Heartbleed Dobrindt-Ministerium muss Sicherheitslücke stopfen

Die Panne betrifft ausgerechnet das Ministerium, das für digitale Infrastruktur zuständig ist: Die Website des BMVI war anfällig für eine längst bekannte Sicherheitslücke - auf die man nur ganz gemächlich reagierte.

Heartbleed-Logo auf Bildschirm
[M] DPA

Heartbleed-Logo auf Bildschirm

Von


Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur (BMVI) war offenbar bis Donnerstag anfällig für eine schwere Sicherheitslücke namens Heartbleed. Die Schwachstelle in der Verschlüsselungssoftware ist schon jahrelang bekannt und gilt seit ihrem Auftreten als eine der größten Sicherheitslücken in der Geschichte des Internets. Sie macht eigentlich besonders gesicherte Webseiten anfällig für Angriffe, denn der Fehler steckt in der weit verbreiteten Verschlüsselungsfunktion OpenSSL. Mehr zur Funktionsweise von Heartbleed steht hier.

Wie "Heise Security" berichtet, wies der Webserver neben dem Heartbleed-Problem noch weitere Sicherheitslücken auf. "Heise Security" will laut dem eigenen Bericht am Montag das Computer-Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) informiert haben, das CERT-Bund. Der Server des Ministeriums sei dennoch am Donnerstagvormittag noch angreifbar gewesen. Das würde bedeuten, dass die Verantwortlichen nicht besonders schnell reagiert haben.

Dank der Sicherheitslücke ist es laut "Heise Security" etwa möglich gewesen, das Zertifikat des Servers zu stehlen und damit gefälschte Webseiten ins Netz zu stellen. Seit dem ersten Bekanntwerden von Heartbleed hatten Hunderttausende Betreiber ihre Server aktualisiert - am BMVI, das für den deutschlandweiten Ausbau der digitalen Infrastruktur zuständig ist, ging das offenbar vorbei.

Das Ministerium verweist auf den Dienstleister

Das Ministerium von Alexander Dobrindt verweist auf einen externen Dienstleister, der den betroffenen Webserver für das BMVI betreibt. Das BSI habe die Firma namens Init zertifiziert. Nachdem die Heartbleed-Lücke 2014 bekannt geworden sei, habe Init reagiert und alle Systeme überprüft. Einen letzten Sicherheitscheck des Dienstleisters habe es Mitte Februar gegeben - damals sei alles in Ordnung gewesen, so das Ministerium.

Dass die Reaktionszeit aber offenbar in der Tat ungewöhnlich lange war angesichts der schweren Sicherheitslücke, zeigen weitere Aussagen des Ministeriums: Dort will man erst am Dienstag um 18.29 Uhr per Mail vom BSI über das Problem, von dem "Heise Security" berichtet, informiert worden sein.

Erst am Mittwoch sei die Mail an Dienstleister Init weitergeleitet worden. Am Donnerstagvormittag sei das Problem dann behoben worden. Außerdem hat Init laut dem BMVI das alte SSL-Zertifikat zurückgerufen, um Missbrauch zu vermeiden, und ein neues erstellt. Init äußerte sich bislang noch nicht auf Anfragen.


Update, 16.30 Uhr: Die Firma Init hat ebenfalls bestätigt, dass es die Sicherheitslücke in Bezug auf Heartbleed gegeben habe. Die Init-Systeme seien 2014 auf die Heartbleed-Lücke hin geprüft worden, damals mit negativem Ergebnis. Wie es nun zu der Sicherheitslücke kommen konnte, werde überprüft.



insgesamt 8 Beiträge
Alle Kommentare öffnen
Seite 1
newline 29.04.2016
1. Warum
wundert mich das bei dem Dobrindt-Ministerium nicht?
rmuekno 29.04.2016
2. externer Dienstleister
ob zertifiziert oder nicht. Die Bundes IT ist Sache des Bundes, wenn schon die Ministerien es nicht schaffen eigen kompetente IT Abteilungen auf die Beine zu stellen, dann sollte es doch möglich sein eine gemeinsam Abteilung z bekommen oder alles an das BSI auslagern. Kann ja wie mit einem externen Dienstleister verrechnet werden. Allerdings müsste man dann auch etwas Geld um gute Spezialisten bezahlen zu können. Das geht dann schnell in den 4 stelligen Bereich. Es ist jedenfalls ein Armutszeugnis ohne gleichen.
keinblattvormmund 29.04.2016
3. Die anderen sind schuld
Wie immer sind andere schuld. Da unterhält der Staat einen total aufgeblähten Apparat aus Ministerium für Verkehr und digitale Infrastruktur und dem Bundesamt für Sicherheit in der Informationstechnik und versagt auf ganzer Linie kläglich. Naja. Ist halt "Neuland" dieses ganze Internet-Dings-Da. Und in solchen Ministerien wird über die "Digitale Zukunft Deutschlands" entschieden? Kommt mir eher so vor, als wenn die Blinden über Farben reden.
der_unbekannte 29.04.2016
4. Dobrindt-Bashing
auch wenn ich ihn nicht mag, aber da dürften einige Unternehmen oder staatliche Stellen ihre Webserver noch nicht auf den aktuellsten Stand gebracht haben. Für mich als IT'ler ist so etwas Alltag. Schade, dass SPON daraus einen Artikel macht.
keinblattvormmund 29.04.2016
5. Immer am Bodensatz orientieren?
Zitat von der_unbekannteauch wenn ich ihn nicht mag, aber da dürften einige Unternehmen oder staatliche Stellen ihre Webserver noch nicht auf den aktuellsten Stand gebracht haben. Für mich als IT'ler ist so etwas Alltag. Schade, dass SPON daraus einen Artikel macht.
Ach. Nur weil "einige" Unternehmen und staatliche Stellen ebenso kläglich versagen, ist das nicht weiter erwähnenswert? Was Unternehmen mir ihrer IT machen, ist mir egal, solange es nicht um die von mir betreute Infrastruktur geht (die binnen Stunden nach Bekanntwerden gefixt war). Wenn sich aber staatliche Stellen, die in diesem Fall auch noch die deutsche IT-Richtlinienkompetenz für sich reklamieren, in der Tat aber von absoluten Versagern geführt und betreut werden, derartig blamieren, ist das schon eine Meldung wert. Schließlich zeigt es deutlich, dass die Politiker, die in dem Bereich das Sagen haben wollen, absolut nichts drauf haben. Wenn sie dann tatsächlich mal was zum Thema beizutragen haben, plappern sie das nach, was die Lobbyisten ihnen eingeflüstert haben. Solche Typen wie Dobrindt und Oettinger haben doch absolut Null Ahnung von der Materie.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.