Heartbleed vs. Datenschutz

Vor einigen Wochen habe ich alle Landesdatenschutzbeauftragte angeschrieben und gefragt, ob sie etwas gegen Heartbleed unternehmen möchten. Bisher habe ich von elf dreizehn Landesbehörden eine Antwort erhalten. Sieben Zehn von ihnen wollen Hinweise zu Seiten die den Heartbleed-Bug enthalten annehmen. Einer hat aus “Kapazitätsgründen” ganz klar abgelehnt, und ein weiterer sieht “im Zweifel keine Möglichkeit, sämtliche in xyz sitzenden Seitenbetreiber konstant hinsichtlich aller Sicherheitslücken zu überwachen”. Zwei Landesbehörden haben mir per Snailmail (!) nur den Eingang meiner E-Mail bestätigt. (Kann es sein, dass dort die E-Mails ausgedruckt und an Mitarbeiter zur Bearbeitung verteilt werden?)

Ja, liebe Datenschützer, ich bin diese Nervensäge! :O)


Einer der Landesdatenschützer antwortete mir u.a. folgendes:

Auf der Hand liegt ein Verstoß gegen § 9 Bundesdatenschutzgesetz (BDSG) bei Unternehmen…

Da ich nun kein Leser von Gesetzen bin, war mir diese mögliche Handhabe unbekannt. Der § im BDSG besagt:

§ 9 Technische und organisatorische Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Quelle: http://www.gesetze-im-internet.de/bdsg_1990/__9.html

Aus der Anlage dazu:

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)

Quelle: http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html

Per Heartbleed ist es möglich, bei der Übertragung unbefugt Daten zu lesen — hierzu gibt es keine zwei Meinungen — also sind die Datenschützer zuständig?!


Dem zweiten Landesdatenschutzbeauftragten, der mir geantwortet hatte, nannte ich insgesamt sechs Seiten. In der ersten E-Mail eine Seite und, nachdem er mir signalisierte weitere entgegennehmen zu wollen, fünf weitere. Der erste Seitenbetreiber behob das Problem innerhalb von 24 Stunden. Die anderen fünf Seiten bieten das Heartbleed-Feature weiterhin an. Ob dieser Datenschützer in den vergangenen drei Wochen noch keine Zeit hatte die Seitenbetreiber zu kontaktieren oder ob diese einfach nicht reagierten, weiß ich nicht.

Keine der Seiten, bis auf die eine, haben Heartbleed gefixt.


Eines kann ich bereits jetzt feststellen: Es ist sehr sehr langwierig mit den Landesdatenschutzbeauftragten zu kommunizieren. Bei einem hat es geschlagene sechs Wochen gedauert, bis ich nach der ersten Bestätigungs-E-Mail über den Empfang meiner E-Mail, eine Antwort erhielt.

Nachdem was im BDSG steht, wären, meiner unjuristischen Meinung nach, die Datenschützer zuständig, wenn Heartbleed nicht gefixt wurde. Aber es scheint so zu sein, dass niemand dem § 9 und der Punkte in der Anlage darin folgen möchte. Wahrscheinlich sehen die Datenschützer ein Problem auf sich zukommen, wenn sie nun Verstöße bezüglich Heartbleed ahnden würden, denn auch SQL-Injection könnte man unter § 9 betrachten und so viele andere Sicherheitslücken. Da die Landesbehörden schon ein Kapazitätsproblem haben, überhaupt auf eine E-Mail zu antworten, würde wohl der Betrieb gänzlich zum Erliegen kommen, wenn alleine nur ich, alle mir bekannten Schwachstellen anzeigen würde.


Ok, ich gebe es zu, ich hatte versucht über Heartbleed Verbündete zu finden, um gegen Seitenbetreiber vorgehen zu können, die einfach unwillig sind, ihre Besucher zu schützen. Einen Versuch war es wert. :O|

Heartbleed: Bis einem die Drohne den Arsch wegpustet

300k vulnerable to Heartbleed two months later” (blog.erratasec.com)

Last night, now slightly over two months after Heartbleed, we scanned again, and found 300k (309,197) still vulnerable.


Schrecken ohne Ende: Noch immer sind 300.000 Server von Heartbleed betroffen” (t3n.de)

Über einen tiefgreifenden Fehler konnten Kriminelle damals die eigentlich verschlüsselte Verbindung der Server theoretisch abhören, indem sie auf die gespeicherten Daten im Arbeitsspeicher zugriffen.

“tiefgreifenden Fehler konnten”
Falsch!
Können weiterhin!

“theoretisch abhören”
Falsch!
Praktisch, ohne Fachwissen abhören.

Theoretisch könnte man sich den Hals brechen, wenn man vom Dach eines 20 stöckigen Hochhauses spring — nur Theoretisch, i.d.R. ist man unten ein Häufchen Matsch, wo es relativ egal ist, ob der Hals gebrochen ist. ;O)


Heartbleed wütet immer noch” (netzwoche.ch)
Quatsch!
Da wütet gar nichts, die Opfer merken nichts von dem Loch, aus dem die unverschlüsselten Daten abfließen.

Heartbleed ist so ähnlich wie das weltweite Abhören von BND, NSA, GCHQ & Co., davon merken die Opfer, also wir alle, auch nichts — bis einem die Drohne den Arsch wegpustet.


Die Antwort eines der Landesbeauftragten für Datenschutz und Informationsfreiheit auf meine Nachfrage, ob ein Seitenbetreiber grob fahrlässig handelt wenn er Heartbleed nicht fixt:

Ihrer Auffassung, dass ein Seitenbetreiber der die Sicherheitslücke in OpenSSL noch nicht geschlossen hat, grob fahrlässig handelt, kann ich mich nur anschließen. Aus diesem Grund können Sie die jeweiligen Stellen, sofern Sie konkrete Anhaltspunkte darlegen können und der Seitenbetreiber seinen Sitz in <Bundesland> hat, diese Stellen bei mir melden. Ich bitte Sie jedoch darzulegen, aufgrund welcher Tatsachen Sie den Verdacht hegen, dass in diesen Einzelfällen die Sicherheitslücke noch nicht geschlossen wurde.

Wer also eine Seite findet, die weiterhin das Heartbleed-Feature anbietet, der sollte den Datenschützer des Bundeslandes anschreiben, der laut Impressum des Seitenbetreibers zuständig ist.

Die Kontaktdaten zu den jeweiligen Datenschützern der Länder findet man hier:
Die Aufsichtsbehörden für den nicht-öffentlichen Bereich” (bfdi.bund.de)


Da man als Seitenbesucher nicht sofort mit einer Warnung im Browser auf Heartbleed hingewiesen wird, noch einmal meine Empfehlung, den Browser entsprechenden zu erweitern.

Add-On / Erweiterung

Ich kann nur jedem raten, im Browser ein Add-On zu installieren, welches anzeigt ob Heartbleed möglich ist oder nicht. Für Firefox und Chrome gibt es jeweils mehrere Add-Ons, ich habe hier nur die erwähnt und Verlinkt die auch zuverlässig funktionieren. Die nicht erwähnten zeigen False Positive oder man muss zwingend die https-Seite besuchen.

  • Firefox:
    Heartbleed-Ext (addons.mozilla.org)
  • Chrome:
    Chromebleed (chrome.google.com)
    Stopbleed (chrome.google.com)
  • Opera:
    Netcraft Extension (addons.opera.com)
    Es muss zwingend die https-Seite aufgerufen werden. Bei Seiten bei denen z.B. in einem iframe das Login per https erfolgt, erkennt die Erweiterung die Anfälligkeit nicht. (Sehr unzuverlässig.)
  • Internet Explorer:
    Auf www.iegallery.com konnte ich kein Add-On finden.
  • Safari:
    Auf extensions.apple.com konnte ich keine Erweiterung finden.


Will oder kann man keine Erweiterung im Browser installieren, so ist es auch möglich über die Seite von Qualys die Anfälligkeit nachzuprüfen. Hier braucht man nur die Domain eingeben und auf Submit klicken. Nach ein/zwei Minuten kann abgelesen werden, ob eine Seite anfällig ist oder nicht.

Qualys SSL Server Test:
https://www.ssllabs.com/ssltest/

Der Heartbleed-Test von Qualys ist recht zuverlässig. Es wird auch die Anfälligkeit für Heartbleed an anderen Ports als 443 erkannt. Es gibt aber Seiten, bei der auch Qualys versagt. Das Add-On Heartbleed-Ext für den Firefox erkennt auch eine Anfälligkeit wenn ein eher ungewöhnlicher Port benutzt wird, wie beispielsweise: https://domain:7771/