Nur 15 Prozent der Websites von Bundesbehörden bieten eine sichere Verbindung zu ihnen an. Anstatt die Schwachstellen in der Infrastruktur zu beseitigen, setzt das Bundesamt für Sicherheit in der Informationstechnik aber auf Geheimhaltung, um eine Aufklärung über die Sicherheitslücken verhindern. Dagegen wird jetzt geklagt.

HTTP ist praktisch tot. Im Gegensatz zum verschlüsselten Übertragungsprotokoll HTTPS ist die Verwendung von HTTP für Websites nicht nur unsicher, sondern zieht inzwischen auch schlechtere Rankings durch Google nach sich. Auf Behördenwebsites lebt der HTTP-Zombie allerdings weiter: Nur jede siebte Webseite einer Bundesbehörde unterstützt eine sichere Verbindung. Das zeigt das Open-Source-Projekt der Open Knowledge Foundation Deutschland „https.jetzt!“ von Maximilian Richt, das 508 Websites von Bundesministerien analysiert hat.

Gerade einmal sechs Prozent von ihnen erzwingen eine HTTPS-Verbindung, leiten also auch eine HTTP-Verbindung auf HTTPS um. Damit stehen die Behördenseiten noch schlechter da als andere vielbesuchte Websites, darunter viele Pornoseiten.

HTTPS gegen Überwachung

HTTPS ermöglicht im Gegensatz zum regelmäßig genutzten HTTP eine relativ (aber natürlich nicht absolut) sichere verschlüsselte Verbindung zwischen Webseiten und ihren BesucherInnen, die sie gegen Überwachung abschirmen kann. Das Mitlesen von Internet-Kommunikation durch Unbefugte, zum Beispiel in WLAN-Netzwerken, kann so deutlich erschwert werden. Liegt keine HTTPS-Verbindung vor, können etwa besuchte Unterseiten von Domains, Suchwörter, Passwörter und Formularinhalte mitgelesen werden. Bei richtiger Konfiguration von HTTPS werden Man-in-the-middle-Angriffe unmöglich gemacht.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit nutzt seit kurzem für Ihre Webseite HTTPS. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in einer Broschüre zur sicheren Kommunikation den Einsatz von HTTPS als Mindeststandard für die öffentliche Verwaltung.

Besuch auf Webseite des Innenministeriums nicht sicher

Das hat sich aber noch nicht einmal bis zur Aufsichtsbehörde des BSI, dem Bundesinnenministerium, herumgesprochen. Die Einstiegsseite des Ministeriums selbst leitet BesucherInnen auf ihre HTTP-Seite um. Auch die meisten anderen Behörden unterstützen keine sichere Verbindung, darunter das Justizministerium und das Ministerium für Verkehr und digitale Infrastruktur. Zu den dreißig Domains, die eine sichere Verbindung erzwingen, gehören die Seiten des Verfassungsschutzes, die Hauptseite des Finanzministeriums und des BSI selbst.

Ein Interesse an der Verbesserung der Sicherheit besteht seitens des BSI aber offensichtlich nicht: Das Bundesamt verhinderte mit einer Handreichung an alle Bundesministerien, dass diese die Listen ihrer Domains auf Anfrage nach dem Informationsfreiheitsgesetz herausgeben. Die Listen sollten genutzt werden, um auf „https.jetzt!“ noch mehr Domains auf ihre HTTPS-Verbindung zu testen. Das Argument des BSI: Eine Offenlegung der Domainlisten (und damit über https.jetzt auch der Sicherheitsschwachstellen) sei eine Gefahr für die innere Sicherheit des Landes und steigere die Gefahr von DDoS-Angriffen.

Transparenzklage gegen das Gesundheitsministerium: Security Through Obscurity?

Das Konzept des BSI ist klar: Je weniger über Sicherheitslücken bekannt wird, desto geringer ist angeblich die Gefahr. Dieser „Security Through Obscurity“ genannte Ansatz ist allerdings zum Scheitern verurteilt. Schließlich ist nicht die Offenlegung der (mit etwas technischer Kenntnis ohnehin offensichtlichen) Sicherheitslücken eine Gefahr für die innere Sicherheit, sondern die Sicherheitslücken selbst. Das BSI ist daher gut beraten, nicht die Aufklärung über die Probleme der Infrastruktur zu behindern, sondern die Probleme der Infrastruktur zu beheben. Dazu könnte es auch seine Aufsichtsbehörde überzeugen, Behörden per Verwaltungsvorschrift auf Verwendung von HTTPS zu verpflichten.

Um das Amt dabei zu unterstützen, klage ich mit Unterstützung des neuen Projekts „Transparenzklagen.de“ gegen die Geheimhaltung der Domainlisten (Transparenzklagen kann man mit Spenden unterstützen!). Exemplarisch geht es in der Klage gegen eine der ablehnenden Behörden, das Gesundheitsministerium, das nicht sagen will, welche Domains es außer der Anti-Cannabis-Webseite Quit-The-Shit.net noch registriert hat.

Ansgar Koreng von der Kanzlei „JBB Rechtsanwälte“, der mich vor Gericht vertritt, schreibt in der Klageschrift: „Die reine lnformation, welche Domains das Ministerium registriert hat, ermöglicht keinerlei Angriffe auf die IT-Infrastruktur und erleichtert solche Angriffe auch nicht. Die von dem Ministerium in den Raum geworfenen Begriffe ‚DNS-Hijacking‘ und ‚DDoS-Angriffe‘ klingen zwar interessant, werden vom Ministerium aber wohlweislich nicht näher substantiiert. Das Ministerium vermag nicht zu erklären, inwiefern die begehrte Information solche Angriffe erleichtern sollte, dazu wäre es aber verpflichtet.“

Unwissenheit schützt vor Malware nicht

In den Vereinigten Staaten werden übrigens Domainlisten der Verwaltung standardmäßig veröffentlicht. Die Webseite „Pulse“, auf der „https.jetzt!“ basiert, testet alle Domains der US-Behörden auf HTTPS. Dort ist die US-Regierung selbst Betreiber der Seite. Danach verwenden immerhin 61 Prozent der US-Behördensites HTTPS.

Eine Zertifizierung mit HTTPS kann für Behörden recht einfach von bundeseigenen Stellen durchgeführt werden. Außerdem gibt es, auch für private Webseiten, inzwischen das kostenlose „Let’s Encrypt“. Wie sicher eine HTTPS-Konfiguration ist, lässt sich über den SSL-Server-Test herausfinden. Das gilt auch für kommunale Behörden. Die schneiden nämlich in Sachen Verschlüsselung noch schlechter ab.

Unabhängig davon hilft das Browser-Plugin „HTTPS Everywhere“ der Electronic Frontier Foundation NutzerInnen dabei, grundsätzlich HTTPS-Seiten anzuwählen, sofern diese vorhanden sind. Es ist für alle gängigen Browser verfügbar.