Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Volkszählung 2011: Online-Datenübertragung ohne HTTPS

Jan Schejbal kritisiert, dass beim Zensus 2011 laut Musterfragebogen die Verbindung per unverschlüsseltem HTTP aufgebaut wird. Die Zensuskommission nehme Sicherheit offenbar nicht ernst, sagt Schejbal.
/ Achim Sawall
27 Kommentare News folgen (öffnet im neuen Fenster)
Zensuswerbung des Statistischen Bundesamts (Bild: Statistisches Bundesamt)
Zensuswerbung des Statistischen Bundesamts Bild: Statistisches Bundesamt

Bei der Volkszählung "Zensus 2011", die am 9. Mai 2011 beginnt, ist das Ausfüllen des Fragebogens im Internet unsicher. Das berichtet Jan Schejbal(öffnet im neuen Fenster) , der Experte, der die Schwachstelle in der AusweisApp des elektronischen Personalausweises aufgedeckt hat. Schejbal kritisiert, dass der erste Aufruf des Servers über unverschlüsseltes HTTP erfolgt.

Schejbal: "Laut dem Musterfragebogen zur Haushaltsbefragung werden die Leute, die den Fragebogen online ausfüllen wollen, auf www.zensus2011.de geleitet, sollen die Seite also per unverschlüsseltem HTTP aufrufen. Das ist unsicher, und ob danach sofort eine Umleitung auf HTTPS erfolgt, ist im Fall eines aktiven Angriffs irrelevant, da die erste Anfrage über HTTP rausgeht und somit vom Angreifer manipuliert werden kann, bevor der Server überhaupt was mitbekommt und den Nutzer umleiten kann."

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Softwareentwickler:in / Programmierer:in (w/m/d) in der Projektförderung Projektträger Jülich, Jülich (öffnet im neuen Fenster)
IT-Spezialist (m/w/d) Graebert GmbH, Berlin (öffnet im neuen Fenster)
GIS Specialist Geodatenmanagement (m/w/d) TenneT TSO GmbH, Bayreuth,Hannover,Lehrte (öffnet im neuen Fenster)
IT Operator (m/w/d) emz - Hanauer GmbH & Co KGaA, Nabburg (öffnet im neuen Fenster)
Mitarbeiter:innen IT-Koordination der kvw-Fachreferate (w/m/d) Kommunale Versorgungskassen Westfalen-Lippe, Münster (öffnet im neuen Fenster)
Partnermanager (m/w/d) Schwerpunkt Public Sector TRIOLOGY GmbH, Braunschweig (öffnet im neuen Fenster)
Development Engineer, Sound Coding (m/f/d) MED-EL Medical Electronics, Innsbruck (öffnet im neuen Fenster)
IT-Administrator für die Schul-IT (m/w/d) Öffentlicher Dienst Stadt Nürtingen, Nürtingen (öffnet im neuen Fenster)

Diese Art des Man-in-the-middle-Angriffs wurde mit der Software Sslstrip von Moxie Marlinspike demonstriert. Das Tool wurde auf der Black Hat DC 2009 vorgestellt.

Laut Schejbal zeige das Vorgehen des Statistischen Bundesamtes und der Zensuskommission, dass Sicherheit offenbar nicht ernst genommen werde. "Die Lösung wäre einfach gewesen: ein https:// auf den Zensusbogen zu schreiben und darauf hinzuweisen, dass diese Adresse exakt einzugeben ist" . Die Zensus-Seite für das Onlineausfüllen ist noch nicht online.

Der FoeBuD (Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs) hat den Zensus 2011 mit dem BigBrotherAward 2011 bedacht. "Mit der aktuellen Volkszählung werden sensible Persönlichkeitsprofile von über 80 Millionen Menschen erstellt, die bis zu vier Jahre nach dem Stichtag am 9. Mai 2011 personenbezogen verfügbar sind. Dabei werden Daten aus Melderegistern, von der Bundesagentur für Arbeit und von bundesbehördlichen Arbeitgebern zweckentfremdet, ohne dass die Betroffenen rechtzeitig und ausreichend darüber informiert werden oder dem widersprechen könnten" , lautete die Begründung.

Zur Startseite 27 Kommentare

Relevante Themen

PolitikDatenschutzSecurityCybercrimeDatensicherheitVorratsdatenspeicherungServer