Ausgerechnet das für Internet-Angelegenheiten zuständige Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) betrieb bis Donnerstag früh einen Server, der unter anderem für die Heartbleed-Lücke anfällig war. Nachdem heise Security am Montag das CERT-Bund informiert und dieses den Hinweis weitergereicht hatte, wurde der Server Donnerstag dann aktualisiert.

Ein "F" entspricht der Schulnote 6 beim Test der SSL-Labs.

"Eine moderne Infrastruktur ist ein wichtiger Standortfaktor für unsere Wirtschaft" - wie wahr.

Wer sich auch nur ansatzweise für Sicherheit interessiert, erinnert sich an den Heartbleed-Bug als den GAU für Verschlüsselung insbesondere im Web. Durch einen schwerwiegenden Fehler in der Bibliothek OpenSSL konnten Angreifer ganz einfach vertrauliche Daten wie Passwörter und auch die geheimen Schlüssel der betroffenen Server abziehen. Die Heartbleed-Lücke wurde vor zwei Jahren entdeckt und anschließend behoben; hunderttausende Server mussten damals aktualisiert und dann auch mit neuen Schlüsseln versehen werden.

Zuständig für digitale Infrastruktur

Dass ausgerechnet das unter Alexander Dobrindt "für den Ausbau der digitalen Infrastruktur" zuständige Ministerium zwei Jahre später den eigenen, offiziellen Web-Server mit einer derart kaputten Verschlüsselung betreibt, wirft ein denkbar schlechtes Licht auf deren Kompetenz in diesem Bereich. Neben dem Heartbleed-Problem wies der Web-Server auch noch weitere kritische Sicherheitslücken auf. Zwar erscheint die Web-Seite des BMVI standardmäßig ungesichert via HTTP. Wer möchte, konnte die Web-Seiten jedoch auch gesichert via HTTPS abrufen; einzelne Seiten wie das Kontaktformular sind standardmäßig via TLS/SSL gesichert.

Dieser Heartbleed-Test zeigt, dass es sich keineswegs um ein theoretisches Problem handelt, denn er stiehlt direkt Daten aus dem Speicher des getesteten Servers.

Als wäre das nicht peinlich genug, bekleckerte sich das Ministerium auch beim Schließen der Sicherheitslücken nicht mit Ruhm. Nachdem die Zuständigen Dienstag Vormittag über Umfang und Tragweite des Problems unterrichtet wurden, war der Server am Donnerstag früh – also zwei Arbeitstage später – immer noch angreifbar. Erst im Lauf des Vormittags erfolgte die Aktualisierung des Servers. Das kompromittierte Zertifikat kommt nach wie vor zum Einsatz; es muss in den nächsten Tagen noch ersetzt und widerrufen werden.

Die lange Reaktionszeit von zwei Tagen ist vor allem deshalb problematisch, da es über die Lücke möglich war, unter anderem den geheimen Schlüssel zum Zertifikat des BMVI-Servers zu stehlen. Das Zertifikat ist immerhin auf eine offizielle Seite des Bundes ausgestellt und noch bis Ende des Jahres gültig. Mit Zertifikat und Schlüssel könnte man gefälschte Web-Seiten aufsetzen, die nur noch sehr schwer als solche zu erkennen wären. Man sollte erwarten, dass eine solche Lücke kurzfristig entschärft wird, zur Not, indem man die SSL-Seiten temporär abschaltet. (ju)