BAMF so: „Lass mal ’ne Beispieladresse nehmen.“
IT-Sicherheitsforscher so: „Halt mal mein Bier.“

Was war passiert? Das Bundesamt für Migration und Flüchtlinge (BAMF) hat sich gedacht, sie machen mal ein richtig modernes System zur Benutzerverwaltung. Delegierte Benutzerverwaltung nennen sie das. Klingt erstmal wie ein trockenes Kapitel aus der SAP-Bibel, ist aber in Wahrheit ein gigantischer Admin-Albtraum mit über 5.000 Leuten, die Adminrechte haben – weil: klar! Was könnte schon schiefgehen?

Nun ja.
Ein Forscher schaut sich das Testsystem an, sieht da einen „max.mustermann@testtraeger.de“ in den Screenshots und denkt sich: Moment mal. Gibt’s die Domain noch?

Spoiler: Ja.
Für 5,97 Euro gekauft, Catch-all-Mailadresse eingerichtet, Passwort-Zurücksetzen aufgerufen, Link kommt rein – zack: Admin-Zugriff. Kein 2FA, kein TAN, keine Smartcard, kein „Bitte bestätigen Sie Ihre Anfrage auf einem anderen Gerät“, nix. Einfach Klick und drin.

Ich wiederhole: Ein Admin-Account in einem offiziellen BAMF-System wurde mit einem Klick übernommen, weil jemand eine vergessene Testdomain nicht registriert hatte.

Und das ist kein Einzelfall, sondern ein strukturelles Totalversagen.
Nicht mal im Testsystem gibt es Sicherheitsvorkehrungen, weil – haltet euch fest – laut BAMF sei es ja wichtig, „möglichst produktionsnah“ zu testen. Ja, genau. Nur dass „produktionsnah“ beim BAMF offenbar heißt: „genauso unsicher wie das Original.“

Und jetzt kommt das Beste:
Dieser Max Mustermann war Admin für eine ganze Organisationseinheit. Bedeutet: Zugriff auf Namen, E-Mail-Adressen, Telefonnummern – und wer weiß was noch.

Und das alles, weil jemand vergessen hat, dass Domains ablaufen.
Weil jemand dachte, Beispieladressen seien harmlos.
Weil jemand dachte, man braucht in der Verwaltung keine Zwei-Faktor-Authentifizierung.

Ich sag’s mal so: Wenn selbst ein Social-Media-Konto bei TikTok besser geschützt ist als der Zugang zu personenbezogenen Daten Geflüchteter, dann haben wir vielleicht ein Problem.

Aber keine Sorge, das BAMF hat schnell reagiert. Nach wenigen Stunden war der Account gesperrt. Sogar die Datenschutzbehörde wurde informiert. Und die Nutzer:innen? Die haben natürlich nichts erfahren. Denn laut DSGVO sei das nicht nötig, solange kein „hohes Risiko“ bestehe.

Ach so!
Kein hohes Risiko, wenn Adminrechte über ein ungesichertes Passwort-Reset per Mail an eine frei registrierbare Adresse vergeben werden?
Na dann.

Was lernen wir daraus?

1. Beispieladressen sind keine Deko.
2. Wer Domains in Screenshots nutzt, sollte sie vielleicht auch besitzen.
3. IT-Sicherheit ist kein Add-On. Es ist die verdammte Grundlage jeder digitalen Verwaltung.
4. Und: Es ist 2025. Wer immer noch ohne 2FA unterwegs ist, hat komplett den Schuss nicht gehört.

PS: example.com und .test wurden nicht zum Spaß reserviert. Wer sowas ignoriert, ist nicht „pragmatisch“, sondern fahrlässig.

PPS: Beim BAMF arbeiten keine Anfänger. Aber man fragt sich langsam, ob das besser wäre.

quelle: https://netzpolitik.org/2025/bamf-wenn-max-mustermann-zum-sicherheitsproblem-wird/