Abo
  • Services:
Anzeige
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen.
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen. (Bild: EFF)

Security: Der Internetminister hat Heartbleed

Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen.
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen. (Bild: EFF)

Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur war für eine seit fast zwei Jahren geschlossene, kritische Sicherheitslücke anfällig. Das kompromittierte Zertifikat wird weiterhin verwendet.

Die Admins der Webseite des Bundesministeriums für Verkehr und Digitale Infrastruktur (BMVI) haben in den vergangenen zwei Jahren offenbar geschlafen. Wie Heise berichtet, war die Webseite des Ministeriums bis vor wenigen Tagen noch für Heartbleed anfällig. Nach einem Hinweis an das CERT-Bund sei die Software dann aber innerhalb von zwei Tagen auf den neuesten Stand gebracht worden. Doch nach wie vor ist der Fehler nicht vollständig behoben.

Anzeige

Mit Heartbleed wird ein Fehler in einer älteren Version von OpenSSL beschrieben. Der Fehler ermöglicht unter bestimmten Bedingungen das Auslesen privater Informationen eines Servers, unter Umständen kann das auch den privaten Schlüssel beinhalten. Der Fehler lag in der Heartbeat-Funktion, mit der ein Kommunikationsteilnehmer in regelmäßigen Abständen prüfen kann, ob noch eine Verbindung zum Server besteht. Eigentlich werden in diesem Fall nur wenige Zeichen vom Server abgefragt.

Mit Heartbleed konnten aber deutlich mehr Informationen abgerufen werden, die dann eben auch vertraulichen Inhalt enthalten können. Mit mehreren so manipulierten Anfragen ist es unter Umständen möglich, den privaten Schlüssel eines Servers zu rekonstruieren, wenn dieser verwundbar ist.

Heartbleed wurde prominent vermarktet

Heartbleed gilt als die erste Sicherheitslücke, die mit einem Logo und einem Namen prominent angekündigt wurde. Dementsprechend gab es eine große Aufmerksamkeit auch in Mainstream-Medien und die Patchrate war sehr hoch. Innerhalb weniger Tage hatten die meisten der Alexa-Top-1000-Seiten ihre Server auf den neuesten Stand gebracht. Dobrindts Ministerium offenbar nicht. Dementsprechend bekam die Webseite nach Angaben von Heise im Qualys-SSL-Test bis vor einigen Tagen ein F - die schlechteste Note. Mittlerweile wurde die Software zwar auf den aktuellen Stand gebracht. Doch das möglicherweise kompromittierte Zertifikat wurde noch nicht ausgetauscht. Auf Anfrage konnte das Ministerium noch keinen Termin für den Austausch nennen.

Ein Angreifer könnte nach der Extraktion des Zertifikats Webseiten aufsetzen, die vorgeben, eine offizielle Webseite der Bundesregierung, in diesem Fall das Ministerium selbst, zu sein. Dass der Austausch so lange dauert, ist daher problematisch. Die Webseite des Ministeriums wird vom Dienstleister Init betrieben.

Alexander Dobrindt ist mit seinem Ministerium zuständig für den Ausbau der "digitalen Infrastruktur", erst kürzlich wurde verkündet, in welche Projekte das Ministerium 420 Millionen an Fördergeldern für den Breitbandausbau investiert.


eye home zur Startseite
bombinho 01. Mai 2016

Dann muessen die aber sehr gut bezahlt werden, denn die muessen ja dann erst einmal...

thomas42 29. Apr 2016

Tja, so ist es gewollt: Die Leistung wird ausgeschrieben, der billigste kriegt den...



Anzeige

Stellenmarkt
  1. Allplan Development Germany GmbH, München
  2. operational services GmbH & Co. KG, Stuttgart
  3. Bosch Software Innovations GmbH, Waiblingen
  4. über Ratbacher GmbH, Hamburg


Anzeige
Spiele-Angebote
  1. 14,99€
  2. 22,13€ inkl. Versand
  3. 18,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. The Dash

    Bragi bekommt Bluetooth-Probleme nicht in den Griff

  2. Bugs in Encase

    Mit dem Forensik-Tool die Polizei hacken

  3. Autonomes Fahren

    Verbraucherschützer fordern "Algorithmen-TÜV"

  4. The Last Guardian im Test

    Gassi gehen mit einem computergesteuerten Riesenbiest

  5. E-Sport

    Cheats und Bots in Südkorea offenbar gesetzlich verboten

  6. Videocodecs

    Netflix nutzt VP9-Codec für Offlinemodus

  7. Kosmobits im Test

    Tausch den Spielecontroller gegen einen Mikrocontroller!

  8. Open Data

    Daten für den Schweizer Verkehr werden frei veröffentlicht

  9. Telekom

    1,1 Millionen Haushalte erhalten VDSL oder Vectoring

  10. Android-Verbreitung

    Nougat bleibt bei niedrigem Marktanteil



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Super Mario Bros. (1985): Fahrt ab auf den Bruder!
Super Mario Bros. (1985)
Fahrt ab auf den Bruder!
  1. Quake (1996) Urknall für Mouselook, Mods und moderne 3D-Grafik
  2. NES Classic Mini im Vergleichstest Technischer K.o.-Sieg für die Original-Hardware

HPE: Was The Machine ist und was nicht
HPE
Was The Machine ist und was nicht
  1. IaaS und PaaS Suse bekommt Cloudtechnik von HPE und wird Lieblings-Linux
  2. Memory-Driven Computing HPE zeigt Prototyp von The Machine
  3. Micro Focus HP Enterprise verkauft Software für 2,5 Milliarden Dollar

Breath of the Wild: Spekulationen über spielbare Zelda
Breath of the Wild
Spekulationen über spielbare Zelda
  1. Konsole Nintendo gibt Produktionsende der Wii U bekannt
  2. Hybridkonsole Nintendo will im ersten Monat 2 Millionen Switch verkaufen
  3. Switch Nintendo erwartet breite Unterstützung durch Entwickler

  1. Das gibtsdoch schon lange....

    bernstein | 15:02

  2. Re: Helikopter-App

    Sascha Klandestin | 15:00

  3. Re: Und dann ist es vorbei ...

    Peter Brülls | 15:00

  4. Re: Einsatzmöglichkeiten?

    sogos | 15:00

  5. Re: TÜV sollte erst mal üben

    F1ndus | 14:58


  1. 14:54

  2. 14:50

  3. 14:14

  4. 14:00

  5. 13:56

  6. 13:30

  7. 12:01

  8. 11:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel