Online-Befragung zum Zensus: Mit Sicherheit unsicher

Der Staat betont, beim Zensus 2011 alles im Griff zu haben - die Daten seien bestens geschützt. Online ist bereits die erste Sicherheitslücke aufgetaucht.

Übersicht und Sicherheit sind nicht dasselbe: Zensusfragen am Bildschirm. Bild: dpa

BERLIN taz | Gefälschte Fragebögen zur Volkszählung gab es schon. Deshalb finden die BürgerInnen, die sich ab dem 9. Mai zählen lassen wollen, auf der offiziellen Website Muster-Fragebögen, um sich vergewissen zu können, ob sie etwas über ihre sexuellen Vorlieben (nein) oder über die jeweils bevorzugte Art und Weise, höhere Wesen zu verehren (freiwillig), verraten müssen oder nicht.

Aber kann man sich gewiss sein, dass die richtigen Leute die Daten abgreifen, die man dort online eingibt? Jan Schejbal, deutscher Computer- und Sicherheitsexperte mit Wohnsitz in Schweden, hat jetzt nachgewiesen, dass die Website zur Volkszählung schwer wiegende Mängel hat. Von ausreichender Sicherheit kann nicht die Rede sein.

Personen mit genügend krimineller Energie könnte die online abgegebenen Daten abgreifen, wenn bestimmte Voraussetzungen vorliegen. Sogar die Software für einen Angriff per Internet existiert schon. Die Daten im World Wide Web, dem populärsten Dienst im Internet, werden durch das Hypertext Transfer Protocol (http) gesteuert. Das ist eine genormte Technik, Daten so zu übertragen, dass sie weder verfälscht werden noch verloren gehen. Die Website, die man mit dem Browser ansurft, identifiziert sich in einer Art Frage-und-Antwort-Spiel, vom dem die Nutzer nichts merken und das auch nur Millisekunden dauert.

Nichts hindert Kriminelle aber daran, seriöse Websites einfach zu imitieren und die Daten ahnungsloser Nutzer, die sich etwa auf der Internet-Präsenz ihrer Hausbank wähnen, zu stehlen. Um das zu vermeiden, ist das Hypertext Transfer Protocol Secure (https) erfunden worden - eine sicherere Variante des WWW-Protokolls. Einige wichtige Daten werden zusätzlich verschlüsselt. Https verhält sich zu http wie ein Brief zu einer Postkarte.

„SSLstrip - HTTPS Stripping Attack Tool“

Genau hier setzt aber die Software SSLstrip des kalifornischen Hackers und Profi-Seglers Moxie Marlinspike an. Jan Schejbal benutzte das „SSLstrip - HTTPS Stripping Attack Tool“, um zu überpüfen, ob man die Sicherheit der Volkszählungs-Website aushebeln kann. Ja, man kann, wenn man den Zugriff auf die Datenströme hat. In Frage kommen etwa EDV-Verantwortliche einer Firma mit einem eigenen Intranet oder diejenigen, die Domain Name Server warten, Rechner, die als „Dolmetscher“ die Adresse eine Computers in Buchstabenform in Zahlen - die so genannte IP-Adresse - übersetzen.

Besonders gefährlich in diesem Fall wäre ein kostenloser WLAN-Zugang: Jeder, der einen solchen anbietet, etwa der Betreiber eines Cafés, könnte die Nutzer bei der Volkszählung online ausspionieren. Der Datendiebstahl gelänge, wenn die Nutzer von einer unverschlüsselten Website auf eine weitergeleitet werden, die das Hypertext Transfer Protocol Secure benutzt. Genau das geschieht auf zensus2011.de.

Der Angreifer kann SSLstrip benutzen, um den Surfern, die ihre sensible Daten online eingeben wollen, vorzugaukeln, ihre Verbindung sei sicher. In Wahrheit wird alles mitgelesen. Das funktioniert selbst dann, wenn die Nutzer mit ihrem Computer und der Software verantwortlich umgehen - also ganz ohne Schadsoftware. Jan Schejbal sagte der taz, die Verantwortlichen des Zensus2011.de hätten sich offenbar beim Thema Sicherheit nicht viel Mühe gegeben.

Vermutlich sei man davon ausgegangen, dass Computer- und Internet-Laien das sichere https und das weniger sichere Protokoll http ohnehin nicht unterscheiden könnten und das „s“ bei der Eingabe einfach wegließen. Deshalb habe man bei den papiernen Volkszählungs-Fragebögen auf eine sichere Lösung verzichtet.

Wer ist mein Administrator?

Die Website der Volkszählung hat zwar eine barrierfreie Version, verlangt aber dennoch, die Sicherheitseinstellungen des Browsers teilweise zu deaktivieren. Wer aktive Inhalte, die potenziell schädlich sein könnten, verbietet, wird aufgefordert: „Bitte überprüfen Sie Ihre Sicherheitseinstellungen oder wenden Sie sich an Ihren Administrator.“ Nicht jeder wird wissen, wer sein „Administrator“ ist.

Warum man als Browser den Internet-Explorer oder Firefox nutzen muss und keinen anderen, wird auch nicht erläutert - als baute man eine Straße, die nur für bestimmte Autotypen zugelassen ist. Beim Zensus2011.de scheint sich eine Redensart unter Geeks und Nerds zu bewahrheiten: Webdesigner haben zum Thema Sicherheit ein Verhältnis wie Klaus Störtebeker zum Handelsrecht.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben