Jürgen Schmidt ist Redakteur beim Heise-Verlag. Er entdeckte diese sensible Sicherheitslücke auf der Homepage des für das Internet zuständigen Bundesministers für Verkehr und digitale Infrastruktur.
Ich finde das besonders peinlich und bezeichnend, dass ausgerecht unser Internetministerium offensichtlich nicht in der Lage ist, einen Internetserver zu betreiben, der auch nur ansatzweise dem Stand der Technik und den Basis-Sicherheitsanforderungen genügt.
Heftige Vorwürfe, die Jürgen Schmidt auch begründen kann. Zur Vorgeschichte: Vor ungefähr zwei Jahren war ein Fehler bei der Verschlüsselung von Internetseiten aufgetaucht. Fachleute nannten diesen den Heartbleed-Bug.
Damals mussten hundertausende, vielleicht sogar Millionen-Server aktualisiert werden.
Die Heartbleed-Bug ist deshalb eine der bekanntesten Sicherheitslücken der Computer-Welt. Und ausgerechnet diese Lücke entdeckte Jürgen Schmidt, als er von außen das Internetangebot des Bundesministeriums testete. Heißt das, dass die Sicherheitslücke schon seit zwei Jahren besteht?
Das kann ich schlecht sagen. Es kann durchaus sein, dass die auch irgendwann später den Server aufgesetzt haben und der von vornherein dann verwundbar war. Die letzten Tage, als ich ihn getestet habe, war der tatsächlich akut verwundbar. Man konnte ihn angreifen und konnte sensible Daten von dem Server abziehen.
Sensibel Daten: Das sind vor allem die Passwörter der Nutzer. Doch auch das digitale Zertifikat des Servers war für Fremde einsehbar. Und das ist besonders schlimm, denn damit lässt sich die Seite eindeutig als das offizielle Angebot des Bundesministeriums identifizieren. Es ist sozusagen ein digitaler Personalausweis.
Der Schlüssel für dieses Zertifikat ist kompromittiert, den könnten jetzt im Prinzip, während der Server offen war, andere geklaut haben. Das heißt, die Behörde muss sich jetzt ein neues Zertifikat ausstellen lassen.
Solange das nicht geschieht, gibt es ein Problem:
Mit diesem geheimen Schlüssel könnte man einen Webserver selber aufsetzen, der sich dann als offizieller Server des Bundesministeriums ausgibt, und dies sogar mit einem gültigen Zertifikat beweisen kann.
Über zwei Arbeitstage brauchte das Bundesministerium für digitale Infrastruktur, um die Sicherheitslücke zu schließen. Eine offizielle Stellungnahme dazu gibt es bislang nicht.