Zum Inhalt springen

BundID: Umstellung der Verschlüsselungs- und Signierverfahren

Zuletzt geändert von MACH formsolutions am 19.08.2025

Inhaltsverzeichnis

Hintergrund

Aus Sicherheitsgründen verbessert das BMI die Sicherheitsverfahren der BundID-Anbindung. Um die BundID mit MACH formsolutions weiterzunutzen, müssen Sie bis zum 30.06.2025 im Self Service Portal BundID aktualisierte Metadaten hochladen. 

Ab dem Release 4.105.0 von MACH formsolutions sind neu heruntergeladene Konfigurationsdaten mit den neuen Sicherheitsverfahren ausgestattet.

Weitere Informationen

Weiterführende Informationen finden Sie im Informationsdokument des BMI: BundID_Umstellung_auf_neue_Verfahren.pdf

Auszug:

Aufgrund der Vorgaben des BSI in der TR 03116-4 sind folgende zwei Änderungen in der SAML-Kommunikation mit dem IDP der BundID zwingend erforderlich:
  1. Das Verschlüsselungsverfahren (EncryptionMethod) wird von "aes128-cbc" auf "aes128-gcm" (AES-GCM Mode) umgestellt.
  2. Das Signierverfahren (SigningMethod) wird von "rsa-sha256" auf "sha256-rsa-mgf1" (RSASSA-PSS) umgestellt.

Der BundID IDP unterstützt die neuen Verfahren bereits. Entsprechend empfehlen wir die schnellstmögliche Umstellung Ihrer Anbindung, da zu den bisher genutzten Verfahren ein bekannter Angriffsvektor existiert, sodass eine Kompromittierung möglich ist.

Anbindungen, die vor Einführung des Self Service Portal erstellt wurden

Wenn die BundID Anbindung noch vor Einführung des SSP mittels Excel-Dateien durchgeführt wurde, melden Sie sich wie beschrieben für Ihre Organisation im Self Service Portal an.
Es kann vorkommen, dass dort in der Konfiguration Ihre BMI ID der ursprünglichen Anbindung noch nicht hinterlegt ist. In diesem Fall wenden Sie sich bitte an den Support des Portals, um die ID mit Ihrer Organisation zu verknüpfen.

Durchführung der Aktualisierung

Mit einer Version vor 4.105.0 konfigurierte Anbindungen

Um die BundID-Anbindung einer bestehenden Konfiguration weiterhin zu nutzen:

  • Stellen Sie sicher, dass Sie auf einer aktuellen Formularserverversion arbeiten. Erforderlich ist eine Version ab 4.105.0.
    • Die Formularserverversion finden Sie im Menü "Hilfe".
  • Rufen Sie die Modulkonfiguration Ihres Mandanten auf.
  • Laden Sie die "ServiceProviderMetadaten.xml"-Datei für BundID neu herunter, wie unter Modulkonfiguration des Mandanten beschrieben.
  • Aktualisieren Sie mit den Inhalten der Datei die hinterlegten Metadaten im BundID Self Service Portal (SSP). 
    • Informationen zur Aktualisierung im SSP stellt das BMI im unter weitere Informationen verlinkten Dokument zur Verfügung.
  • Testen Sie die Anbindung, sobald die neuen Metadaten eingelesen wurden.

Mit einer Version ab 4.105.0 konfigurierte Anbindungen

Mit einer Formularserverversion ab 4.105.0 heruntergeladene "ServiceProviderMetadaten.xml"-Dateien zur BundID-Anbindung entsprechen schon den neuen Sicherheitsverfahren.
Sie müssen nichts aktualisieren.