Unsichere Webserver sind hässliche Visitenkarten

BLOG: Datentyp

Informatik, Daten und Privatsphäre
Datentyp

Für viele Kleinunternehmen, Freiberufler oder Privatleute nimmt die eigene Webseite die Rolle einer elektronischen Visitenkarte ein. Wenige, aber relevante Informationen werden möglichst ansprechend präsentiert. Dann kann man gegoogelt werden und hinterlässt einen möglichst guten Eindruck bei Besuchenden. Die Bedeutung einer digitalen Außendarstellung nimmt stetig zu, da Kommunikationswege und Informationsgewinnung zunehmend über das Internet abgebildet werden.

Je größer das Unternehmen oder die Organisation, desto wichtiger wird der Webauftritt. Dann ist er mehr als nur eine Visitenkarte: Produkte und Dienstleistungen werden abgebildet, Webservices kommen hinzu, die technische Plattform bildet Geschäftsprozesse ab. Die Funktion der Außendarstellung bleibt aber immer erhalten: Wenn bei der grafischen Gestaltung oder der Aufbereitung der Informationen geschlampt wird, fällt dies auf das Unternehmen zurück.

tls_insecure_2
Visualisierung einer unsicheren Verbindung (Chrome-Browser, 1)

Die Kommunikation mit dem Webserver sollte abgesichert werden. Es gibt bereits seit Jahren eine etablierte Technologie (TLS), die bei richtiger Konfiguration für eine angemessene Absicherung der Daten sorgt; die dafür benötigten elektronischen Zertifikate können mittlerweile kostenlos erworben werden. Neben einem Zertifikat nach Stand der Technik muss auch der Webserver selbst nach aktuellen Vorgaben konfiguriert werden, um eine gute Absicherung zu erzielen. Der Aufwand dafür ist nicht sehr hoch, trotzdem gibt es hier oft Defizite und alte, seit langem bekannte Sicherheitslücken bleiben unnötigerweise bestehen.

Eine kürzlich gestartete Untersuchung im Rahmen eines Projektes (behoerden-online-dienste.de) der Open Knowledge Foundation Deutschland in Kooperation mit dem Labor für IT-Sicherheit der Hochschule Rhein-Waal zeigte, dass der öffentliche Sektor bei der Absicherung der Webseiten schludert. Viele Kommunen bieten beispielsweise gar keine Verschlüsselung an, wenn Bürgerinnen und Bürger die Webseite nutzen. Dies ist schon aus Datenschutzsicht ein unhaltbarer Zustand, da über Formulare, Suchfelder und fortgeschrittene Applikationen der elektronischen Verwaltung häufig personenbezogene Daten übermittelt werden. Nicht zuletzt E-Government-Dienste sind in besonderer Weise von der Übertragung sensibler Daten betroffen.

tls_insecure
Visualisierung einer unsicheren Verbindung (Chrome-Browser, 2)

 

Aktuelle Browser visualisieren die Problematik, wenn man die Webseite aufruft (z. B. über ein Icon links von der URL) und geben ausführliche Informationen, wenn man an der richtigen Stelle klickt. Die Darstellung ist aber nicht umfassend und orientiert sich eher an den technisch weniger versierten Usern, die mutmaßlich nur wissen möchten, ob die Verbindung pauschal als sicher oder unsicher eingestuft wird.

Wird die Verbindung als unsicher visualisiert, ist die Wirkung bei den Nutzenden oft verheerend. Wer möchte schon E-Government-Dienste mit einer Kommune abwickeln, deren Webserver bereits als unsicher wahrgenommen wird?! Der Webauftritt trägt dann zu einem eher negativen Image der öffentlichen Verwaltung bei. Aus der digitalen Visitenkarte wird eine hässliche Präsentation.

tls_insecure_wrong
Visualisierung einer unsicheren Verbindung (Chrome-Browser, 3)

 

Die Ergebnisse werden beim Projekt behoerden-online-dienste.de fortlaufend aktualisiert, sodass rasch sichtbar wird, wenn Kommunen Mängel beseitigt haben. Jede Bürgerin und jeder Bürger kann daher mit recht aktueller Datenbasis prüfen, ob die eigene Kommune sicher im Web aufgestellt ist und den Fortschritt nachvollziehen. Hierbei soll vor allen ein Benchmarking-Effekt angestoßen werden: Wenn die Verwaltungsspitze feststellt, dass benachbarte Kommunen bei der Websicherheit besser da stehen als die eigene, steigt die Motivation, sich selbst des Themas anzunehmen. Gute Praxisbeispiele (Vorbildkommunen) werden zudem auf der Startseite aufgeführt, um ein Lob an die zu verteilen, die es sich verdient haben.

Neben den Webservern sind auch die Mailserver betroffen, wenn bei der TLS-Absicherung geschludert wird. Auch diese Ergebnisse werden auf der Projektwebseite dargestellt.

 

 

”The purpose of computing is insight, not numbers.” (Richard Hamming) Ulrich Greveler studierte in Gießen Mathematik und Informatik, arbeitete sechs Jahre in der Industrie im In- und Ausland, bevor er als Wissenschaftler an die Ruhr-Universität nach Bochum wechselte. Seit 2006 lehrt er Informatik mit dem Schwerpunkt IT-Sicherheit an der Fachhochschule Münster (bis 03/2012) und der Hochschule Rhein-Waal (seit 03/2012). Sein besonderes Interesse gilt datenschutzfördernden Technologien und dem Spannungsverhältnis zwischen Privatsphäre und digitaler Vernetzung.

5 Kommentare

  1. “Dies ist schon aus Datenschutzsicht ein unhaltbarer Zustand, da über Formulare, Suchfelder und fortgeschrittene Applikationen der elektronischen Verwaltung häufig personenbezogene Daten übermittelt werden.”

    In der Regel sind eGovernment-Portale sowie Portale für die Ratsarbeit auf verschlüsselte Seiten ausgelagert. Die eigendliche Internetseite einer Kommune ist in der Regel nur eine Informationsquelle. Die einzige Kommunikation vom Bürger passiert über das Kontakt/Verbesserungsvorschläge-Formular.

  2. Nur für den (ganz unwahrscheinlichen) Fall, dass Otto-Normalverbraucher, der normale Mensch oder Bär sozusagen, den hier vorliegenden Text nicht umfänglich versteht, der Secure Sockets Layer (“SSL”) leistet zweierlei:
    1.) Er stellt über die Certificate authority sicher, dass derjenige, der im Web Inhalte bereit stellt, auch rechtlich derjenige ist, der dies tut.
    D.h. es gibt Identitätskontrollen über sogenannte Trust-Center.
    2.) Er stellt verschlüsselte Datenübertragung sicher, so dass niemand “mitlauschen” kann.

    MFG
    Dr. Webbaer (der aus – ‘die dafür benötigten elektronischen Zertifikate können mittlerweile kostenlos erworben werden’ – schließen würde, dass zumindest die oben genannte Leistung 1 nicht in diesem Fall erbracht wird, abär schon ein wenig länger aus dem Geschäft raus ist, sich gerne anderweitig belehren lässt)

Schreibe einen Kommentar