Es ist das nächste Digitalisierungsdesaster: Im September 2023 ist die digitale KFZ-Zulassung in Deutschland gestartet. Nun ist dieses Digitalisierungsprojekt weitgehend wegen Sicherheitsmängeln schlicht wieder gestoppt worden. Denn das Kraftfahrtbundesamt (KBA) wird gut Zweidrittel der KFZ-Zulassungsstellen in Deutschland den Zugang sperren. Grund sind Sicherheitsmängel, die wohl nach dem Desaster des Cyberangriffs auf die Südwestfalen IT (SIT) die Verantwortlichen im KBA bewogen haben, die "Notbremse" zu ziehen und abzuschalten. Ergänzung: Ich hatte die Gelegenheit, einen Prüfbericht einzusehen.
Anzeige
Internetbasierte Fahrzeugzulassung (i-KFZ)
Einen griffigen Namen hatte das Projekt schon – die internetbasierte Fahrzeugzulassung – kurz als i-KFZ bezeichnet. Laut Bundesministerium für Digitales und Verkehr (BMDV) sollten Bürgerinnen und Bürger ihr Fahrzeug online an-, ab- und ummelden, und sich so den Weg zur Zulassungsstelle und die Wartezeit vor Ort sparen können.
i-KFZ; Quelle: BVDV
Das Bundesministerium für Digitales und Verkehr (BMDV) startet dazu das Projekt i-Kfz, um das Fahrzeugzulassungswesen in Deutschland zu digitalisieren. Mit dem Inkrafttreten der Neufassung der Fahrzeug-Zulassungsverordnung zum 1. September 2023 und der damit einhergehenden Umsetzung von i-Kfz Stufe 4 sollte das Verfahren vollständig automatisiert und vereinfacht werden.
Eine bedeutende Neuerung im Verfahren sollte beispielsweise die sofortige Inbetriebsetzung sein. Damit kann das mit i-Kfz zugelassene Fahrzeug direkt im Straßenverkehr genutzt werden. Zudem werden die Kosten für die internetbasierte Zulassung im Vergleich zur Anmeldung in der Zulassungsbehörde vor Ort deutlich abgesenkt.
Die Umsetzung der Online-Fahrzeugzulassung obliegt – wie alle zulassungsrechtlichen Aufgaben – den Bundesländern und Kommunalverwaltungen, schreibt das Ministerium auf seiner Webseite. Diese stellen entsprechende i-Kfz-Portale zur Verfügung, die seit dem 1. September 2023 auf i-Kfz Stufe 4 aufgerüstet werden müssen. Weitere Informationen zum Verfahren sind daher auf der Internetseite der zuständigen Zulassungsbehörde zu finden. Die BMDV-Seite enthält eine Auflistung weiterer Vorteile wie Großkundenschnittstellen etc.
Sicherheitsmängel bremsen i-KFZ
Dass deutsche Verwaltungen bezüglich der Digitalisierung und vor allem hinsichtlich der Sicherheit eher schlecht aufgestellt sind, zeigen die ständig auftretenden Cybervorfälle in Kommunen. Zum 30. Oktober 2023 kam es ja durch einen Cyberangriff auf die Südwestfalen IT (SIT) – ein IT-Dienstleister für Kommunen – zur "kommunalen Kernschmelze" (siehe Links am Artikelende). An die 200 Kommunen in Deutschland sind seit dieser Zeit nicht mehr in der Lage auf die Fachverfahren, die die Südwestfalen IT (SIT) bereitstellen soll, zuzugreifen. Auch aktuell versucht man noch von der SIT einzelnen Fachverfahren in einem Notbetrieb für Pilotkommunen im Rahmen eines Wiederanlaufs bereitzustellen.
Dieser Vorfall dürfte ein Weckruf für einige Verantwortliche in Digitalisierungsprojekten des Bunds gewesen sein. Die digitale Anbindung vieler KFZ-Zulassungsstellen an das Kraftfahrtbundesamt (KBA) sowie die Vernetzung bei i-KFZ kann nur funktionieren, wenn die internetbasierte Fahrzeugzulassung sicher und fehlerfrei abgewickelt werden kann (das soll ja alles vernetzt und automatisch ablaufen).
Anzeige
Nun berichten verschiedene Medien wie die Automobilwoche (leider nur hinter einer Paywall abrufbar) oder heise, dass das Kraftfahrt-Bundesamt (KBA) voraussichtlich vielen deutschen Zulassungsstellen zum Jahresende 2023 die Möglichkeit sperren werde, Autozulassungen per i-Kfz vorzunehmen. Als Grund gibt die Automobilwoche mangelnde Sicherheit an und beruft sich auf Aussagen des Kraftfahrt-Bundesamt (KBA).
Heise zitiert die Aussage: "Laut KBA entsprächen die Computersysteme vieler Zulassungsstellen nicht den Sicherheitsmindeststandards.". Florian Cichon, der Vorstandsvorsitzenden des Zulassungsdienstleisters PremiumZulasser, geht davon aus, dass fast 70 Prozent aller Behörden Zulassungen und andere Aufträge vorerst wieder nur in Papierform bearbeiten können. Diese Information findet sich im Artikel PremiumZulasser: Zurück zum Papier, der auf der Webseite von PremiumZulasser eG abrufbar ist.
PremiumZulasser eG ist seit Gründung im Juni 2018 als eingetragene Genossenschaft ein Netzwerk selbstständiger Zulassungsdienstleister Deutschlands. Im Focus der Mitglieder und ihrer Betriebe stehen im Besonderen die Nutzung einheitlicher Softwaresysteme und die Erbringung gemeinsamer bundesweiter Zulassungsdienstleistungen.
Bei PremiumZulasser heißt es im Artikel, dass zuerst Cyberattacken viele Zulassungsbehörden lahm legten (das ist in meinen Augen implizit der Bezug auf den Cybervorfall bei der Südwestfalen IT, der auch die Zulassungsstellen der betroffenen Kommunen tangierte). Und nun stolperten die Behörden über Unzulänglichkeiten bei der Einführung der digitalen Kraftfahrzeugzulassung i-Kfz. Zum Jahreswechsel werde das Kraftfahrtbundesamt (KBA) voraussichtlich 284 von 415 bundesweiten Zulassungsstellen den Onlinezugang sperren, weil deren Systeme nicht die Sicherheitsmindeststandards erfüllen.
Zum Thema Sicherheitsmindeststandards muss man wissen, dass das Kraftfahrtbundesamt die Internetbasierte Fahrzeugzulassung (i-Kfz) Mindestsicherheitsanforderungen an die internetbasierte Fahrzeugzulassung (MSA-i-Kfz) Version 1.5 (Stand April 2023) voraussetzt (abrufbar auf seiner Download-Seite). Dieses Dokument enthält die Anforderungen, welche die Hersteller und Betreiber von i-Kfz-Portalen erfüllen müssen. Das 92 Seiten umfassende Dokument beschreibt nicht nur die Architektur des Ganzen samt Kommunikationswegen (per s IPSec-Tunnel) und Sicherheitsanforderungen. Es werden auch organisatorische Anforderungen (z.B. Bestellung eines Informationssicherheitsbeauftragten (ISB) und Einführung eines Informationssicherheitsmanagementsystems (ISMS) etc.) angesprochen. Das ist wohl bei vielen Zulassungsstellen nicht gegeben und es wird zum Schutz des Gesamtsystems der digitale Zugang zu i-KFZ abgeschaltet. Die Zulassungsbehörden müssen wieder mit Papier arbeiten.
Auditierung erforderlich
Wenn ich es richtig mitbekommen habe, müssen sich die Teilnehmer am i-KFZ auditieren lassen. Ich hatte Gelegenheit, einen solchen Prüfbericht aus dem Jahr 2021 einzusehen (also noch deutlich vor dem oben referenzierten Dokument mit den Mindestanforderungen MSA-i-KFZ V 1.5 von April 2023.
Im Prüfbericht wurden 22 Schwachstellen identifiziert, eine ganze Reihe in der Kategorie "Nichtbeachtung von KBA-Vorgaben", aber auch "Veraltete Software" oder "unbekannte Software/Zuständigkeiten". Die Verstöße wurden als hohes Risiko ausgewiesen. Dort wurde das System ohne Beachtung der KBA-Vorgaben aufgebaut und war so nicht zulassungsfähig.
Auf der Webseite von PremiumZulassung eG habe ich noch diesen undatierten Artikel gefunden, der besagt, dass zum Start von i-Kfz zum 1. September 2023 nur eine von fünf Zulassungsstellen technisch und personell in der Lage war, mit i-Kfz Stufe 4, dem neuen, digitalen Zulassungsportal des Bundes, zu arbeiten. Auf der Download-Seite des KBA findet sich auch das Verzeichnis der i-Kfz Stufe 4 fähigen Zulassungsbehörden. Vielleicht wird da gerade was abgeschaltet und keiner merkt es? Wann das Kraftfahrt-Bundesamt (KBA) abgeschaltete Digitalzugänge wieder aktiviert, sei bisher unklar, heißt es weiter.
Ähnliche Artikel:
Inros Lackner SE: Gab es einen Cyberangriff bei der Firma? Ja!
Convotis: ASP-Probleme mit GeigerCloud/GeigerASP; DATEV-Steuerberater betroffen
Neues vom Cybervorfall bei Convotis (GeigerCloud/GeigerASP), Desaster für Steuerberater?
netgo Opfer eines Cyberangriffs? (6. Nov. 2023)
Solvenius GmbH Webseite nicht erreichbar – hat jemand Informationen, was los ist?
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen
Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?
"Cyber-Angriff" auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?
LKA BW: Warnung an Krankenhäuser und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen
Citrix Bleed: Schwachstelle CVE-2023-4966 verrät Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verfügbar
Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus
2015
Kraftfahrtbundesamt (KVB) oder doch „KBA"?
Imho KBA – siehe URL
Und dazu das passende Bild:
Ein 1300er Käfer mit Tiefbettfelgen und Breitreifen hinten….
das war eben noch ne Ikone, anders als der Neue Beetle ;-P dazu den Porsche Motor und du hast nen richtiges Juwel .
b2t:
Digitalisierung in Deutschland, wer hat anderes erwartet? Selbst die Wirtschafstelite kriegt es ja nicht gebacken, was sollen dann da Beamte tun… Digitalisierung ist zu schnell für Beamtenmikado ;-P
Hallo,
was heißt denn dieser Satz genau?
Denn das Kraftfahrtbundesamt (KVB) wird gut Zweitdrittel der KFZ-Zulassungsstellen in Deutschland den Zugang gesperrt.
KVB? Zweitdrittel?
Ist korrigiert – die Nacht waren halt alle Katzen grau.
"Laut KBA entsprächen die Computersysteme vieler Zulassungsstellen nicht den Sicherheitsmindeststandards."
Bedeutet in dem Fall aber, dass es erstmal kein Problem mit dem Verfahren selbst gibt. Sondern das Problem in der Zulassungsstelle liegt. Keine Ahnung, wie die sich organisiert haben. Aber die Vermutung liegt nahe, dass es an fehlenden finanziellen Mitteln hängt.
Moin,
häufig fehlt auch das Personal. Viele haben auch noch keinen ISMS. Auch dann eine Doku dahinter und Richtlinien sind meist nicht erstellt.
Generell die BSI-Basisabsicherung ist auch nur von wenigen umgesetzt.
Ist aber auch ein Punkt, an dem dann gerne gespart wird. Sicherheit ist erstmal nicht greifbar bis etwas passiert 🤷
MfG,
Blackii
Die "BSI Basisabsicherung" die sich auf alte Versionen bezieht? Gibt es das auch "Patchday aktuell"?
Na gut, du hast Rechte. Dann lieber IT-Grundschutz Profil Basis-Absicherung Kommunalverwaltung. Ist von März 2022 statt Oktober 2017 ^^
Für eine Onlinezulassung würde doch eigentlich eine Zulassungsstelle reichen. Meinetwegen zwei oder drei für Redundanz und Konkurrenz von Betreibern von Zulassungsstellen. Aber doch nicht 400+ unterschiedliche / individuelle Systeme.
Das sagt einem zwar die Vernunft, dem steht aber die Zuständigkeit der Kreisverwaltungen gegenüber. Das ist bei vielen Sachen so, die Zuständigkeiten bei Land, Kreis oder Kommunen liegen.
Moin,
sprich, es kann sein, dass ein bei einem Landkreis alle Kommunen über ein Rechenzentrum zusammen ein Fachverfahren haben oder auch, dass jede Kommune dieses selbst betreibt.
Bei OZG nicht anders bescheiden. Da würde ich Onlineprogramme/Anträge zentral von den Bundesministerien besser finden. Mit dem EfA Prinzip kann es da auch vorkommen, dass jede Kommune etwas für sich macht oder das Produkt von dem entwickelnden Bundesland übernimmt.
MfG,
Blackii
Solange dieses Problem nicht behoben ist, führen alle Digitalisierungen ins inkompatible Chaos.
Beim aktuell laufenden Führerschein Umtausch musste die ehemals ausstellende Behörde dem nach Umzug aktuellen Ordnungsamt per Fax oder Brief irgendwas bestätigen, was man als Führerschein Besitzer vor dem Umtausch selbst anstossen musste…
Vielleicht ist es möglich die Verfahren für ganz Deuschland und später für Europa in Westfalen oder besser in Südwestfalen zu zentralisieren.
Wenn keine Girocard hat, kommt bei uns nicht weit. Jegliche Online KFZ Tätigkeit, wird von unserer Zulassungsstelle nur mit Giropay angeboten. Dabei bietet das System von Haus aus schon mehr Zahlungsmöglichkeiten. Es krankt also an noch einer anderen Ecke von KFZ Online ;-(
Da krankt das aber vorsätzlich an irgendeinem Menschen, der da seinen Kopf durchsetzt und nicht am System selbst.
Da fragt man sich doch, wie die Anforderungen bei allen beteiligten Stellen bzgl. der neuen Patientenakte und dem eRezept und deren Umsetzung aussehen. Bei der riesigen Menge an Ärzten mit IT-Kompetenz … Macht da dann auch mal jemand ein Datenschutzaudit? Also wenn ich mir die DSGVO anschaue … Risikofolgenabschätzung, Auftragsdatenverarbeitungsverträge, Schulungen und Verpflichtungen der Beteiligten, etc. etc.
Ich persönlich habe da meine Zweifel. Aber was sind schon Gesundheitsdaten des Betroffenen gegenüber den KFZ-Daten …
"Bei der riesigen Menge an Ärzten mit IT-Kompetenz …"
Arztpraxis: "Können Sie Ihre Medikamentenliste nicht per E-Mail zusenden?"
Apotheke: "Können Sie Ihre Medikamentenliste nicht per E-Mail zusenden?"
… natürlich ohne Ende-zu-Ende-Verschlüsselung. Die Daten landen dann ohne besonderen Schutz bei GMX & Co., Google, Microsoft, Server von Lokalredaktionen und anderen Arbeitgebern und vielen anderen. Damit wird sichergestellt, dass Cyberangreifer überall auch an diese Daten kommen, egal wen sie angreifen …
Eine breite Streuung unserer persönlichsten Daten ist garantiert!
Unsere Bundesregierung nennt das "Wachstumschancengesetz" mit elektronischen Rechnungen für alle (Business to Business) verpflichtend, die dann auch einfach per E-Mail gesendet und auf allen möglichen Cloudsystemen mehr oder weniger gesichert zur Verfügung stehen.
Für internationale Cyberangreifer sind die Wachtumschancen sicher!
Zum Update mit dem "Prüfbericht":
"[…] aber auch "Veraltete Software" oder "unbekannte Software/Zuständigkeiten"[…]"
Das passt zu meinen Recherchen beim Landkreis Ludwigsburg und dem Land Baden-Württemberg in anderer Sache, nachdem der Landkreis Ludwigsburg bereits 2019/2020 mit der Schadsoftware "Emotet" per E-Mail konfrontiert wurde und im Mai 2023 dann schon wieder per E-Mail und per Download aus dem Internet unerwünschte Software auf "rund 50" Systemen installiert wurde. Wenn dann noch Pressemitteilungen mit dem Hinweis auf eine alte Office-Software erstellt und versendet werden, kann es mit der Cybersicherheit nicht gut aussehen.
Doch alles passt auch im Rahmen der von der Politik bestimmten Zwangsdigitalisierung in allen Lebensbereichen nach und nach ins Bild.