“Ich weiß, dass ich nerve.”

Vor zwei Wochen habe ich einem Bundesministerium einen Hinweis zu Cross-Site Scrpting geschickt. An einem Freitag gab es von mir den Hinweis und bereits am Montag erhielt ich die Rückmeldung:

vielen Dank für den Hinweis. Wir geben die Information an die Webseitenagentur weiter.

Wie ich schon erwartet hatte: Die “Webseitenagentur” fixte nur mein Beispiel.

  • In der URL, aus meinem Beispiel, ist aber noch immer XSS möglich und auch andere Formulare sind anfällig.
  • Es gibt auch Hinweise für SQL-Injection.
  • Man kann ein Nutzerkonto registrieren — es gibt aber kein https auf dem Server.
  • Der Session-Cookie hat deswegen auch keinen Cookie-Flag für “Secure” — aber auch keinen für “HttpOnly”.

Erneut habe ich Hinweise per E-Mail verschickt, diesmal auch mit einem eher allgemeinen Teil:

Ich weiß, dass ich nerve.

Wie will der Bund die Wirtschaft dazu anhalten mehr für die IT-Sicherheit zu tun, wenn ihre eigenen Seiten im Netz so schlampig erstellt wurden, dass es Angreifern sehr leicht gemacht wird sie zu kompromittieren?

Über mehrere Jahre hinweg nerve ich, immer wieder wenn es um die IT-Sicherheit in Internetseiten von Bund und Ländern geht. Bei jeder neuen Seite die ins Netz gestellt wird oder einem Relaunch (bzw. Regierungswechsel) treten immer wieder die gleichen Lücken auf. Die sehr hilfreichen Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) werden genauso lange ignoriert wie es dieses Bundesamt gibt.

Es wird endlich Zeit, dass Internetseiten von Bund und Ländern, den Standards der IT-Sicherheit von heute folgen und nicht denen aus dem letzten Jahrhundert. Es mag altmodisch klingen, aber man muss mit guten Beispiel voran gehen.

In der “realen” Welt würde man wohl ausgelacht werden, wenn man sich darüber beschweren würde, dass das Haus komplett leergeräumt wurde, während die Haustür übers Wochenende offen stand. In der “virtuellen” Welt wird sich fortdauernd über die bösen chinesischen Hacker beschwert, anstatt selber für minimale Sicherheitsvorkehrungen zu sorgen.

Dass die Seite ohne SSL auskommen soll, ist nicht unbedingt das Verschulden der “Webseitenagentur”. Wenn ich aber in der zentralen Suchfunktion sofort eine Anfälligkeit für Cross-Site Scrpting finde, dann kann man nur von einer schlampigen Umsetzung sprechen.


Ich werde auch weiterhin nerven und zwar so lange wie ich Sicherheitslücken in Seiten von Bund und Ländern finde.