Keine Verschlüsselung mit der CSU

Ob eine Webseite HTTPS unterstützt oder nicht, ist für den Besucher der Seite das sichtbarste Zeichen dafür, wie viel Wert auf Sicherheit gelegt wird. HTTPS führt bekanntlich nicht nur dazu, dass die Verbindungen zu einer Webseite verschlüsselt sind, es sorgt auch für die Echtheit der Daten und verhindert etwa, dass Internetprovider oder WLAN-Betreiber unerwünschte Veränderungen an Webseiten vornehmen.

Stellenmarkt
  1. IT-Leiter (m/w/d)
    Hays AG, Nürnberg
  2. Softwareentwickler C# / .NET (m/w/d)
    IS Software GmbH, Regensburg
Detailsuche

SPD, CDU und Linkspartei nutzen zumindest auf ihren zentralen Parteiwebseiten standardmäßig HTTPS. Bei den Grünen ist HTTPS nur optional. Konsequent gegen verschlüsselte und authentifizierte Verbindungen ist man bei der CSU. Wer versucht, die CSU-Webseite via HTTPS aufzurufen, wird auf die unsichere HTTP-Version weitergeleitet.

Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne HTTPS-Absicherung. Unter csu-shop.de kann man von Bierkrügen bis zu Lederhosen viele Fanartikel mit Parteilogo bestellen.

Auf unseren Hinweis hin teilte uns die CSU mit, dass unsere Befürchtungen unzutreffend sind. Die Seite sei sehr wohl über HTTPS verfügbar. Das ist zwar korrekt - die Seite lässt sich über HTTPS abrufen. Allerdings werden Besucher standardmäßig auf die ungesicherte Version geleitet, etwa durch einen Link von csu.de.

Golem Akademie
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
Weitere IT-Trainings

Auch das Loginformular wurde standardmäßig unverschlüsselt abgerufen - ein Vorgehen, vor dem moderne Browser inzwischen warnen. Zumindest das wurde nach unserem Hinweis geändert, allerdings hilft das nicht viel. Wenn die Hauptseite ungesichert aufgerufen wird, kann ein Angreifer den Link auf das Login manipulieren.

Viagra-Werbung statt Parteiwerbung

Während unserer Recherche sind wir auf zahlreiche Seiten - nicht nur von Parteien - gestoßen, die offenbar erst vor kurzem gehackt wurden und seitdem dubiose Onlinehändler mit Viagra und anderen potenzsteigernden Mitteln im Angebot bewerben. Darunter befanden sich die SPD Bergedorf und die FDP Hamburg-Nord. Inzwischen ist die Viagra-Werbung wieder entfernt, über den Google-Cache lässt sich der Hack aber noch nachvollziehen.

Wie genau diese Seiten gehackt wurden, wissen wir nicht. Die FDP Hamburg-Nord wird mit Wordpress betrieben und nutzt nicht die aktuelle Version. Bei der SPD Bergedorf wird Typo3 genutzt, ob die Version aktuell ist, lässt sich nicht trivial herausfinden.

Wir haben alle Parteien über unsere Funde informiert. Darunter waren auch viele weitere Kleinigkeiten, etwa veraltete Content-Management-Systeme von Kandidaten oder Cross-Site-Scripting-Lücken.

Für unsere Recherchen haben wir die Daten des Projekts Wen wählen? zur Verfügung gestellt bekommen. Damit hatten wir eine Liste von zahlreichen Webseiten von Bundestagskandidaten. Diese Daten sind von Parteien und Kandidaten selbst ausgefüllt worden und daher natürlich unvollständig. Mittels verschiedener Scans haben wir nach Sicherheitslücken und veralteten Content-Management-Systemen gesucht. Bei den Webseiten der Bundesparteien haben wir teilweise manuell nachgeforscht.

Keine Partei überzeugt

Wirklich überzeugen konnte keine Partei in Sachen Websicherheit. Angesichts der im Vorfeld doch sehr intensiv geführten Diskussionen über eine mögliche Einflussnahme von Hackern auf die Bundestagswahl überrascht das.

Wir haben alle Parteien um eine Stellungnahme gebeten und auch gefragt, welche Maßnahmen dort ergriffen wurden, um Seiten abzusichern und ob etwa Security-Audits durchgeführt wurden. Die Grünen haben diese Frage als einzige beantwortet: "Wir haben gruene.de für den Wahlkampf mit einem DDoS-Schutz sowie einem Loadbalancer mit den dementsprechenden redundanten Servern ausgestattet. Des Weiteren stehen wir mit externen Sicherheitsfirmen in Kontakt." Der Verweis auf DDoS-Schutz und Loadbalancer klingt dabei allerdings eher nach: Thema verfehlt.

Nachtrag vom 21. September 2017, 17:43 Uhr

Wir hatten ursprünglich geschrieben, dass auf den Status-Seiten von lokalen Grünen-Webseiten IP-Adressen von Besuchern zu sehen gewesen seien. Es handelte sich jedoch lediglich um IP-Adressen der Hostingfirma. Der Artikel wurde entsprechend angepassst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1.  
  2. 1
  3. 2


benurb 29. Sep 2017

Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft...

shr70 26. Sep 2017

Die V-Partei hatte auch eine sehr ernsthafte Lücke. Wordpress wurde in der neusten...

dantist 22. Sep 2017

Ich war anfangs Mitglied und habe das ganze Elend mitbekommen. Es wurden z.B. mehrfach...

Tantalus 22. Sep 2017

Die CSU offenbar schon: Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne...

KuJo 21. Sep 2017

"Dann freu dich aufs Neuland!" (Ist das aktuelle Motto der Piraten) -> https://www...



Aktuell auf der Startseite von Golem.de
Chorus im Test
Action im All plus galaktische Grafik

Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
Von Peter Steinlechner

Chorus im Test: Action im All plus galaktische Grafik
Artikel
  1. Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
    Bald exklusiv bei Disney+
    Serien verschwinden aus Abos von Netflix und Prime Video

    Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
    Von Ingo Pakalski

  2. LTE: Noch 30 weiße Flecken im bevölkerungsreichsten Bundesland
    LTE
    Noch 30 weiße Flecken im bevölkerungsreichsten Bundesland

    Nach über drei Jahren Mobilfunk-Pakt gibt es in Nordrhein-Westfalen noch immer gut 30 weiße Flecken.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /