Kein ausnutzbares Bedrohungsszenario für OSCI

Am 30.06.2017 veröffentlichte die österreichische SEC Consult ein Advisory bezüglich möglicher Schwachstellen in der OSCI-Bibliothek in der Version 1.6.1 und hat auf diese in sozialen Medien hingewiesen. Entsprechende Maßnahmen - Update der veröffentlichten OSCI-Bibliothek der KoSIT sowie ein Patch für den Governikus-Intermediär - wurden bereits im März bzw. Februar d. J. veranlasst und sämtliche Betreiber von OSCI-Intermediären informiert.

An dieser Stelle möchten wir ausdrücklich darauf hinweisen, dass die vorgenommenen Tests nach eigenen Angaben von SEC Consult ohne Intermediär, mit einer modifizierten Bibliothek und nicht in einer gemäß Einsatzempfehlungen aufgebauten Infrastruktur durchgeführt wurden. Das getestete Szenario entspricht keinem uns bekannten Einsatzszenario innerhalb des deutschen eGovernment.

Es besteht unserer Meinung nach keine Veranlassung, aus den identifizierten und zwischenzeitlich behobenen möglichen Schwachstellen auf eine Gefährdung der deutschen eGovernment-Infrastruktur zu schließen. Bewährt hat sich an dieser Stelle das in XÖV-Szenarien verwendete Prinzip des doppelten Umschlags – das bedeutet, dass zunächst eine Inhaltsdatenverschlüsselung und danach eine Transportverschlüsselung erfolgen. Getestet wurde mit einem Proof-of-Concept-Angriff auf die Transportverschlüsselung, ohne die zusätzliche Inhaltsdatenverschlüsselung zu berücksichtigen. Dies ist aber genau kein Szenario, wie es real in der deutschen OSCI-Infrastruktur betrieben wird.