenn es um die Anpassungsfähikgkeit z. B. einfach gebildeter menschen an IT-Verfahren geht, lassen in mir schon lange den Verdacht aufkommen daß zumindest ein großer Teil derer, die hier lesen und schreiben und sich für „IT-Affin“, wenn nicht sogar für „IT-Experten“ halten in Sachen Emphatie, Mitmenschlichkeit und Sozialkompetenz riesige Defizite haben.

    • Sorry @Paul, sowas darf nicht passieren.

  8. Dafür brauche ich doch kein „sicheres“ Postfach, kann einen Scan oder Foto per Mail oder Messenger an den Anwalt schicken.

    „oder Dokumente wie Mietverträge oder Bußgeldbescheide auf sichere Weise elektronisch an Anwälte übermittelt werden. „

  9. Vielleich solche Aufträge das nächste Mal gleich in kompetente Hände geben, also an eine chinesische oder russische Hackgruppe, die wissen jedenfalls was sie tun.

  10. Wer billig kauft, kauft zweimal! Ist doch nichts anderes bei Ausschreibungen, nimmst du den Billigsten, kriegst du billig! Alles was die Politik die letzen Jahre bei IT in die Hand genommen hat ging doch erstmal daneben.

  11. Die Fingerabdrücke, Netzhautscans und die Daten von Milliarden Indern sind geleakt worden…Nur mal so als kleiner Vorgeschmack auf die Digitale Identität in Deutschland und später EU weit. Leute seid vorsichtig. Das Missbrauchpotential ist so enorm, dass es sich kaum jemand vorstellen kann. Nichts ist sicher. Und auf die Zusicherung eines Politikers gebe ich überhaupt nichts.

    • >>Das Missbrauchpotential ist so enorm, dass es sich kaum jemand vorstellen kann. Nichts ist sicher.

      Hast du außer der allgemeingültigen Politikerschelte auch Beispiele, wofür die geleakten Daten der Inder mißbraucht wurden?

      Deine Warnung in Ehren, aber du schreibst ja selbst, „Nichts ist sicher.“ – Was schlägst du vor?

      • Nach Angaben von Rescurity können etwaige Käufer mit diesen Daten Online-Bankkonten der Betroffenen plündern und Steuerrückerstattungsbetrug zu deren Lasten begehen.

        • @Jones
          Dein Kommentar beantwortet die gestellten Fragen nicht. Wurden Online-Bankkonten von Betroffenen geplündert und wurde Steuerrückerstattungsbetrug zu deren Lasten begangen?

          Wenn persönliche Daten in die Hände von Kriminellen gelangen, dann können sie damit viel anstellen. Wurden mit geleakten Daten, wie in Deinem Beispiel von Indern, schon Straftaten begangen?

          Unternehmen wie Rescurity beschäftigen sich mit solchen Themen, weil sie damit Geld verdienen (wollen). Wenn jemand damit Geld verdienen könnte, die Menschen davor zu warnen auf die Straße zu gehen, und die Menschen diese Warnungen ernst nehmen würden, dann könnte man auch damit Geld verdienen.

          Ich erinnere gerne an den geäußerten Verdacht, dass Publisher von Anti-Viren-Programmen selbst Viren in IT-Systeme einschleusen, um die Notwendigkeit ihres Tuns unter Beweis zu stellen.

          • Lieber Mr. T.
            Viele Worte – aber es ändert nichts an dem Fakt. Werden persönliche Daten gesammelt, werden sie gestohlen und sehr wahrscheinlich mißbraucht. Punkt. Dieses Ausweiten der Sammlung um biometrische Daten – welche im Gegensatz zum Passwort nicht geändert werden können – macht dieses brisante Thema noch viel brisanter. Aber du scheinst da keine Gefahr zu sehen, bzw. das Problem klein schreiben zu wollen. Bitte sehr. Dein gutes Recht. Ich zumindest sehe es anderes.

            • Hallo Jones, ich gebe Dir da völlig Recht. Und bin für ein zurück zu Verfahren dezentraler Speicherung, der Abkehr von vernetzten Datenspeichern oder gar für ein Zurück zu analogen , z. B. papier oder mikrofilm, Verfahren: Begründung: die Gefahr der „großen Zahl“ und der „Verteilung“.

              zur „großen zahl“ wenn 10 Vorgänge mit persönlichen Daten in die Hände Unbefugter gelangen, ist der Schaden überschaubar (wenn auch für jeden Einzelnen gleich schmerzhaft).
              – bei einer Million Datensätze ist der Schaden unüberschaubar – ist wie bei 20 Leuten mit Erkältung odr einer Pandemie
              – zum Problem der „räumlichen Verteilung“: wenn in einer einzelnen Arztpraxis, selbst einer großen Gemeinschaftspraxis einige 100 oder 1000 Datensätze von Patienten in unbefugte Hände geraten ist der Schaden vielleicht von der Anzahl her schon größer aber regional begrenzt und überschaubar. eine deutschlandweit, europaweit oder darüber hinaus vernetzte Datensammelstelle erzeugt, wenn sie unberechtigt nutzbar ist, einen Schaden der weder übersehbar noch eingrenzbar ist. Wir sollten weg vom globalen und „alles in einer hand“-Ansatz und zurück zu bewährten Strukturen: klein , lokal, so strukturiert, daß sie von einzelnen menschen oder kleinen Personengruppen erfaßbar, verstehbar und überwachbar sind. Große Zahlen, große Gebiete entziehen sich dem menschlichen Verstand und sind damit prinzipiell unnbeherrschbar. Das ist keine Frage von Technik sondern eine philosophische die mit den Fähigkeiten bzw. un-fähigkeiten des menschlichen Verstandes zu tun hat. Einfach mal einen Schritt zurücktreten und sich von der Idee verabschieden daß bei einem immer höherskalieren von Netzen, Daten, Aggrregaten diese noch von Menschen kontrollierbar und beherrschbar sind. Ich persönlich zumindest fühle mich diesem größer, schneller umfassender, unübersichtlicher Trend hilflos ausgeliefert und werde daher versuchen wo es geht zumindest in meinem privaten Bereich nicht mitzumachen z. B. Opt Out bei der EPA.

              • Übrigens noch ein Gedanke zur Schaffung riesiger, vernetzter Datenpools wie EPA oder einwohnerdatenbanken: Warum wurde james Bond arbeitslos? Weil man ihn nicht mehr braucht. Egal ob die Patientenakten eines Arztes oder die Unterlagen eines Einwohnermeldeamtes oder die Firmengeheimnisse eines Unternehmens – solange sie lokal gespeichert wurden, letztlich dann egal ob auf papier oder elektronischem Datenträger – der „Mann mit der MINOX“ mußte sich physisch an den ort der Speicherung begeben, physische Sicherungssysteme aufbrechen und dann auch noch in Echtzeit Dokumente abfotografieren oder Festplatteninhalte auf einen Stick kopieren. Dabei immer der Gefahr, der echten physischen Gefahr der Endeckung, Inhaftierung oder (im Roman oder Film) Tötung ausgesetzt. … Und bei den riesigen zentralisierten Datenschätzen wie sie jetzt geschaffen werden sollen z. B. EPA: es ist kinderleicht, sie zu stehlen, man muß weder physisch vor Ort sein, noch sportlich, noch wagemutig, „kinderleicht“ ist hier wörtlich zu nehmen: (Achtung, Klischee ein!) verfettete, pickelige, ungepflegte Jüngelchen die noch nie einen Orgasmus außer von eigener hand hatten machen die „007“-Arbeit jetzt aus irgendeinnem Hinterzimmer sonstwo auf der Welt – außer herzverfettung keiner echten Gefahr bei ihrer kriminellen tätigkeit mehr ausgesetzt wie noch ein „007“. Ja ich bemühe ganz gezielt diese Klischee um auf die Gefahr der Schaffung immer komplexerer Speicher- und Verteilstrukturen, der immer umfassenderen Ablage von Informationen über jederperson in verteilten und nicht mehr übersehbaren Datenstrukturen hinzuweisen. Und ja ein „007“ der sich redlich mühen muß an meine persönlichen Daten oder Firmengeheimnisse ranzukommen ist für mich dann ein annehmbarerer und irgendwo auch menschlicherer Gegner als das verfettete Jüngelchen irgendwo im schmierigen Hinterzimmer. Wie selbst gesagt: ich empfehle mal ein Überdenken all dieser virtualisierungen und Zentralisierungen und Vernetzungen unserer Datenschätze, unserer großen und kleinen Geheimnisse. Vielleicht ist „old school“ doch manchmal der bessere Weg. n

  12. „Fehlkonfiguration“
    Ist auf jeden Fall ein herauszuhebener Aspekt, dass man für diese sehr sensiblen Daten nicht in der Lage ist, ein 4-Augen- bzw. mehrstufiges Sicherheitskonzept umsetzen zu können.
    Da stellt sich die Frage noch der hinreichenden Qualifikation für derartige Aufgaben.
    Das Versagen als „Fehlkonfiguration“ zu bezeichnen lässt erkennen, dass man anscheinend auch keine Verantwortung übernehmen kann.
    Beides zeigt eigentlich echt heftige Defizite auf.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.