• IT-Karriere:
  • Services:

Keine Verschlüsselung mit der CSU

Ob eine Webseite HTTPS unterstützt oder nicht, ist für den Besucher der Seite das sichtbarste Zeichen dafür, wie viel Wert auf Sicherheit gelegt wird. HTTPS führt bekanntlich nicht nur dazu, dass die Verbindungen zu einer Webseite verschlüsselt sind, es sorgt auch für die Echtheit der Daten und verhindert etwa, dass Internetprovider oder WLAN-Betreiber unerwünschte Veränderungen an Webseiten vornehmen.

Stellenmarkt
  1. SCOOP Software GmbH, Köln, Hamburg, Wiesbaden, Bonn
  2. Fiducia & GAD IT AG, Karlsruhe, München, Münster

SPD, CDU und Linkspartei nutzen zumindest auf ihren zentralen Parteiwebseiten standardmäßig HTTPS. Bei den Grünen ist HTTPS nur optional. Konsequent gegen verschlüsselte und authentifizierte Verbindungen ist man bei der CSU. Wer versucht, die CSU-Webseite via HTTPS aufzurufen, wird auf die unsichere HTTP-Version weitergeleitet.

Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne HTTPS-Absicherung. Unter csu-shop.de kann man von Bierkrügen bis zu Lederhosen viele Fanartikel mit Parteilogo bestellen.

Auf unseren Hinweis hin teilte uns die CSU mit, dass unsere Befürchtungen unzutreffend sind. Die Seite sei sehr wohl über HTTPS verfügbar. Das ist zwar korrekt - die Seite lässt sich über HTTPS abrufen. Allerdings werden Besucher standardmäßig auf die ungesicherte Version geleitet, etwa durch einen Link von csu.de.

Auch das Loginformular wurde standardmäßig unverschlüsselt abgerufen - ein Vorgehen, vor dem moderne Browser inzwischen warnen. Zumindest das wurde nach unserem Hinweis geändert, allerdings hilft das nicht viel. Wenn die Hauptseite ungesichert aufgerufen wird, kann ein Angreifer den Link auf das Login manipulieren.

Viagra-Werbung statt Parteiwerbung

Während unserer Recherche sind wir auf zahlreiche Seiten - nicht nur von Parteien - gestoßen, die offenbar erst vor kurzem gehackt wurden und seitdem dubiose Onlinehändler mit Viagra und anderen potenzsteigernden Mitteln im Angebot bewerben. Darunter befanden sich die SPD Bergedorf und die FDP Hamburg-Nord. Inzwischen ist die Viagra-Werbung wieder entfernt, über den Google-Cache lässt sich der Hack aber noch nachvollziehen.

Wie genau diese Seiten gehackt wurden, wissen wir nicht. Die FDP Hamburg-Nord wird mit Wordpress betrieben und nutzt nicht die aktuelle Version. Bei der SPD Bergedorf wird Typo3 genutzt, ob die Version aktuell ist, lässt sich nicht trivial herausfinden.

Wir haben alle Parteien über unsere Funde informiert. Darunter waren auch viele weitere Kleinigkeiten, etwa veraltete Content-Management-Systeme von Kandidaten oder Cross-Site-Scripting-Lücken.

Für unsere Recherchen haben wir die Daten des Projekts Wen wählen? zur Verfügung gestellt bekommen. Damit hatten wir eine Liste von zahlreichen Webseiten von Bundestagskandidaten. Diese Daten sind von Parteien und Kandidaten selbst ausgefüllt worden und daher natürlich unvollständig. Mittels verschiedener Scans haben wir nach Sicherheitslücken und veralteten Content-Management-Systemen gesucht. Bei den Webseiten der Bundesparteien haben wir teilweise manuell nachgeforscht.

Keine Partei überzeugt

Wirklich überzeugen konnte keine Partei in Sachen Websicherheit. Angesichts der im Vorfeld doch sehr intensiv geführten Diskussionen über eine mögliche Einflussnahme von Hackern auf die Bundestagswahl überrascht das.

Wir haben alle Parteien um eine Stellungnahme gebeten und auch gefragt, welche Maßnahmen dort ergriffen wurden, um Seiten abzusichern und ob etwa Security-Audits durchgeführt wurden. Die Grünen haben diese Frage als einzige beantwortet: "Wir haben gruene.de für den Wahlkampf mit einem DDoS-Schutz sowie einem Loadbalancer mit den dementsprechenden redundanten Servern ausgestattet. Des Weiteren stehen wir mit externen Sicherheitsfirmen in Kontakt." Der Verweis auf DDoS-Schutz und Loadbalancer klingt dabei allerdings eher nach: Thema verfehlt.

Nachtrag vom 21. September 2017, 17:43 Uhr

Wir hatten ursprünglich geschrieben, dass auf den Status-Seiten von lokalen Grünen-Webseiten IP-Adressen von Besuchern zu sehen gewesen seien. Es handelte sich jedoch lediglich um IP-Adressen der Hostingfirma. Der Artikel wurde entsprechend angepassst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

benurb 29. Sep 2017

Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft...

shr70 26. Sep 2017

Die V-Partei hatte auch eine sehr ernsthafte Lücke. Wordpress wurde in der neusten...

dantist 22. Sep 2017

Ich war anfangs Mitglied und habe das ganze Elend mitbekommen. Es wurden z.B. mehrfach...

Tantalus 22. Sep 2017

Die CSU offenbar schon: Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne...

KuJo 21. Sep 2017

"Dann freu dich aufs Neuland!" (Ist das aktuelle Motto der Piraten) -> https://www...


Folgen Sie uns
       


Yakuza - Like a Dragon - Gameplay (Xbox Series X)

Im Video zeigt Golem.de, wie Yakuza - Like a Dragon auf der Xbox Series X aussieht.

Yakuza - Like a Dragon - Gameplay (Xbox Series X) Video aufrufen
Serien & Filme: Star Wars - worauf wir uns freuen können
Serien & Filme
Star Wars - worauf wir uns freuen können

Lange sah es so aus, als liege die Zukunft von Star Wars überwiegend im Kino. Seit dem Debüt von Disney+ und dem teils schlechten Abschneiden der neuen Filme hat sich das geändert.
Von Peter Osteried

  1. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
  2. Star Wars Squadrons im Test Die helle und dunkle Seite der Macht
  3. Disney+ Erster Staffel-2-Trailer von The Mandalorian ist da

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

    •  /