Abo
  • Services:
Anzeige
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen.
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen. (Bild: EFF)

Security: Der Internetminister hat Heartbleed

Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen.
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen. (Bild: EFF)

Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur war für eine seit fast zwei Jahren geschlossene, kritische Sicherheitslücke anfällig. Das kompromittierte Zertifikat wird weiterhin verwendet.

Die Admins der Webseite des Bundesministeriums für Verkehr und Digitale Infrastruktur (BMVI) haben in den vergangenen zwei Jahren offenbar geschlafen. Wie Heise berichtet, war die Webseite des Ministeriums bis vor wenigen Tagen noch für Heartbleed anfällig. Nach einem Hinweis an das CERT-Bund sei die Software dann aber innerhalb von zwei Tagen auf den neuesten Stand gebracht worden. Doch nach wie vor ist der Fehler nicht vollständig behoben.

Anzeige

Mit Heartbleed wird ein Fehler in einer älteren Version von OpenSSL beschrieben. Der Fehler ermöglicht unter bestimmten Bedingungen das Auslesen privater Informationen eines Servers, unter Umständen kann das auch den privaten Schlüssel beinhalten. Der Fehler lag in der Heartbeat-Funktion, mit der ein Kommunikationsteilnehmer in regelmäßigen Abständen prüfen kann, ob noch eine Verbindung zum Server besteht. Eigentlich werden in diesem Fall nur wenige Zeichen vom Server abgefragt.

Mit Heartbleed konnten aber deutlich mehr Informationen abgerufen werden, die dann eben auch vertraulichen Inhalt enthalten können. Mit mehreren so manipulierten Anfragen ist es unter Umständen möglich, den privaten Schlüssel eines Servers zu rekonstruieren, wenn dieser verwundbar ist.

Heartbleed wurde prominent vermarktet

Heartbleed gilt als die erste Sicherheitslücke, die mit einem Logo und einem Namen prominent angekündigt wurde. Dementsprechend gab es eine große Aufmerksamkeit auch in Mainstream-Medien und die Patchrate war sehr hoch. Innerhalb weniger Tage hatten die meisten der Alexa-Top-1000-Seiten ihre Server auf den neuesten Stand gebracht. Dobrindts Ministerium offenbar nicht. Dementsprechend bekam die Webseite nach Angaben von Heise im Qualys-SSL-Test bis vor einigen Tagen ein F - die schlechteste Note. Mittlerweile wurde die Software zwar auf den aktuellen Stand gebracht. Doch das möglicherweise kompromittierte Zertifikat wurde noch nicht ausgetauscht. Auf Anfrage konnte das Ministerium noch keinen Termin für den Austausch nennen.

Ein Angreifer könnte nach der Extraktion des Zertifikats Webseiten aufsetzen, die vorgeben, eine offizielle Webseite der Bundesregierung, in diesem Fall das Ministerium selbst, zu sein. Dass der Austausch so lange dauert, ist daher problematisch. Die Webseite des Ministeriums wird vom Dienstleister Init betrieben.

Alexander Dobrindt ist mit seinem Ministerium zuständig für den Ausbau der "digitalen Infrastruktur", erst kürzlich wurde verkündet, in welche Projekte das Ministerium 420 Millionen an Fördergeldern für den Breitbandausbau investiert.


eye home zur Startseite
bombinho 01. Mai 2016

Dann muessen die aber sehr gut bezahlt werden, denn die muessen ja dann erst einmal...

thomas42 29. Apr 2016

Tja, so ist es gewollt: Die Leistung wird ausgeschrieben, der billigste kriegt den...



Anzeige

Stellenmarkt
  1. BENTELER-Group, Düsseldorf
  2. AVL List GmbH, Graz (Österreich)
  3. Robert Bosch GmbH, Plochingen
  4. Heraeus infosystems GmbH, Hanau bei Frankfurt am Main


Anzeige
Spiele-Angebote
  1. 8,49€
  2. 9,99€
  3. 199,99€ - Release 13.10.

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  2. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  3. FTTH

    CDU für Verkauf der Telekom-Aktien

  4. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  5. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  6. Fahrdienst

    London stoppt Uber, Protest wächst

  7. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  8. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  9. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  10. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Zitis Wer Sicherheitslücken findet, darf sie behalten
  2. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"
  3. TV-Duell Merkel-Schulz Die Digitalisierung schafft es nur ins Schlusswort

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

  1. Re: Siemens hat eine gute Lösung in Parkhäusern

    bernstein | 21:04

  2. Re: Und bei DSL?

    bombinho | 21:03

  3. Mehr Kompexität?

    DY | 20:59

  4. Re: Wieso hat die PARTEI keine absolute Mehrheit?

    __destruct() | 20:59

  5. Re: CDU, AfD und FDP - Bahamas Koalition

    Xar | 20:52


  1. 19:04

  2. 15:18

  3. 13:34

  4. 12:03

  5. 10:56

  6. 15:37

  7. 15:08

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel