Bundestagswahl 2021: Einige Wahlbehörden nur über unsichere Mailserver erreichbar

Ein Test zur sicheren Kommunikation von Mailservern der Wahlleitungen von Bund und Ländern offenbart grundsätzliche Schwächen.

Artikel veröffentlicht am , Mike Wobker
Ein Test offenbart die Schwächen von Mailservern der Wahlleitungen.
Ein Test offenbart die Schwächen von Mailservern der Wahlleitungen. (Bild: Tumisu/Pixabay)

Mit Blick auf die kommende Bundestagswahl wurde von Heise.de ein Test durchgeführt, mit dem sich die Sicherheit der von den Wahlbehörden genutzten Mailserver beurteilen lässt. Hierfür wurden die insgesamt 517 von der Bundeswahlleitung dokumentierten E-Mail-Adressen extrahiert und mit einem Skript die jeweilige Mail-Domain sowie der zuständige Mailserver ermittelt.

Stellenmarkt
  1. Global Industrial Engineer (d/m/w)
    OSRAM GmbH, Regensburg
  2. Java Developer (m/w/d)
    Governikus GmbH & Co. KG, Bremen, Berlin, Erfurt, Köln (Home-Office möglich)
Detailsuche

Zu den insgesamt 340 verantwortlichen Mailservern wurde eine SMTP-Verbindung aufgebaut, um eine verschlüsselte TLS-Verbindung zu initiieren. Bereits an dieser Stelle verweigerten fünf Mail-Domains den TLS-Aufbau, wodurch die Übertragung von Nachrichten nur noch im Klartext möglich ist.

Selbst signierte Zertifikate als Schwachstelle

Bei 28 Servern waren die eingesetzten Zertifikate das Hauptproblem und gleichzeitig auch die häufigste Fehlerquelle im Test. Statt auf eine externe Zertifizierungsstelle zu setzen, welche die Echtheit eines Zertifikats bestätigt, wurde lediglich ein selbst signiertes Exemplar eingesetzt.

Neben der fehlenden Bestätigung durch eine vertrauenswürdige Stelle waren auch die angegebenen Zertifikatslaufzeiten problematisch. Laut Heise.de stellte beispielsweise der Kreis Steinfurt seinem Zertifikat eine Gültigkeit bis 2058 aus.

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    07.-09.11.2022, Virtuell
Weitere IT-Trainings

Hinzu kamen Server, die lediglich ein CA-Zertifikat einsetzen, welches wiederum von vielen anderen Mailservern nicht erkannt wird. Insgesamt wurden 80 Zertifikate festgestellt, die sich nicht verifizieren ließen. Bei acht Servern war die Gültigkeit abgelaufen.

Aus DSGVO-Sicht erscheint zudem fragwürdig, ob einzelne in die Cloud ausgelagerte Mailserver mit Diensten amerikanischer Firmen oder auch Standorten in Großbritannien zulässig sind.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Keine kritischen Mängel

Laut Heise.de stellt keiner der gefundenen Mängel ein kritisches Sicherheitsproblem dar. Sie verstoßen aber gegen Best-Practice-Richtlinen der IT-Security. Während der gescheiterte TLS-Aufbau dabei durchaus ernst genommen wird, werden selbst signierte Zertifikate wohl mit einer gewissen Leichtfertigkeit eingesetzt.

Dass die Kenntnis über die Herkunft einer Nachricht aber für eine überprüfbare und sichere Kommunikation unabdingbar ist, scheint sich noch nicht bei allen Verantwortlichen durchgesetzt zu haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Gene Roddenberrys andere Sci-Fi-Stoffe
Neben Star Trek leider fast vergessen

Der Name Gene Roddenberry steht vor allem für Star Trek. Nach dem Ende der klassischen Serie hat er aber noch andere Science-Fiction-Stoffe entwickelt.
Von Peter Osteried

Gene Roddenberrys andere Sci-Fi-Stoffe: Neben Star Trek leider fast vergessen
Artikel
  1. Illegales Streaming: House of Dragons bei Piraten beliebter als Ringe der Macht
    Illegales Streaming
    House of Dragons bei Piraten beliebter als Ringe der Macht

    Das Game-of-Thrones-Prequel hat mehr Zuschauer als die neue Herr-der-Ringe-Serie - zumindest via Bittorrent.

  2. Carsten Spohr: Lufthansa-Chef wird Opfer eigener Sicherheitslücke
    Carsten Spohr
    Lufthansa-Chef wird Opfer eigener Sicherheitslücke

    Unbekannte haben einen QR-Code auf einem Boardingpass von Lufthansa-Chef Carsten Spohr ausgelesen und auf persönliche Daten zugreifen können.

  3. Softwareentwicklung: Erste Schritte mit dem modernen Framework Flutter
    Softwareentwicklung
    Erste Schritte mit dem modernen Framework Flutter

    Flutter ist ein tolles und einfach zu erlernendes Framework, vor allem für die Entwicklung mobiler Apps. Eine Anleitung für ein erstes kleines Projekt.
    Eine Anleitung von Pascal Friedrich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: Bis -53% auf Gaming-Zubehör und bis -45% auf PC-Audio • Crucial 16-GB-Kit DDR5-4800 69,99€ • Crucial P2 1 TB 67,90€ • MindStar (u. a. Intel Core i5-12600 239€ und Fastro 2-TB-SSD 128€) • Logitech G Pro Gaming Keyboard 77,90€ • Apple iPhone 12 64 GB 659€ [Werbung]
    •  /