Bundestagswahl 2021: Einige Wahlbehörden nur über unsichere Mailserver erreichbar

Ein Test zur sicheren Kommunikation von Mailservern der Wahlleitungen von Bund und Ländern offenbart grundsätzliche Schwächen.

Artikel veröffentlicht am , Mike Wobker
Ein Test offenbart die Schwächen von Mailservern der Wahlleitungen.
Ein Test offenbart die Schwächen von Mailservern der Wahlleitungen. (Bild: Tumisu/Pixabay)

Mit Blick auf die kommende Bundestagswahl wurde von Heise.de ein Test durchgeführt, mit dem sich die Sicherheit der von den Wahlbehörden genutzten Mailserver beurteilen lässt. Hierfür wurden die insgesamt 517 von der Bundeswahlleitung dokumentierten E-Mail-Adressen extrahiert und mit einem Skript die jeweilige Mail-Domain sowie der zuständige Mailserver ermittelt.

Stellenmarkt
  1. Softwareentwickler (m/w/d)
    i-SOLUTIONS Health GmbH, Bochum
  2. Mitarbeiter/in (m/w/d) IT-Helpdesk/IT-Support
    Rudolf Wöhrl SE, Nürnberg
Detailsuche

Zu den insgesamt 340 verantwortlichen Mailservern wurde eine SMTP-Verbindung aufgebaut, um eine verschlüsselte TLS-Verbindung zu initiieren. Bereits an dieser Stelle verweigerten fünf Mail-Domains den TLS-Aufbau, wodurch die Übertragung von Nachrichten nur noch im Klartext möglich ist.

Selbst signierte Zertifikate als Schwachstelle

Bei 28 Servern waren die eingesetzten Zertifikate das Hauptproblem und gleichzeitig auch die häufigste Fehlerquelle im Test. Statt auf eine externe Zertifizierungsstelle zu setzen, welche die Echtheit eines Zertifikats bestätigt, wurde lediglich ein selbst signiertes Exemplar eingesetzt.

Neben der fehlenden Bestätigung durch eine vertrauenswürdige Stelle waren auch die angegebenen Zertifikatslaufzeiten problematisch. Laut Heise.de stellte beispielsweise der Kreis Steinfurt seinem Zertifikat eine Gültigkeit bis 2058 aus.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Hinzu kamen Server, die lediglich ein CA-Zertifikat einsetzen, welches wiederum von vielen anderen Mailservern nicht erkannt wird. Insgesamt wurden 80 Zertifikate festgestellt, die sich nicht verifizieren ließen. Bei acht Servern war die Gültigkeit abgelaufen.

Aus DSGVO-Sicht erscheint zudem fragwürdig, ob einzelne in die Cloud ausgelagerte Mailserver mit Diensten amerikanischer Firmen oder auch Standorten in Großbritannien zulässig sind.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Keine kritischen Mängel

Laut Heise.de stellt keiner der gefundenen Mängel ein kritisches Sicherheitsproblem dar. Sie verstoßen aber gegen Best-Practice-Richtlinen der IT-Security. Während der gescheiterte TLS-Aufbau dabei durchaus ernst genommen wird, werden selbst signierte Zertifikate wohl mit einer gewissen Leichtfertigkeit eingesetzt.

Dass die Kenntnis über die Herkunft einer Nachricht aber für eine überprüfbare und sichere Kommunikation unabdingbar ist, scheint sich noch nicht bei allen Verantwortlichen durchgesetzt zu haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Y - The Last Man
Eine Welt der Frauen

Vor knapp 20 Jahren wurde das erste Comic-Heft veröffentlicht, einige Jahre war die Fernsehserie Y - The Last Man in Entwicklung. Jetzt ist sie endlich bei Disney+.
Eine Rezension von Peter Osteried

Y - The Last Man: Eine Welt der Frauen
Artikel
  1. Huawei und Xiaomi: Litauen warnt vor chinesischen 5G-Smartphones
    Huawei und Xiaomi
    Litauen warnt vor chinesischen 5G-Smartphones

    Die litauische Regierung rät von der Nutzung chinesischer Smartphones ab. Diese könnten heruntergeladene Inhalte zensieren.

  2. CMOS-Batterie: Firmware-Update hat PS4 offenbar vor ewigem Aus gerettet
    CMOS-Batterie
    Firmware-Update hat PS4 offenbar vor ewigem Aus gerettet

    Sony hat mit Firmware 9.0 für die Playstation 4 ein großes Problem gelöst: eine leere CMOS-Batterie kann die Konsole nicht mehr zerstören.

  3. Call of Duty: Vanguard schon in der Beta von Cheatern geplagt
    Call of Duty
    Vanguard schon in der Beta von Cheatern geplagt

    Die uralte Code-Basis fällt Activision auf die Füße. Schon jetzt klagen Spieler der Beta-Version des neuen Call of Duty über Cheater.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • Gran Turismo 7 25th Anniversary PS4/PS5 vorbestellbar 99,99€ • Samsung T7 Portable SSD 1TB 105,39€ • PS5 bei Amazon zu gewinnen • Astro Gaming A20 + Deathloop PS5 139,99€ [Werbung]
    •  /