Security: Der Internetminister hat Heartbleed

Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur war für eine seit fast zwei Jahren geschlossene, kritische Sicherheitslücke anfällig. Das kompromittierte Zertifikat wird weiterhin verwendet.

Artikel veröffentlicht am ,
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen.
Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen. (Bild: EFF)

Die Admins der Webseite des Bundesministeriums für Verkehr und Digitale Infrastruktur (BMVI) haben in den vergangenen zwei Jahren offenbar geschlafen. Wie Heise berichtet, war die Webseite des Ministeriums bis vor wenigen Tagen noch für Heartbleed anfällig. Nach einem Hinweis an das CERT-Bund sei die Software dann aber innerhalb von zwei Tagen auf den neuesten Stand gebracht worden. Doch nach wie vor ist der Fehler nicht vollständig behoben.

Stellenmarkt
  1. Full Stack Developer (m/w/d)
    get IT green GmbH, Freiburg
  2. Junior Projektmanager / Berater SAP Logistik (m/w/d)
    BWI GmbH, deutschlandweit
Detailsuche

Mit Heartbleed wird ein Fehler in einer älteren Version von OpenSSL beschrieben. Der Fehler ermöglicht unter bestimmten Bedingungen das Auslesen privater Informationen eines Servers, unter Umständen kann das auch den privaten Schlüssel beinhalten. Der Fehler lag in der Heartbeat-Funktion, mit der ein Kommunikationsteilnehmer in regelmäßigen Abständen prüfen kann, ob noch eine Verbindung zum Server besteht. Eigentlich werden in diesem Fall nur wenige Zeichen vom Server abgefragt.

Mit Heartbleed konnten aber deutlich mehr Informationen abgerufen werden, die dann eben auch vertraulichen Inhalt enthalten können. Mit mehreren so manipulierten Anfragen ist es unter Umständen möglich, den privaten Schlüssel eines Servers zu rekonstruieren, wenn dieser verwundbar ist.

Heartbleed wurde prominent vermarktet

Heartbleed gilt als die erste Sicherheitslücke, die mit einem Logo und einem Namen prominent angekündigt wurde. Dementsprechend gab es eine große Aufmerksamkeit auch in Mainstream-Medien und die Patchrate war sehr hoch. Innerhalb weniger Tage hatten die meisten der Alexa-Top-1000-Seiten ihre Server auf den neuesten Stand gebracht. Dobrindts Ministerium offenbar nicht. Dementsprechend bekam die Webseite nach Angaben von Heise im Qualys-SSL-Test bis vor einigen Tagen ein F - die schlechteste Note. Mittlerweile wurde die Software zwar auf den aktuellen Stand gebracht. Doch das möglicherweise kompromittierte Zertifikat wurde noch nicht ausgetauscht. Auf Anfrage konnte das Ministerium noch keinen Termin für den Austausch nennen.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    21./22.07.2022, Virtuell
Weitere IT-Trainings

Ein Angreifer könnte nach der Extraktion des Zertifikats Webseiten aufsetzen, die vorgeben, eine offizielle Webseite der Bundesregierung, in diesem Fall das Ministerium selbst, zu sein. Dass der Austausch so lange dauert, ist daher problematisch. Die Webseite des Ministeriums wird vom Dienstleister Init betrieben.

Alexander Dobrindt ist mit seinem Ministerium zuständig für den Ausbau der "digitalen Infrastruktur", erst kürzlich wurde verkündet, in welche Projekte das Ministerium 420 Millionen an Fördergeldern für den Breitbandausbau investiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


bombinho 01. Mai 2016

Dann muessen die aber sehr gut bezahlt werden, denn die muessen ja dann erst einmal...

thomas42 29. Apr 2016

Tja, so ist es gewollt: Die Leistung wird ausgeschrieben, der billigste kriegt den...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn  
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  2. Cerebras WSE-2: München verbaut riesigen KI-Chip
    Cerebras WSE-2
    München verbaut riesigen KI-Chip

    Als erster Standort in Europa hat das Leibniz-Rechenzentrum (LRZ) ein CS-2-System mit Cerebras' WSE-2 gekauft, welches effizient und schnell ist.

  3. WD Red: 7 US-Dollar für falsch beworbene NAS-Festplatte
    WD Red
    7 US-Dollar für falsch beworbene NAS-Festplatte

    Weil Western Digital einige NAS-Festplatten ohne Hinweis mit SMR-Technik verkauft hatte, muss der Hersteller dafür geradestehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /