“EU plant Meldepflicht für Cyber-Attacken” (heise.de)

Zum besseren Schutz vor Cyber-Attacken denkt die EU auch über eine Meldepflicht von Cyberattacken für Unternehmen nach.

“Bundesinnenminister erwägt Meldepflicht für IT-Angriffe” (heise.de)

Aufgrund der steigenden Zahl von Internet-Attacken auf die IT-Infrastruktur von Behörden oder wichtigen Unternehmen erwägt Bundesinnenminister Hans-Peter Friedrich ein neues Gesetz. Den Behörden müssten “schwere Cyber-Angriffe und weitreichende IT-Sicherheitsvorfälle gemeldet werden”

Das Menschen ungern Fehler zugeben ist nicht ungewöhnlich, warum sollte dies bei Firmen anders sein? Nur wenn es gar nicht mehr zu leugnen ist, weil z.B. ein Datenbank-Dump öffentlich wurde, gibt eine Firma zu, ein Problem zu haben. Wobei die Firma das eigentliche Problem eher beim Finder und der Veröffentlichung der Daten sieht und nicht darin, dass es die Lücke gibt. Nur weil es ein Meldegesetz gibt, werden sich die Firmen nicht ohne Not outen — genauso wenig wie Gesetze den Steuerhinterzieher davon abhalten, sein Geld in die Schweiz zu bringen.

Ich halte solch ein Meldegesetz für untauglich. Einen höheren Sicherheitsstandard in der IT wird man nur mit höheren Standards erreichen können — die verbindlich sind. Einen Standard, der es unmöglich macht z.B. Passworte im Klartext in einer Datenbank zu speichern oder der eine unverschlüsselte Übertragung von Login- oder Kundendaten verbietet. Hierzu braucht es ein umfassendes Regelwerk woran sich alle Dienstleister halten müssen, die ein Zertifikat erwerben wollen. Und nur wer zertifiziert ist kann an Ausschreibungen für IT-Projekte von Bund und Ländern teilnehmen.

Für die Schaffung des Regelwerks für einen hohen Sicherheitsstandard kann der Bund die Kompetenz des Bundesamtes für Sicherheit in der Informationstechnik nutzen. Das BSI hat seit geraumer Zeit IT-Grundschutz-Kataloge erstellt, die durchaus als eine gute Ausgangsposition betrachtet werden können.

Anstatt ein Meldegesetz zu beschließen, sollte der Bund, und möglichst auch die Länder, damit beginnen die bestehende Infrastruktur einer Revision zu unterziehen und dafür zu sorgen, dass nur noch zertifizierte Dienstleister beauftragt werden. Wenn Bund und Länder mit gutem Beispiel voran gehen, dann kann an Verpflichtungen gearbeitet werden, die auch die Wirtschaft zu hohen IT-Security-Standards zwingt.


Hier noch zwei Beispiele, bei denen man nicht in der Lage oder willens war, das Problem zu lösen:

• Im Dezember 2008 gab ich dem Datenschutzbeauftragten des Landes Hessen den Hinweis zu der Anfälligkeit auf Cross-Site Scripting. Man bedankte sich für den Hinweis und bat um weitere Informationen zu der Lücke, welche ich bereitwillig weitergab. Der Versuch die Lücke zu schließen war erfolglos, was ich natürlich sofort bemerkte und ebenfalls weitergab.
  Dies kann auch als Beispiel dafür angesehen werden, dass XSS gar nicht so gefährlich sein kann, denn die Lücke besteht ja seit mindestens 4 vollen Jahren ohne das es Geschädigte gibt. ;O)
• Im September diesen Jahres gab ich an “Gründerwoche” Hinweise zu XSS und SQL-Injection weiter, auch hier war es nicht möglich das XSS-Problem zu beheben.

Diese Liste könnte ich noch mit vielen weiteren Beispielen für Websites von Bund und Ländern fortführen, was aber uninteressant wird, da ich eh keine kritischen Lücken veröffentliche, wie z.B. SQL-Injection, Cross-Site Request Forgery, Remote File Inclusion oder Directory Traversal, die man relativ schnell, in den unzähligen Websites, finden kann.


Wie will der Bund mehr IT-Sicherheit von der Wirtschaft fordern, wenn es ihm gleichzeitig unmöglich ist, seine Infrastruktur auf einen IT-Security-Standard zu heben, der Mindestanforderungen standhält?

Vor zwei Wochen habe ich einem Bundesministerium einen Hinweis zu Cross-Site Scrpting geschickt. An einem Freitag gab es von mir den Hinweis und bereits am Montag erhielt ich die Rückmeldung:

vielen Dank für den Hinweis. Wir geben die Information an die Webseitenagentur weiter.

Wie ich schon erwartet hatte: Die “Webseitenagentur” fixte nur mein Beispiel.

• In der URL, aus meinem Beispiel, ist aber noch immer XSS möglich und auch andere Formulare sind anfällig.
• Es gibt auch Hinweise für SQL-Injection.
• Man kann ein Nutzerkonto registrieren — es gibt aber kein https auf dem Server.
• Der Session-Cookie hat deswegen auch keinen Cookie-Flag für “Secure” — aber auch keinen für “HttpOnly”.

Erneut habe ich Hinweise per E-Mail verschickt, diesmal auch mit einem eher allgemeinen Teil:

Ich weiß, dass ich nerve.

Wie will der Bund die Wirtschaft dazu anhalten mehr für die IT-Sicherheit zu tun, wenn ihre eigenen Seiten im Netz so schlampig erstellt wurden, dass es Angreifern sehr leicht gemacht wird sie zu kompromittieren?

Über mehrere Jahre hinweg nerve ich, immer wieder wenn es um die IT-Sicherheit in Internetseiten von Bund und Ländern geht. Bei jeder neuen Seite die ins Netz gestellt wird oder einem Relaunch (bzw. Regierungswechsel) treten immer wieder die gleichen Lücken auf. Die sehr hilfreichen Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) werden genauso lange ignoriert wie es dieses Bundesamt gibt.

Es wird endlich Zeit, dass Internetseiten von Bund und Ländern, den Standards der IT-Sicherheit von heute folgen und nicht denen aus dem letzten Jahrhundert. Es mag altmodisch klingen, aber man muss mit guten Beispiel voran gehen.

In der “realen” Welt würde man wohl ausgelacht werden, wenn man sich darüber beschweren würde, dass das Haus komplett leergeräumt wurde, während die Haustür übers Wochenende offen stand. In der “virtuellen” Welt wird sich fortdauernd über die bösen chinesischen Hacker beschwert, anstatt selber für minimale Sicherheitsvorkehrungen zu sorgen.

Dass die Seite ohne SSL auskommen soll, ist nicht unbedingt das Verschulden der “Webseitenagentur”. Wenn ich aber in der zentralen Suchfunktion sofort eine Anfälligkeit für Cross-Site Scrpting finde, dann kann man nur von einer schlampigen Umsetzung sprechen.


Ich werde auch weiterhin nerven und zwar so lange wie ich Sicherheitslücken in Seiten von Bund und Ländern finde.