Abo
  • IT-Karriere:

Security: Der Internetminister hat Heartbleed

Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur war für eine seit fast zwei Jahren geschlossene, kritische Sicherheitslücke anfällig. Das kompromittierte Zertifikat wird weiterhin verwendet.

Artikel veröffentlicht am ,
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen.
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen. (Bild: EFF)

Die Admins der Webseite des Bundesministeriums für Verkehr und Digitale Infrastruktur (BMVI) haben in den vergangenen zwei Jahren offenbar geschlafen. Wie Heise berichtet, war die Webseite des Ministeriums bis vor wenigen Tagen noch für Heartbleed anfällig. Nach einem Hinweis an das CERT-Bund sei die Software dann aber innerhalb von zwei Tagen auf den neuesten Stand gebracht worden. Doch nach wie vor ist der Fehler nicht vollständig behoben.

Stellenmarkt
  1. Allianz Deutschland AG, Stuttgart
  2. CPA Software Consult GmbH, Langenfeld

Mit Heartbleed wird ein Fehler in einer älteren Version von OpenSSL beschrieben. Der Fehler ermöglicht unter bestimmten Bedingungen das Auslesen privater Informationen eines Servers, unter Umständen kann das auch den privaten Schlüssel beinhalten. Der Fehler lag in der Heartbeat-Funktion, mit der ein Kommunikationsteilnehmer in regelmäßigen Abständen prüfen kann, ob noch eine Verbindung zum Server besteht. Eigentlich werden in diesem Fall nur wenige Zeichen vom Server abgefragt.

Mit Heartbleed konnten aber deutlich mehr Informationen abgerufen werden, die dann eben auch vertraulichen Inhalt enthalten können. Mit mehreren so manipulierten Anfragen ist es unter Umständen möglich, den privaten Schlüssel eines Servers zu rekonstruieren, wenn dieser verwundbar ist.

Heartbleed wurde prominent vermarktet

Heartbleed gilt als die erste Sicherheitslücke, die mit einem Logo und einem Namen prominent angekündigt wurde. Dementsprechend gab es eine große Aufmerksamkeit auch in Mainstream-Medien und die Patchrate war sehr hoch. Innerhalb weniger Tage hatten die meisten der Alexa-Top-1000-Seiten ihre Server auf den neuesten Stand gebracht. Dobrindts Ministerium offenbar nicht. Dementsprechend bekam die Webseite nach Angaben von Heise im Qualys-SSL-Test bis vor einigen Tagen ein F - die schlechteste Note. Mittlerweile wurde die Software zwar auf den aktuellen Stand gebracht. Doch das möglicherweise kompromittierte Zertifikat wurde noch nicht ausgetauscht. Auf Anfrage konnte das Ministerium noch keinen Termin für den Austausch nennen.

Ein Angreifer könnte nach der Extraktion des Zertifikats Webseiten aufsetzen, die vorgeben, eine offizielle Webseite der Bundesregierung, in diesem Fall das Ministerium selbst, zu sein. Dass der Austausch so lange dauert, ist daher problematisch. Die Webseite des Ministeriums wird vom Dienstleister Init betrieben.

Alexander Dobrindt ist mit seinem Ministerium zuständig für den Ausbau der "digitalen Infrastruktur", erst kürzlich wurde verkündet, in welche Projekte das Ministerium 420 Millionen an Fördergeldern für den Breitbandausbau investiert.



Anzeige
Top-Angebote
  1. (z. B. Core i5 9600K + Gigabyte Z390 Aorus Master für 468,00€, Core i7 900K + MSI MPG Z390...
  2. GRATIS
  3. 59,99€ (Release am 15. November)
  4. (Batman Arkham Collection & Lego Batman Trilogy)

bombinho 01. Mai 2016

Dann muessen die aber sehr gut bezahlt werden, denn die muessen ja dann erst einmal...

thomas42 29. Apr 2016

Tja, so ist es gewollt: Die Leistung wird ausgeschrieben, der billigste kriegt den...


Folgen Sie uns
       


Möve Franklin E-Fly Komfort Pedelec - Test

Ein Pedelec, zwei Technologien: geht das gut?

Möve Franklin E-Fly Komfort Pedelec - Test Video aufrufen
HP Pavilion Gaming 15 im Test: Günstig gut gamen
HP Pavilion Gaming 15 im Test
Günstig gut gamen

Mit dem Pavilion Gaming 15 bietet HP für 1.000 Euro ein Spiele-Notebook an, das für aktuelle Titel genügend 1080p-Leistung hat. Auch Bildschirm und Ports taugen, dafür nervt uns die voreingestellte 30-fps-Akku-Drossel.
Ein Test von Marc Sauter

  1. Gaming-Notebooks Asus ROG mit Core i9 und fixen oder farbstarken Displays

Sonos Move im Test: Der vielseitigste Lautsprecher von Sonos
Sonos Move im Test
Der vielseitigste Lautsprecher von Sonos

Der Move von Sonos überzeugt durch Bluetooth und ist dank Akku und stabilem Gehäuse vorzüglich für den Außeneinsatz geeignet. Bei den Funktionen ist der Lautsprecher leider nicht so smart wie er sein könnte.
Ein Test von Ingo Pakalski

  1. Update für Multiroom-Lautsprecher Sonos-App spielt keine lokalen Inhalte mehr vom iPhone ab
  2. Smarter Lautsprecher Erster Sonos-Lautsprecher mit Akku und Bluetooth
  3. Soundbars Audiohersteller Teufel investiert in eigene Ladenkette

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

    •  /