Bundestagswahl 2021: Einige Wahlbehörden nur über unsichere Mailserver erreichbar

Ein Test zur sicheren Kommunikation von Mailservern der Wahlleitungen von Bund und Ländern offenbart grundsätzliche Schwächen.

Artikel veröffentlicht am , Mike Wobker
Ein Test offenbart die Schwächen von Mailservern der Wahlleitungen.
Ein Test offenbart die Schwächen von Mailservern der Wahlleitungen. (Bild: Tumisu/Pixabay)

Mit Blick auf die kommende Bundestagswahl wurde von Heise.de ein Test durchgeführt, mit dem sich die Sicherheit der von den Wahlbehörden genutzten Mailserver beurteilen lässt. Hierfür wurden die insgesamt 517 von der Bundeswahlleitung dokumentierten E-Mail-Adressen extrahiert und mit einem Skript die jeweilige Mail-Domain sowie der zuständige Mailserver ermittelt.

Stellenmarkt
  1. Junior-Forschungsgruppenleit- er*in (m/w/d) für Deep Learning Image Analysen in der Neuroradiologie
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. Mitarbeiter Softwarelogistik Automotive (m/w/d)
    DRÄXLMAIER Group, München
Detailsuche

Zu den insgesamt 340 verantwortlichen Mailservern wurde eine SMTP-Verbindung aufgebaut, um eine verschlüsselte TLS-Verbindung zu initiieren. Bereits an dieser Stelle verweigerten fünf Mail-Domains den TLS-Aufbau, wodurch die Übertragung von Nachrichten nur noch im Klartext möglich ist.

Selbst signierte Zertifikate als Schwachstelle

Bei 28 Servern waren die eingesetzten Zertifikate das Hauptproblem und gleichzeitig auch die häufigste Fehlerquelle im Test. Statt auf eine externe Zertifizierungsstelle zu setzen, welche die Echtheit eines Zertifikats bestätigt, wurde lediglich ein selbst signiertes Exemplar eingesetzt.

Neben der fehlenden Bestätigung durch eine vertrauenswürdige Stelle waren auch die angegebenen Zertifikatslaufzeiten problematisch. Laut Heise.de stellte beispielsweise der Kreis Steinfurt seinem Zertifikat eine Gültigkeit bis 2058 aus.

Golem Karrierewelt
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    05.-07.09.2022, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Hinzu kamen Server, die lediglich ein CA-Zertifikat einsetzen, welches wiederum von vielen anderen Mailservern nicht erkannt wird. Insgesamt wurden 80 Zertifikate festgestellt, die sich nicht verifizieren ließen. Bei acht Servern war die Gültigkeit abgelaufen.

Aus DSGVO-Sicht erscheint zudem fragwürdig, ob einzelne in die Cloud ausgelagerte Mailserver mit Diensten amerikanischer Firmen oder auch Standorten in Großbritannien zulässig sind.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Keine kritischen Mängel

Laut Heise.de stellt keiner der gefundenen Mängel ein kritisches Sicherheitsproblem dar. Sie verstoßen aber gegen Best-Practice-Richtlinen der IT-Security. Während der gescheiterte TLS-Aufbau dabei durchaus ernst genommen wird, werden selbst signierte Zertifikate wohl mit einer gewissen Leichtfertigkeit eingesetzt.

Dass die Kenntnis über die Herkunft einer Nachricht aber für eine überprüfbare und sichere Kommunikation unabdingbar ist, scheint sich noch nicht bei allen Verantwortlichen durchgesetzt zu haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Geplante Obsoleszenz
Epson schaltet Drucker wegen voller Schwämme ab

Die Drucker funktionieren noch tadellos, ein angebliches Risiko durch volle Tintenschwämme ist für Epson aber Grund, die Geräte zu deaktivieren.

Geplante Obsoleszenz: Epson schaltet Drucker wegen voller Schwämme ab
Artikel
  1. Gegen das kommerzielle Internet: Warum Filesharing legalisiert werden sollte
    Gegen das kommerzielle Internet
    Warum Filesharing legalisiert werden sollte

    Die Subkultur des illegalen Filesharing ist der letzte Atemzug des nichtkommerziellen Internets. Warum es legalisiert werden sollte.
    Ein Essay von Lennart Mühlenmeier

  2. Dragon Ball Fighter Z: Rollback-Netcode für mehrere Prügelspiele angekündigt
    Dragon Ball Fighter Z
    Rollback-Netcode für mehrere Prügelspiele angekündigt

    Mit Rollback-Netcode geht es gerechter in Prügelspielen zu. Nun wurde die Technologie unter anderem für Dragon Ball Fighter Z angekündigt.

  3. Staubsaugerroboter: Amazon kann nach Roomba-Deal Wohnungen kartieren
    Staubsaugerroboter
    Amazon kann nach Roomba-Deal Wohnungen kartieren

    Moderne Saugroboter erfassen Grundrisse und mehr von Wohnungen. Diese Daten könnte Amazon als neuer Eigentümer von iRobot gut gebrauchen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (Gainward RTX 3070 559€, ASRock RX 6800 639€) • WD Black SSD 2TB m. Kühlkörper (PS5) 219,90€ • Gigabyte Deals • Alternate (DeepCool Wakü 114,90€, PC-Netzteil 79,90€) • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1TB 119€) Gamesplant Summer Sale [Werbung]
    •  /