Behörden sowie behördennahe Organisationen und Unternehmen tauschen über die Plattform sedex in grossem Umfang Daten über Menschen in der Schweiz aus. «sedex» steht für «secure data exchange». Verantwortlich ist das Bundesamt für Statistik (BFS).
Sicherheitslücken im Docker-Container für den sedex-Client werfen allerdings die Frage auf, wie sicher der «Secure Data Exchange» tatsächlich ist.
Die sedex-Plattform soll seit 2018 einen sicheren Transport von Daten zwischen den angeschlossenen Registern ermöglichen. Dazu zählen die Einwohnerregister von Kantonen und Gemeinden wie auch Personenregister des Bundes. sedex wird auch als «digitaler Postbote des Bundes» bezeichnet.
Aktuell tauschen mehr als 8’400 Organisationseinheiten ihre Daten über sedex aus.
Die Liste der Teilnehmer umfasst unter anderem die Behörden von Gemeinden und Kantone, Bundesbehörden, Gerichte und Staatsanwaltschaften, Polizeikorps und den Nachrichtendienst des Bundes (NDB) sowie Kranken- und Sozialversicherungen. Die Liste umfasst aber beispielsweise auch die Serafe AG, die Kreditkartenherausgeberin Swisscard AECS und verschiedene Inkassounternehmen.
Das BFS verspricht «hohe Sicherheitsanforderungen» und «keine Experimente bezüglich Sicherheitsaspekte».
Die Bundeskanzlei schreibt über den «sicheren Datenaustausch» mit sedex:
«Die Plattform ist hochverfügbar (24/7) und für den sicheren […] automatischen Datenaustausch konzipiert. […] Da sensitive Daten ausgetauscht werden, musste die Plattform von Beginn an hohen Anforderungen an die Sicherheit sowie Nachvollziehbarkeit genügen. Dazu setzt sedex moderne Verschlüsselungsverfahren sowie Sicherheitszertifikate der Swiss Government PKI ein. Die eingesetzten Technologien werden fortlaufend aktualisiert. Mit periodischen Audits werden die hohen Anforderungen überprüft.»
«Docker Scout»: Zahlreiche, auch kritische Sicherheitslücken im sedex-Client
Das BFS stellt den benötigten sedex-Client den Teilnehmern als Docker-Container via Docker Hub zur Verfügung (Screenshot).
Momentan wird der sedex-Client in Version 6.0.8 mit dem Container-Image in Version 1.0.2 jeweils vom 5. Juli 2022 empfohlen (Screenshot).
Bei Docker Hub steht als Funktion unter anderem der «Docker Scout» zur Verfügung. Man kann damit in Docker-Containern nach Sicherheitslücken suchen («Resolve security issues before they make it into production»).
Im Docker-Container für den sedex-Client findet «Docker Scout» zahlreiche Sicherheitslücken, zum Teil kritisch und mehr als ein Jahr alt.
Wenn mit der vergleichsweise einfachen Funktionalität von «Docker Scout» bereits zahlreiche Sicherheitslücken gefunden werden, ist zu vermuten, dass ein vertiefter Blick weitere Sicherheitslücken zutage bringen fördern würde.
Bundesamt für Statistik: Kein Interesse an gemeldeten Sicherheitslücken
Das BFS schreibt, man sei an Feedback interessiert («We are interested in your feedback to help us improve the container image and documentation») und verweist auf den sedex-Support. Dieser Support war aber an meiner Anfrage zu den Sicherheitslücken nicht interessiert.
Anfrage:
«Für den sedex-client-Docker-Container […] meldet Docker Scout zahlreiche Sicherheitslücke, wie Sie dem angehängten Screenshot entnehmen können.
Gibt es einen Grund, einen Docker-Container zu veröffentlichen, der bekannte Sicherheitslücken enthält?»
Antwort:
«Sie befinden sich hier auf der Adresse des sedex-Supports. Dieser Support ist unseren Kunden vorbehalten und nur die Domänenvertreter sind unsere Kontaktstellen. Wenn Sie Kunde sind, dann können Sie sich an Ihren Domänenvertreter wenden.»
Ich hätte gerne gewusst, wieso das BFS den sedex-Client trotz Sicherheitslücken, die längst bekannt sein müssen, bislang nicht aktualisiert hat.
Datensicherheit: Wer wirft einen näheren Blick auf den «Secure Data Exchange»?
Auch jenseits der Sicherheit wirft der sedex-Client Fragen auf. So wird als Teil von «Important Notes» davor gewarnt, mehr als einen Client gleichzeitig laufen zu lassen, denn ansonsten könnten Mitteilungen verloren gehen:
«For a specific sedex participant[…], only one sedex Client may be running at any time. Otherwise, problems such as lost messages or other malfunctions may result. Therefore, you must absolutely ensure organizationally and operationally that no more than one sedex Client is running for the same participant at any time.»
Das Problem wurde auch im «sedex-Insider 9» vom Mai 2021 thematisiert. Es ist deshalb davon auszugehen, dass bei einzelnen Teilnehmern tatsächlich Daten verloren gingen.
Kurios ist, dass die BFS-Webseiten über sedex nicht unter sedex.ch abrufbar sind («Not defined!», Screenshot). Wer «www» voranstellt und auf SSL / TLS verzichtet, wird auf die sedex-Einstiegsseite auf der BFS-Website weitergeleitet. Dort wird übrigens an erster Stelle über die Behebung der Spring4Shell-Schwachstelle in der ersten Jahreshälfte 2022 informiert:
«Der sedex-Client verwendet das Open Source Framework ‹Spring›. Gewisse Versionen von Spring weisen eine unter dem Namen ‹Spring4Shell› […] bekannte Schwachstelle, die unter bestimmten Umständen dazu missbraucht werden kann, um auf einem Computer Schadcode auszuführen. Der sedex-Client verwendet allerdings keine der problematischen Funktionen, weshalb die Schwachstelle in keiner Version des sedex-Clients ausgenutzt werden kann. Unabhängig von der Nicht-Ausnutzbarkeit in älteren Versionen, verwendet der sedex-Client ab der Version 6.0.8 eine Version des Spring Frameworks, welche die Schwachstelle grundsätzlich nicht mehr enthält.»
Wer sich für staatlichen Datenaustausch und Datensicherheit interessiert, sollte einen näheren Blick auf den sedex-Client und überhaupt auf die sedex-Plattform werfen.
Nachtrag: Nicht-Antwort vom Bundesamt für Statistik
Das Bundesamt für Statistik (BFS) hat am 7. Juli 2023 mittels Kommentar zu diesem Beitrag mit einer Nicht-Antwort reagiert:
«Der Kundendienst hat Ihre Anfrage sofort an unsere für Sicherheit zuständige Einheit weitergeleitet, wie dies in solchen Fällen immer geschieht. Wir erhalten auch regelmässig Rückmeldungen von professionellen Rechenzentren, welche sedex Clients betreiben und regelmässige Scans durchführen. Auch diese lassen wir immer umgehend analysieren und behandeln. Sicherheitskritische Schwachstellen werden sofort behoben.
Wir nehmen bei sedex die Sicherheit sehr Ernst: Neben regelmässigen bundesinternen Sicherheitsprüfungen lassen wir auch regelmässig Audits durch renommierte, externe Sicherheitsfirmen durchführen.»
Der gleiche Kommentar wurde auch bei LinkedIn veröffentlicht. Ich war vom Kundendienst, wie oben dokumentiert, nicht über die Weiterleitung an die «für Sicherheit zuständige Einheit» informiert worden.
Meine Frage «Gibt es einen Grund, einen Docker-Container zu veröffentlichen, der bekannte Sicherheitslücken enthält?» wird weiterhin nicht beantwortet.
Wenn man versucht, zwischen den Zeilen zu lesen, könnte man die Antwort so verstehen, dass das BFS die Sicherheitslücken nicht für kritisch hält und deshalb der Docker-Container nicht aktualisiert wurde.
In einem weiteren Kommentar zu diesem Beitrag fragte das BFS, ursprünglich anonym, nach der Quelle für die Angaben der Bundeskanzlei zu sedex. Die Quelle war im Beitrag bereits verlinkt, was man beim BFS offensichtlich übersehen hatte.
Nachtrag 2: Veraltetes Alpine Linux für sedex?
Ein Leser weist darauf hin, dass eine veraltete Version von Alpine Linux für den sedex-Client verwendet wird:
«Das Docker Image basiert auf Alpine Linux 3.14, dass 2021 erschien und seit Mai 2023 EOL ist. Genauer gesagt basiert es auf 3.14.6, dass 2022 erschien (und seither wurde sich nicht mehr um das Image gekümmert); zu dem Zeitpunkt wäre bereits 3.15.x die aktuelle Version gewesen. Das ganze gipfelt dann noch in einem Murks, dass auf dem Alpine Linux Pakete von Arch Linux installiert werden, und weil das alles natürlich niemals kompatibel ist, sind noch irgendwelche Skripte und Pakte von irgendwelchen GitHub-Bastelprojekten als ‹Kompatibilitätslayer› 🙈.»
Und:
«Hätte es ein Audit gegeben wäre das nie und nimmer durchgekommen. Aber warum empfehlen die überhaupt Docker für den Client? Wer will sich denn das antun? Vor allem bei der Zielgeuppe …»
Bild: Microsoft Bing Image Creator.
Die Bundeskanzlei schreibt über den «sicheren Datenaustausch» mit sedex:
Was ist die Quelle dieses Zitats?
@Bundesamt für Statistik (BFS):
Ich habe mir erlaubt, das BFS als Absender dieses Kommentars zu nennen. Als Behörde sollten Sie nicht anonym auftreten müssen.
Zu Ihrer Frage:
Die Quelle ist im Beitrag verlinkt. Wenn Sie auf das verlinkte Wort «schreibt» klicken, gelangen Sie zur Quelle.
Nachfolgend direkt die URL:
https://www.bk.admin.ch/bk/de/home/digitale-transformation-ikt-lenkung/e-services-bund/services/sicherer-datenaustausch-sedex.html
Nicht wörtlich, aber inhaltlich sehr ähnlich sind auch die Informationen, die man am Weiterleitungsziel von http://www.sedex.ch präsentiert bekommt.
Fairerweise: Der Vuln Scanner von Docker Hub findet auch für aktuelle Debian Images diverse Schwachstellen. Häufig gleichen solche scanner nur Stumpf irgendwelche Versionen ab, statt effektiv nach Schwachstellen zu suchen. Deshalb gibt es z.B. bei Debian viele False positives, da Backports nicht erkannt werden.
@Tim:
Ja, das ist richtig. Ich gelangte deshalb mit einer entsprechenden Frage an das Bundesamt für Statistik (BFS). Leider wurde die Frage bislang nicht beantwortet … 🤷🏻♂️
Grundsätzlich ja. Aufgrund u.a. des Alters der Images ist aber in diesem Fall davon auszugehen, dass keine Patches oder Backports eingespielt wurden.
Sehr geehrter Herr Steiger
Der Kundendienst hat Ihre Anfrage sofort an unsere für Sicherheit zuständige Einheit weitergeleitet, wie dies in solchen Fällen immer geschieht. Wir erhalten auch regelmässig Rückmeldungen von professionellen Rechenzentren, welche sedex Clients betreiben und regelmässige Scans durchführen. Auch diese lassen wir immer umgehend analysieren und behandeln. Sicherheitskritische Schwachstellen werden sofort behoben.
Wir nehmen bei sedex die Sicherheit sehr Ernst: Neben regelmässigen bundesinternen Sicherheitsprüfungen lassen wir auch regelmässig Audits durch renommierte, externe Sicherheitsfirmen durchführen.
Vielen Dank für Ihre Hinweise.
Freundliche Grüsse
sedex Support