Abo
  • Services:

Keine Verschlüsselung mit der CSU

Ob eine Webseite HTTPS unterstützt oder nicht, ist für den Besucher der Seite das sichtbarste Zeichen dafür, wie viel Wert auf Sicherheit gelegt wird. HTTPS führt bekanntlich nicht nur dazu, dass die Verbindungen zu einer Webseite verschlüsselt sind, es sorgt auch für die Echtheit der Daten und verhindert etwa, dass Internetprovider oder WLAN-Betreiber unerwünschte Veränderungen an Webseiten vornehmen.

Stellenmarkt
  1. Bosch Gruppe, Abstatt
  2. Symgenius GmbH & Co. KG, Düsseldorf, Bad Gandersheim

SPD, CDU und Linkspartei nutzen zumindest auf ihren zentralen Parteiwebseiten standardmäßig HTTPS. Bei den Grünen ist HTTPS nur optional. Konsequent gegen verschlüsselte und authentifizierte Verbindungen ist man bei der CSU. Wer versucht, die CSU-Webseite via HTTPS aufzurufen, wird auf die unsichere HTTP-Version weitergeleitet.

Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne HTTPS-Absicherung. Unter csu-shop.de kann man von Bierkrügen bis zu Lederhosen viele Fanartikel mit Parteilogo bestellen.

Auf unseren Hinweis hin teilte uns die CSU mit, dass unsere Befürchtungen unzutreffend sind. Die Seite sei sehr wohl über HTTPS verfügbar. Das ist zwar korrekt - die Seite lässt sich über HTTPS abrufen. Allerdings werden Besucher standardmäßig auf die ungesicherte Version geleitet, etwa durch einen Link von csu.de.

Auch das Loginformular wurde standardmäßig unverschlüsselt abgerufen - ein Vorgehen, vor dem moderne Browser inzwischen warnen. Zumindest das wurde nach unserem Hinweis geändert, allerdings hilft das nicht viel. Wenn die Hauptseite ungesichert aufgerufen wird, kann ein Angreifer den Link auf das Login manipulieren.

Viagra-Werbung statt Parteiwerbung

Während unserer Recherche sind wir auf zahlreiche Seiten - nicht nur von Parteien - gestoßen, die offenbar erst vor kurzem gehackt wurden und seitdem dubiose Onlinehändler mit Viagra und anderen potenzsteigernden Mitteln im Angebot bewerben. Darunter befanden sich die SPD Bergedorf und die FDP Hamburg-Nord. Inzwischen ist die Viagra-Werbung wieder entfernt, über den Google-Cache lässt sich der Hack aber noch nachvollziehen.

Wie genau diese Seiten gehackt wurden, wissen wir nicht. Die FDP Hamburg-Nord wird mit Wordpress betrieben und nutzt nicht die aktuelle Version. Bei der SPD Bergedorf wird Typo3 genutzt, ob die Version aktuell ist, lässt sich nicht trivial herausfinden.

Wir haben alle Parteien über unsere Funde informiert. Darunter waren auch viele weitere Kleinigkeiten, etwa veraltete Content-Management-Systeme von Kandidaten oder Cross-Site-Scripting-Lücken.

Für unsere Recherchen haben wir die Daten des Projekts Wen wählen? zur Verfügung gestellt bekommen. Damit hatten wir eine Liste von zahlreichen Webseiten von Bundestagskandidaten. Diese Daten sind von Parteien und Kandidaten selbst ausgefüllt worden und daher natürlich unvollständig. Mittels verschiedener Scans haben wir nach Sicherheitslücken und veralteten Content-Management-Systemen gesucht. Bei den Webseiten der Bundesparteien haben wir teilweise manuell nachgeforscht.

Keine Partei überzeugt

Wirklich überzeugen konnte keine Partei in Sachen Websicherheit. Angesichts der im Vorfeld doch sehr intensiv geführten Diskussionen über eine mögliche Einflussnahme von Hackern auf die Bundestagswahl überrascht das.

Wir haben alle Parteien um eine Stellungnahme gebeten und auch gefragt, welche Maßnahmen dort ergriffen wurden, um Seiten abzusichern und ob etwa Security-Audits durchgeführt wurden. Die Grünen haben diese Frage als einzige beantwortet: "Wir haben gruene.de für den Wahlkampf mit einem DDoS-Schutz sowie einem Loadbalancer mit den dementsprechenden redundanten Servern ausgestattet. Des Weiteren stehen wir mit externen Sicherheitsfirmen in Kontakt." Der Verweis auf DDoS-Schutz und Loadbalancer klingt dabei allerdings eher nach: Thema verfehlt.

Nachtrag vom 21. September 2017, 17:43 Uhr

Wir hatten ursprünglich geschrieben, dass auf den Status-Seiten von lokalen Grünen-Webseiten IP-Adressen von Besuchern zu sehen gewesen seien. Es handelte sich jedoch lediglich um IP-Adressen der Hostingfirma. Der Artikel wurde entsprechend angepassst.

 Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. 119,90€
  2. (reduzierte Überstände, Restposten & Co.)
  3. 18,99€

benurb 29. Sep 2017

Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft...

shr70 26. Sep 2017

Die V-Partei hatte auch eine sehr ernsthafte Lücke. Wordpress wurde in der neusten...

dantist 22. Sep 2017

Ich war anfangs Mitglied und habe das ganze Elend mitbekommen. Es wurden z.B. mehrfach...

Tantalus 22. Sep 2017

Die CSU offenbar schon: Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne...

KuJo 21. Sep 2017

"Dann freu dich aufs Neuland!" (Ist das aktuelle Motto der Piraten) -> https://www...


Folgen Sie uns
       


Metro Exodus - Fazit

In Metro Exodus kommt Artjom endlich streckenweise wirklich an die frische Luft.

Metro Exodus - Fazit Video aufrufen
XPS 13 (9380) im Test: Dell macht's ohne Frosch und Spiegel
XPS 13 (9380) im Test
Dell macht's ohne Frosch und Spiegel

Und wir dachten, die Kamera wandert nach oben und das war es - aber nein: Dell hat uns überrascht und das XPS 13 (9380) dort verbessert, wo wir es nicht erwartet hätten, wohl aber erhofft haben.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Mit Ubuntu Dell XPS 13 mit Whiskey Lake als Developer Edition verfügbar
  2. XPS 13 (9380) Dell verabschiedet sich von Froschkamera

Trüberbrook im Test: Provinzielles Abenteuer
Trüberbrook im Test
Provinzielles Abenteuer

Neuartiges Produktionsverfahren, prominente Sprecher: Das bereits vor seiner Veröffentlichung für den Deutschen Computerspielpreis nominierte Adventure Trüberbrook bietet trotz solcher Auffälligkeiten nur ein allzu braves Abenteuer in der deutschen Provinz der 60er Jahre.
Von Peter Steinlechner

  1. Quellcode Al Lowe verkauft Disketten mit Larry 1 auf Ebay
  2. Wet Dreams Don't Dry im Test Leisure Suit Larry im Land der Hipster
  3. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller

Chrome OS Crostini angesehen: Dieses Nerd-Unix läuft wie geschnitten Brot
Chrome OS Crostini angesehen
Dieses Nerd-Unix läuft wie geschnitten Brot

Mit Crostini bringt Google nun auch eine echte Linux-Umgebung auf Chromebooks, die dafür eigentlich nie vorgesehen waren. Google kann dafür auf ein echtes Linux-System und sehr viel Erfahrung zurückgreifen. Der Nutzung als Entwicklerkiste steht damit fast nichts mehr im Weg.
Von Sebastian Grüner

  1. Google Chromebooks bekommen virtuelle Arbeitsflächen
  2. Crostini VMs in Chromebooks bekommen GPU-Beschleunigung
  3. Crostini Linux-Apps für ChromeOS kommen für andere Distributionen

    •  /