• IT-Karriere:
  • Services:

Security: Der Internetminister hat Heartbleed

Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur war für eine seit fast zwei Jahren geschlossene, kritische Sicherheitslücke anfällig. Das kompromittierte Zertifikat wird weiterhin verwendet.

Artikel veröffentlicht am ,
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen.
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen. (Bild: EFF)

Die Admins der Webseite des Bundesministeriums für Verkehr und Digitale Infrastruktur (BMVI) haben in den vergangenen zwei Jahren offenbar geschlafen. Wie Heise berichtet, war die Webseite des Ministeriums bis vor wenigen Tagen noch für Heartbleed anfällig. Nach einem Hinweis an das CERT-Bund sei die Software dann aber innerhalb von zwei Tagen auf den neuesten Stand gebracht worden. Doch nach wie vor ist der Fehler nicht vollständig behoben.

Stellenmarkt
  1. KION Group AG, Frankfurt am Main
  2. SDL, Leipzig / München

Mit Heartbleed wird ein Fehler in einer älteren Version von OpenSSL beschrieben. Der Fehler ermöglicht unter bestimmten Bedingungen das Auslesen privater Informationen eines Servers, unter Umständen kann das auch den privaten Schlüssel beinhalten. Der Fehler lag in der Heartbeat-Funktion, mit der ein Kommunikationsteilnehmer in regelmäßigen Abständen prüfen kann, ob noch eine Verbindung zum Server besteht. Eigentlich werden in diesem Fall nur wenige Zeichen vom Server abgefragt.

Mit Heartbleed konnten aber deutlich mehr Informationen abgerufen werden, die dann eben auch vertraulichen Inhalt enthalten können. Mit mehreren so manipulierten Anfragen ist es unter Umständen möglich, den privaten Schlüssel eines Servers zu rekonstruieren, wenn dieser verwundbar ist.

Heartbleed wurde prominent vermarktet

Heartbleed gilt als die erste Sicherheitslücke, die mit einem Logo und einem Namen prominent angekündigt wurde. Dementsprechend gab es eine große Aufmerksamkeit auch in Mainstream-Medien und die Patchrate war sehr hoch. Innerhalb weniger Tage hatten die meisten der Alexa-Top-1000-Seiten ihre Server auf den neuesten Stand gebracht. Dobrindts Ministerium offenbar nicht. Dementsprechend bekam die Webseite nach Angaben von Heise im Qualys-SSL-Test bis vor einigen Tagen ein F - die schlechteste Note. Mittlerweile wurde die Software zwar auf den aktuellen Stand gebracht. Doch das möglicherweise kompromittierte Zertifikat wurde noch nicht ausgetauscht. Auf Anfrage konnte das Ministerium noch keinen Termin für den Austausch nennen.

Ein Angreifer könnte nach der Extraktion des Zertifikats Webseiten aufsetzen, die vorgeben, eine offizielle Webseite der Bundesregierung, in diesem Fall das Ministerium selbst, zu sein. Dass der Austausch so lange dauert, ist daher problematisch. Die Webseite des Ministeriums wird vom Dienstleister Init betrieben.

Alexander Dobrindt ist mit seinem Ministerium zuständig für den Ausbau der "digitalen Infrastruktur", erst kürzlich wurde verkündet, in welche Projekte das Ministerium 420 Millionen an Fördergeldern für den Breitbandausbau investiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. 970 Evo 1 TB für 149,90€, 970 Evo 500 GB für 77,90€)
  2. täglich neue Deals bei Alternate.de

bombinho 01. Mai 2016

Dann muessen die aber sehr gut bezahlt werden, denn die muessen ja dann erst einmal...

thomas42 29. Apr 2016

Tja, so ist es gewollt: Die Leistung wird ausgeschrieben, der billigste kriegt den...


Folgen Sie uns
       


Apples Airpods 2 und Samsungs Galaxy Buds im Test

Wir haben die neuen Airpods von Apple mit den Galaxy Buds von Samsung verglichen. Beim Klang schneiden die Airpods 2 wieder sehr gut ab. Es bleibt der Nachteil, dass Android-Nutzer die Airpods nur eingeschränkt nutzen können. Umgekehrt können iPhone-Nutzer die Galaxy Buds nur mit Beschränkungen verwenden. Die Galaxy Buds haben eine ungewöhnlich lange Akkulaufzeit.

Apples Airpods 2 und Samsungs Galaxy Buds im Test Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

    •  /