Geheimniskrämerei um unsichere Domains: Klage gegen Intransparenz der Bundesministerien

Nur 15 Prozent der Websites von Bundesbehörden bieten eine sichere Verbindung zu ihnen an. Anstatt die Schwachstellen in der Infrastruktur zu beseitigen, setzt das Bundesamt für Sicherheit in der Informationstechnik aber auf Geheimhaltung, um eine Aufklärung über die Sicherheitslücken verhindern. Dagegen wird jetzt geklagt.

I should switch my website to HTTPS

HTTP ist praktisch tot. Im Gegensatz zum verschlüsselten Übertragungsprotokoll HTTPS ist die Verwendung von HTTP für Websites nicht nur unsicher, sondern zieht inzwischen auch schlechtere Rankings durch Google nach sich. Auf Behördenwebsites lebt der HTTP-Zombie allerdings weiter: Nur jede siebte Webseite einer Bundesbehörde unterstützt eine sichere Verbindung. Das zeigt das Open-Source-Projekt der Open Knowledge Foundation Deutschland „https.jetzt!“ von Maximilian Richt, das 508 Websites von Bundesministerien analysiert hat.

Gerade einmal sechs Prozent von ihnen erzwingen eine HTTPS-Verbindung, leiten also auch eine HTTP-Verbindung auf HTTPS um. Damit stehen die Behördenseiten noch schlechter da als andere vielbesuchte Websites, darunter viele Pornoseiten.

HTTPS gegen Überwachung

HTTPS ermöglicht im Gegensatz zum regelmäßig genutzten HTTP eine relativ (aber natürlich nicht absolut) sichere verschlüsselte Verbindung zwischen Webseiten und ihren BesucherInnen, die sie gegen Überwachung abschirmen kann. Das Mitlesen von Internet-Kommunikation durch Unbefugte, zum Beispiel in WLAN-Netzwerken, kann so deutlich erschwert werden. Liegt keine HTTPS-Verbindung vor, können etwa besuchte Unterseiten von Domains, Suchwörter, Passwörter und Formularinhalte mitgelesen werden. Bei richtiger Konfiguration von HTTPS werden Man-in-the-middle-Angriffe unmöglich gemacht.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit nutzt seit kurzem für Ihre Webseite HTTPS. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in einer Broschüre zur sicheren Kommunikation den Einsatz von HTTPS als Mindeststandard für die öffentliche Verwaltung.

Besuch auf Webseite des Innenministeriums nicht sicher

Das hat sich aber noch nicht einmal bis zur Aufsichtsbehörde des BSI, dem Bundesinnenministerium, herumgesprochen. Die Einstiegsseite des Ministeriums selbst leitet BesucherInnen auf ihre HTTP-Seite um. Auch die meisten anderen Behörden unterstützen keine sichere Verbindung, darunter das Justizministerium und das Ministerium für Verkehr und digitale Infrastruktur. Zu den dreißig Domains, die eine sichere Verbindung erzwingen, gehören die Seiten des Verfassungsschutzes, die Hauptseite des Finanzministeriums und des BSI selbst.

Ein Interesse an der Verbesserung der Sicherheit besteht seitens des BSI aber offensichtlich nicht: Das Bundesamt verhinderte mit einer Handreichung an alle Bundesministerien, dass diese die Listen ihrer Domains auf Anfrage nach dem Informationsfreiheitsgesetz herausgeben. Die Listen sollten genutzt werden, um auf „https.jetzt!“ noch mehr Domains auf ihre HTTPS-Verbindung zu testen. Das Argument des BSI: Eine Offenlegung der Domainlisten (und damit über https.jetzt auch der Sicherheitsschwachstellen) sei eine Gefahr für die innere Sicherheit des Landes und steigere die Gefahr von DDoS-Angriffen.

Transparenzklage gegen das Gesundheitsministerium: Security Through Obscurity?

Das Konzept des BSI ist klar: Je weniger über Sicherheitslücken bekannt wird, desto geringer ist angeblich die Gefahr. Dieser „Security Through Obscurity“ genannte Ansatz ist allerdings zum Scheitern verurteilt. Schließlich ist nicht die Offenlegung der (mit etwas technischer Kenntnis ohnehin offensichtlichen) Sicherheitslücken eine Gefahr für die innere Sicherheit, sondern die Sicherheitslücken selbst. Das BSI ist daher gut beraten, nicht die Aufklärung über die Probleme der Infrastruktur zu behindern, sondern die Probleme der Infrastruktur zu beheben. Dazu könnte es auch seine Aufsichtsbehörde überzeugen, Behörden per Verwaltungsvorschrift auf Verwendung von HTTPS zu verpflichten.

Um das Amt dabei zu unterstützen, klage ich mit Unterstützung des neuen Projekts „Transparenzklagen.de“ gegen die Geheimhaltung der Domainlisten (Transparenzklagen kann man mit Spenden unterstützen!). Exemplarisch geht es in der Klage gegen eine der ablehnenden Behörden, das Gesundheitsministerium, das nicht sagen will, welche Domains es außer der Anti-Cannabis-Webseite Quit-The-Shit.net noch registriert hat.

Ansgar Koreng von der Kanzlei „JBB Rechtsanwälte“, der mich vor Gericht vertritt, schreibt in der Klageschrift: „Die reine lnformation, welche Domains das Ministerium registriert hat, ermöglicht keinerlei Angriffe auf die IT-Infrastruktur und erleichtert solche Angriffe auch nicht. Die von dem Ministerium in den Raum geworfenen Begriffe ‚DNS-Hijacking‘ und ‚DDoS-Angriffe‘ klingen zwar interessant, werden vom Ministerium aber wohlweislich nicht näher substantiiert. Das Ministerium vermag nicht zu erklären, inwiefern die begehrte Information solche Angriffe erleichtern sollte, dazu wäre es aber verpflichtet.“

Unwissenheit schützt vor Malware nicht

In den Vereinigten Staaten werden übrigens Domainlisten der Verwaltung standardmäßig veröffentlicht. Die Webseite „Pulse“, auf der „https.jetzt!“ basiert, testet alle Domains der US-Behörden auf HTTPS. Dort ist die US-Regierung selbst Betreiber der Seite. Danach verwenden immerhin 61 Prozent der US-Behördensites HTTPS.

Eine Zertifizierung mit HTTPS kann für Behörden recht einfach von bundeseigenen Stellen durchgeführt werden. Außerdem gibt es, auch für private Webseiten, inzwischen das kostenlose „Let’s Encrypt“. Wie sicher eine HTTPS-Konfiguration ist, lässt sich über den SSL-Server-Test herausfinden. Das gilt auch für kommunale Behörden. Die schneiden nämlich in Sachen Verschlüsselung noch schlechter ab.

Unabhängig davon hilft das Browser-Plugin „HTTPS Everywhere“ der Electronic Frontier Foundation NutzerInnen dabei, grundsätzlich HTTPS-Seiten anzuwählen, sofern diese vorhanden sind. Es ist für alle gängigen Browser verfügbar.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Braucht ihr noch mehr Beweise dafür dass das BSI völlig unfähig, nutzlos und eine riesige Verschwendung von Steuergeldern ist?
    BSI delenta est!

  2. Wenn man so liest, wie viele Accounts von Pornoseiten gehackt wurden, herrscht dort reger „Verkehr“. Die brauchen weder google noch Werbung, wie es aussieht. Irgendwelche Behördenseiten damit zu vergleichen ist schräg. Da kann man sich ja gleich die Seiten der Parteien antun. Das tun nur Sadomasotypen.

    Wozu ich auf einer normalen Seite https brauchen soll, ist mir nicht ansatzweise klar. Mir genügt, wenn meine Banken oder Versicherungen und sonstwelche Kundendienste sichere Verschlüsselung bieten. Meinetwegen alles, was mit irgendwelchen Zahlungsvorgängen zu tun hat. Letzten Endes artet es so aus, dass es immer attraktiver für die Hackerillia wird https durch das Klauen von Zertifikaten völlig unbrauchbar zu machen. Was nutzt ein https bei Google &. co., wenn die NSA den Schlüssel hat und realtime mitliest? Was nutzt es, wenn meine_bank.de https-verschlüsselt und auf Servern in den USA realtime mitgelesen wird? Diese Art Verschlüsselung bringt rein garnichts. Man kann durch Tor die Identität verschleiern, dann ist man weitgehend vor Angriffen jeder Art sicher. Dafür kommt man nicht auf alle Seiten, z.B. https://bsi.de und kann nicht alle Internetdienste nutzen. Aber auch mit einem Firefox und httpseverywhere ist man vor den Trackern nicht ansatzweise sicherer.

    1. „dass es immer attraktiver für die Hackerillia wird https durch das Klauen von Zertifikaten völlig unbrauchbar zu machen“
      Genau das Gegenteil wird daraus. Wenn nur atraktive Verbidnugen verschlüsselt werden ist es rentabel diese zu brechen.
      Wenn aber alle Verbidnungen verschlüselt werden, dann ist der Größte Teil der gekackten Verbindungen unnütz für die „Hackerillia“.

  3. …aber n paar kleine schnitzer hat er doch drin.

    ;-) ..“ frag den nerd “

    best regards
    (bmi soll warscheinlich unsicher auf einem ende sein, oder es ist winXP, aber auch das ist nicht standardmässig unsicher, nur älter.)

  4. Https als sichere Verbindung zu bezeichnen zeigt mal wieder, dass jede Ahnung von der dahinterliegenden Technik fehlt und einfach geglaubt wird, wenn jemand sagt es sei sicher. Https basiert auf Zertifikaten, die werden von CAs ausgestellt und von den CAs weiß man, dass sie mehrmals gehackt wurden, dass sie Lücken haben, die Dritten das Ausstellen von Zertifikaten auf andere Domains erlauben und dass sie mit der NSA zusammenarbeiten. Das soll sicher sein???

    Sie Verschlüssleung durch Zertifikate ist nicht sicher, wenn sich jeder mit ausreichenderm Wissen Zertifikate auf andere Namen ausstellen lassen kann und die Identität kann man aus dem gleichen Grund damit nicht beweisen.

    1. Naja du schreibst dass jetzt ja grade so als sei man nicht selber dafür verantwortlich welchen CAs man vertraut. HTTPS bietet definitiv einen Sicherheitsgewinn und sei es auch nur die Reduzierung der zum Angriff technisch fähigen Gegner.

      „Ich vertraue den CAs nicht, deswegen verwende ich die Verschlüsselung (etc.) nicht“ – macht doch keinen Sinn.

      1. Natürlich ergibt es Sinn.
        Ein Gurt im Auto reduziert das Risiko bei einem Unfall um 37,6%, deswegen benutze ich keinen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.