Bundestagswahl 2021: Einige Wahlbehörden nur über unsichere Mailserver erreichbar
Mit Blick auf die kommende Bundestagswahl wurde von Heise.de ein Test durchgeführt(öffnet im neuen Fenster), mit dem sich die Sicherheit der von den Wahlbehörden genutzten Mailserver beurteilen lässt. Hierfür wurden die insgesamt 517 von der Bundeswahlleitung dokumentierten E-Mail-Adressen extrahiert und mit einem Skript die jeweilige Mail-Domain sowie der zuständige Mailserver ermittelt.
Zu den insgesamt 340 verantwortlichen Mailservern wurde eine SMTP-Verbindung aufgebaut, um eine verschlüsselte TLS-Verbindung zu initiieren. Bereits an dieser Stelle verweigerten fünf Mail-Domains den TLS-Aufbau, wodurch die Übertragung von Nachrichten nur noch im Klartext möglich ist.
Selbst signierte Zertifikate als Schwachstelle
Bei 28 Servern waren die eingesetzten Zertifikate das Hauptproblem und gleichzeitig auch die häufigste Fehlerquelle im Test. Statt auf eine externe Zertifizierungsstelle zu setzen, welche die Echtheit eines Zertifikats bestätigt, wurde lediglich ein selbst signiertes Exemplar eingesetzt.
Neben der fehlenden Bestätigung durch eine vertrauenswürdige Stelle waren auch die angegebenen Zertifikatslaufzeiten problematisch. Laut Heise.de stellte beispielsweise der Kreis Steinfurt seinem Zertifikat eine Gültigkeit bis 2058 aus.
Hinzu kamen Server, die lediglich ein CA-Zertifikat einsetzen, welches wiederum von vielen anderen Mailservern nicht erkannt wird. Insgesamt wurden 80 Zertifikate festgestellt, die sich nicht verifizieren ließen. Bei acht Servern war die Gültigkeit abgelaufen.
Aus DSGVO-Sicht erscheint zudem fragwürdig, ob einzelne in die Cloud ausgelagerte Mailserver mit Diensten amerikanischer Firmen oder auch Standorten in Großbritannien zulässig sind.
Keine kritischen Mängel
Laut Heise.de stellt keiner der gefundenen Mängel ein kritisches Sicherheitsproblem dar. Sie verstoßen aber gegen Best-Practice-Richtlinen der IT-Security. Während der gescheiterte TLS-Aufbau dabei durchaus ernst genommen wird, werden selbst signierte Zertifikate wohl mit einer gewissen Leichtfertigkeit eingesetzt.
Dass die Kenntnis über die Herkunft einer Nachricht aber für eine überprüfbare und sichere Kommunikation unabdingbar ist, scheint sich noch nicht bei allen Verantwortlichen durchgesetzt zu haben.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.