Abo
  • Services:

Keine Verschlüsselung mit der CSU

Ob eine Webseite HTTPS unterstützt oder nicht, ist für den Besucher der Seite das sichtbarste Zeichen dafür, wie viel Wert auf Sicherheit gelegt wird. HTTPS führt bekanntlich nicht nur dazu, dass die Verbindungen zu einer Webseite verschlüsselt sind, es sorgt auch für die Echtheit der Daten und verhindert etwa, dass Internetprovider oder WLAN-Betreiber unerwünschte Veränderungen an Webseiten vornehmen.

Stellenmarkt
  1. operational services GmbH & Co. KG, Dienstsitz Leinfelden-Echterdingen, Einsatzort Mettingen
  2. Bezirk Oberbayern, Bruckmühl bei München

SPD, CDU und Linkspartei nutzen zumindest auf ihren zentralen Parteiwebseiten standardmäßig HTTPS. Bei den Grünen ist HTTPS nur optional. Konsequent gegen verschlüsselte und authentifizierte Verbindungen ist man bei der CSU. Wer versucht, die CSU-Webseite via HTTPS aufzurufen, wird auf die unsichere HTTP-Version weitergeleitet.

Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne HTTPS-Absicherung. Unter csu-shop.de kann man von Bierkrügen bis zu Lederhosen viele Fanartikel mit Parteilogo bestellen.

Auf unseren Hinweis hin teilte uns die CSU mit, dass unsere Befürchtungen unzutreffend sind. Die Seite sei sehr wohl über HTTPS verfügbar. Das ist zwar korrekt - die Seite lässt sich über HTTPS abrufen. Allerdings werden Besucher standardmäßig auf die ungesicherte Version geleitet, etwa durch einen Link von csu.de.

Auch das Loginformular wurde standardmäßig unverschlüsselt abgerufen - ein Vorgehen, vor dem moderne Browser inzwischen warnen. Zumindest das wurde nach unserem Hinweis geändert, allerdings hilft das nicht viel. Wenn die Hauptseite ungesichert aufgerufen wird, kann ein Angreifer den Link auf das Login manipulieren.

Viagra-Werbung statt Parteiwerbung

Während unserer Recherche sind wir auf zahlreiche Seiten - nicht nur von Parteien - gestoßen, die offenbar erst vor kurzem gehackt wurden und seitdem dubiose Onlinehändler mit Viagra und anderen potenzsteigernden Mitteln im Angebot bewerben. Darunter befanden sich die SPD Bergedorf und die FDP Hamburg-Nord. Inzwischen ist die Viagra-Werbung wieder entfernt, über den Google-Cache lässt sich der Hack aber noch nachvollziehen.

Wie genau diese Seiten gehackt wurden, wissen wir nicht. Die FDP Hamburg-Nord wird mit Wordpress betrieben und nutzt nicht die aktuelle Version. Bei der SPD Bergedorf wird Typo3 genutzt, ob die Version aktuell ist, lässt sich nicht trivial herausfinden.

Wir haben alle Parteien über unsere Funde informiert. Darunter waren auch viele weitere Kleinigkeiten, etwa veraltete Content-Management-Systeme von Kandidaten oder Cross-Site-Scripting-Lücken.

Für unsere Recherchen haben wir die Daten des Projekts Wen wählen? zur Verfügung gestellt bekommen. Damit hatten wir eine Liste von zahlreichen Webseiten von Bundestagskandidaten. Diese Daten sind von Parteien und Kandidaten selbst ausgefüllt worden und daher natürlich unvollständig. Mittels verschiedener Scans haben wir nach Sicherheitslücken und veralteten Content-Management-Systemen gesucht. Bei den Webseiten der Bundesparteien haben wir teilweise manuell nachgeforscht.

Keine Partei überzeugt

Wirklich überzeugen konnte keine Partei in Sachen Websicherheit. Angesichts der im Vorfeld doch sehr intensiv geführten Diskussionen über eine mögliche Einflussnahme von Hackern auf die Bundestagswahl überrascht das.

Wir haben alle Parteien um eine Stellungnahme gebeten und auch gefragt, welche Maßnahmen dort ergriffen wurden, um Seiten abzusichern und ob etwa Security-Audits durchgeführt wurden. Die Grünen haben diese Frage als einzige beantwortet: "Wir haben gruene.de für den Wahlkampf mit einem DDoS-Schutz sowie einem Loadbalancer mit den dementsprechenden redundanten Servern ausgestattet. Des Weiteren stehen wir mit externen Sicherheitsfirmen in Kontakt." Der Verweis auf DDoS-Schutz und Loadbalancer klingt dabei allerdings eher nach: Thema verfehlt.

Nachtrag vom 21. September 2017, 17:43 Uhr

Wir hatten ursprünglich geschrieben, dass auf den Status-Seiten von lokalen Grünen-Webseiten IP-Adressen von Besuchern zu sehen gewesen seien. Es handelte sich jedoch lediglich um IP-Adressen der Hostingfirma. Der Artikel wurde entsprechend angepassst.

 Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1.  
  2. 1
  3. 2


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

benurb 29. Sep 2017

Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft...

shr70 26. Sep 2017

Die V-Partei hatte auch eine sehr ernsthafte Lücke. Wordpress wurde in der neusten...

dantist 22. Sep 2017

Ich war anfangs Mitglied und habe das ganze Elend mitbekommen. Es wurden z.B. mehrfach...

Tantalus 22. Sep 2017

Die CSU offenbar schon: Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne...

KuJo 21. Sep 2017

"Dann freu dich aufs Neuland!" (Ist das aktuelle Motto der Piraten) -> https://www...


Folgen Sie uns
       


Apple Mac Mini (Late 2018) - Test

Apple Mac Mini (Late 2018) ist ein kompaktes System mit Quadcore- oder Hexacore-Chip. Uns gefällt die Anschlussvielfalt mit klassischem USB und Thunderbolt 3, zudem arbeitet der Rechner sparsam und sehr leise. Die Zielgruppe erscheint uns aber klein, da der Mac Mini mindestens 900 Euro, aber nur eine integrierter Grafikeinheit aufweist.

Apple Mac Mini (Late 2018) - Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
    Google Nachtsicht im Test
    Starke Nachtaufnahmen mit dem Pixel

    Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
    Ein Test von Tobias Költzsch

    1. Pixel 3 Google patcht Probleme mit Speichermanagement
    2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
    3. Google Dem Pixel 3 XL wächst eine zweite Notch

      •  /