Abo
  • Services:

Keine Verschlüsselung mit der CSU

Ob eine Webseite HTTPS unterstützt oder nicht, ist für den Besucher der Seite das sichtbarste Zeichen dafür, wie viel Wert auf Sicherheit gelegt wird. HTTPS führt bekanntlich nicht nur dazu, dass die Verbindungen zu einer Webseite verschlüsselt sind, es sorgt auch für die Echtheit der Daten und verhindert etwa, dass Internetprovider oder WLAN-Betreiber unerwünschte Veränderungen an Webseiten vornehmen.

Stellenmarkt
  1. Visteon Electronics Germany GmbH, Karlsruhe
  2. Marc Cain GmbH, Bodelshausen

SPD, CDU und Linkspartei nutzen zumindest auf ihren zentralen Parteiwebseiten standardmäßig HTTPS. Bei den Grünen ist HTTPS nur optional. Konsequent gegen verschlüsselte und authentifizierte Verbindungen ist man bei der CSU. Wer versucht, die CSU-Webseite via HTTPS aufzurufen, wird auf die unsichere HTTP-Version weitergeleitet.

Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne HTTPS-Absicherung. Unter csu-shop.de kann man von Bierkrügen bis zu Lederhosen viele Fanartikel mit Parteilogo bestellen.

Auf unseren Hinweis hin teilte uns die CSU mit, dass unsere Befürchtungen unzutreffend sind. Die Seite sei sehr wohl über HTTPS verfügbar. Das ist zwar korrekt - die Seite lässt sich über HTTPS abrufen. Allerdings werden Besucher standardmäßig auf die ungesicherte Version geleitet, etwa durch einen Link von csu.de.

Auch das Loginformular wurde standardmäßig unverschlüsselt abgerufen - ein Vorgehen, vor dem moderne Browser inzwischen warnen. Zumindest das wurde nach unserem Hinweis geändert, allerdings hilft das nicht viel. Wenn die Hauptseite ungesichert aufgerufen wird, kann ein Angreifer den Link auf das Login manipulieren.

Viagra-Werbung statt Parteiwerbung

Während unserer Recherche sind wir auf zahlreiche Seiten - nicht nur von Parteien - gestoßen, die offenbar erst vor kurzem gehackt wurden und seitdem dubiose Onlinehändler mit Viagra und anderen potenzsteigernden Mitteln im Angebot bewerben. Darunter befanden sich die SPD Bergedorf und die FDP Hamburg-Nord. Inzwischen ist die Viagra-Werbung wieder entfernt, über den Google-Cache lässt sich der Hack aber noch nachvollziehen.

Wie genau diese Seiten gehackt wurden, wissen wir nicht. Die FDP Hamburg-Nord wird mit Wordpress betrieben und nutzt nicht die aktuelle Version. Bei der SPD Bergedorf wird Typo3 genutzt, ob die Version aktuell ist, lässt sich nicht trivial herausfinden.

Wir haben alle Parteien über unsere Funde informiert. Darunter waren auch viele weitere Kleinigkeiten, etwa veraltete Content-Management-Systeme von Kandidaten oder Cross-Site-Scripting-Lücken.

Für unsere Recherchen haben wir die Daten des Projekts Wen wählen? zur Verfügung gestellt bekommen. Damit hatten wir eine Liste von zahlreichen Webseiten von Bundestagskandidaten. Diese Daten sind von Parteien und Kandidaten selbst ausgefüllt worden und daher natürlich unvollständig. Mittels verschiedener Scans haben wir nach Sicherheitslücken und veralteten Content-Management-Systemen gesucht. Bei den Webseiten der Bundesparteien haben wir teilweise manuell nachgeforscht.

Keine Partei überzeugt

Wirklich überzeugen konnte keine Partei in Sachen Websicherheit. Angesichts der im Vorfeld doch sehr intensiv geführten Diskussionen über eine mögliche Einflussnahme von Hackern auf die Bundestagswahl überrascht das.

Wir haben alle Parteien um eine Stellungnahme gebeten und auch gefragt, welche Maßnahmen dort ergriffen wurden, um Seiten abzusichern und ob etwa Security-Audits durchgeführt wurden. Die Grünen haben diese Frage als einzige beantwortet: "Wir haben gruene.de für den Wahlkampf mit einem DDoS-Schutz sowie einem Loadbalancer mit den dementsprechenden redundanten Servern ausgestattet. Des Weiteren stehen wir mit externen Sicherheitsfirmen in Kontakt." Der Verweis auf DDoS-Schutz und Loadbalancer klingt dabei allerdings eher nach: Thema verfehlt.

Nachtrag vom 21. September 2017, 17:43 Uhr

Wir hatten ursprünglich geschrieben, dass auf den Status-Seiten von lokalen Grünen-Webseiten IP-Adressen von Besuchern zu sehen gewesen seien. Es handelte sich jedoch lediglich um IP-Adressen der Hostingfirma. Der Artikel wurde entsprechend angepassst.

 Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 59,99€
  2. 28,99€
  3. 99,99€
  4. 59,99€

benurb 29. Sep 2017

Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft...

shr70 26. Sep 2017

Die V-Partei hatte auch eine sehr ernsthafte Lücke. Wordpress wurde in der neusten...

dantist 22. Sep 2017

Ich war anfangs Mitglied und habe das ganze Elend mitbekommen. Es wurden z.B. mehrfach...

Tantalus 22. Sep 2017

Die CSU offenbar schon: Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne...

KuJo 21. Sep 2017

"Dann freu dich aufs Neuland!" (Ist das aktuelle Motto der Piraten) -> https://www...


Folgen Sie uns
       


Kameravergleich P20 Pro, Xperia XZ2, Galaxy S9 Plus

Huaweis neues P20 Pro hat gleich drei Kameras auf der Rückseite. Diese ermöglichen nicht nur eine Porträtfunktion, sondern auch einen dreistufigen Zoom. Mit ihren KI-Funktionen unterstützt die Kamera des P20 Pro den Nutzer bei der Aufnahme.

Kameravergleich P20 Pro, Xperia XZ2, Galaxy S9 Plus Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /