Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Angeblicher Merkel-Rücktritt: Lücke in Website der Bundesregierung

Eine Meldung über den angeblichen Rücktritt der Kanzlerin konnte man heute auf der offiziellen Seite der Bundesregierung lesen, sofern man präparierte Links im Internet anklickte. Derartige Sicherheitslücken sind schon länger bekannt - tauchen aber immer wieder auf.

Kanzlerin Angela Merkel (CDU) sieht sich derzeit heftiger Kritik ausgesetzt: Die einen werfen ihr Führungsschwäche vor. Die anderen, dass sie sich schon längst von den Zielen verabschiedet hätte, mit denen sie zur Bundestagswahl angetreten war.

Manipulierter Link: Merkel zurückgetreten?

Manipulierter Link: Merkel zurückgetreten?

Heute nun hätte die Kanzlerin sogar schon eine Meldung über ihren eigenen Rücktritt lesen können - und das ausgerechnet noch auf der offiziellen Seite der Bundesregierung und auf den Seiten des Deutschen Bundestags. Merkel hätte dazu nur einen der manipulierten Links anklicken müssen, die in der Blogosphäre kursieren, etwa im cBlog von Constantin Hofstetter.

Die Manipulation setzt einen entsprechenden Link zu bundestag.de oder bundesregierung.de voraus, in dem html- oder Script-Code versteckt ist. Wird dieser bösartige Code vom Server nicht als solcher erkannt, dann sind Meldungen wie jene vom angeblichen Rücktritt Merkels möglich.

Cross-Site-Scripting heißt die schon länger bekannte Methode, mit der sich unter anderem beliebige Texte in Webseiten einbauen lässt, sofern diese bestimmte Sicherheitslücken aufweisen. Die Texte werden allerdings nicht wirklich in die Seite eingebaut - dies geschieht nur im Browserfenster desjenigen, der einen präparierten Link anklickt.

Erst im Juli hatte der Sicherheitsexperte Yash Kadakia in seinem Blog vor ähnlichen Lücken bei den Portalen Internet.com, Amazon.com und MSN.com gewarnt und Screenshots mit manipulierten Inhalten veröffentlicht. Ein paar Tage später legte Psypointers Blog mit Hinweisen auf Lücken bei spd.de, t-mobile.de und bundesregierung.de nach. Unter anderem zeigte das Blog einen Screenshot der Regierungsseite mit dem Text "Steuerfreiheit für alle".

Die Cross-Site-Scripting-Lücke auf bundesregierung.de wurde mittlerweile offenbar geschlossen, wie heise online berichtet. Auf bundestag.de besteht die Lücke jedoch weiterhin.

hda

Diesen Artikel...

© SPIEGEL ONLINE 2006
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: