piwik no script img

taz zahl ich

Online-Befragung zum ZensusMit Sicherheit unsicher

Der Staat betont, beim Zensus 2011 alles im Griff zu haben - die Daten seien bestens geschützt. Online ist bereits die erste Sicherheitslücke aufgetaucht.

Übersicht und Sicherheit sind nicht dasselbe: Zensusfragen am Bildschirm. Bild: dpa
Von Burkhard Schröder

BERLIN taz | Gefälschte Fragebögen zur Volkszählung gab es schon. Deshalb finden die BürgerInnen, die sich ab dem 9. Mai zählen lassen wollen, auf der offiziellen Website Muster-Fragebögen, um sich vergewissen zu können, ob sie etwas über ihre sexuellen Vorlieben (nein) oder über die jeweils bevorzugte Art und Weise, höhere Wesen zu verehren (freiwillig), verraten müssen oder nicht.

Aber kann man sich gewiss sein, dass die richtigen Leute die Daten abgreifen, die man dort online eingibt? Jan Schejbal, deutscher Computer- und Sicherheitsexperte mit Wohnsitz in Schweden, hat jetzt nachgewiesen, dass die Website zur Volkszählung schwer wiegende Mängel hat. Von ausreichender Sicherheit kann nicht die Rede sein.

Personen mit genügend krimineller Energie könnte die online abgegebenen Daten abgreifen, wenn bestimmte Voraussetzungen vorliegen. Sogar die Software für einen Angriff per Internet existiert schon. Die Daten im World Wide Web, dem populärsten Dienst im Internet, werden durch das Hypertext Transfer Protocol (http) gesteuert. Das ist eine genormte Technik, Daten so zu übertragen, dass sie weder verfälscht werden noch verloren gehen. Die Website, die man mit dem Browser ansurft, identifiziert sich in einer Art Frage-und-Antwort-Spiel, vom dem die Nutzer nichts merken und das auch nur Millisekunden dauert.

Nichts hindert Kriminelle aber daran, seriöse Websites einfach zu imitieren und die Daten ahnungsloser Nutzer, die sich etwa auf der Internet-Präsenz ihrer Hausbank wähnen, zu stehlen. Um das zu vermeiden, ist das Hypertext Transfer Protocol Secure (https) erfunden worden - eine sicherere Variante des WWW-Protokolls. Einige wichtige Daten werden zusätzlich verschlüsselt. Https verhält sich zu http wie ein Brief zu einer Postkarte.

„SSLstrip - HTTPS Stripping Attack Tool“

Genau hier setzt aber die Software SSLstrip des kalifornischen Hackers und Profi-Seglers Moxie Marlinspike an. Jan Schejbal benutzte das „SSLstrip - HTTPS Stripping Attack Tool“, um zu überpüfen, ob man die Sicherheit der Volkszählungs-Website aushebeln kann. Ja, man kann, wenn man den Zugriff auf die Datenströme hat. In Frage kommen etwa EDV-Verantwortliche einer Firma mit einem eigenen Intranet oder diejenigen, die Domain Name Server warten, Rechner, die als „Dolmetscher“ die Adresse eine Computers in Buchstabenform in Zahlen - die so genannte IP-Adresse - übersetzen.

Besonders gefährlich in diesem Fall wäre ein kostenloser WLAN-Zugang: Jeder, der einen solchen anbietet, etwa der Betreiber eines Cafés, könnte die Nutzer bei der Volkszählung online ausspionieren. Der Datendiebstahl gelänge, wenn die Nutzer von einer unverschlüsselten Website auf eine weitergeleitet werden, die das Hypertext Transfer Protocol Secure benutzt. Genau das geschieht auf zensus2011.de.

Der Angreifer kann SSLstrip benutzen, um den Surfern, die ihre sensible Daten online eingeben wollen, vorzugaukeln, ihre Verbindung sei sicher. In Wahrheit wird alles mitgelesen. Das funktioniert selbst dann, wenn die Nutzer mit ihrem Computer und der Software verantwortlich umgehen - also ganz ohne Schadsoftware. Jan Schejbal sagte der taz, die Verantwortlichen des Zensus2011.de hätten sich offenbar beim Thema Sicherheit nicht viel Mühe gegeben.

Vermutlich sei man davon ausgegangen, dass Computer- und Internet-Laien das sichere https und das weniger sichere Protokoll http ohnehin nicht unterscheiden könnten und das „s“ bei der Eingabe einfach wegließen. Deshalb habe man bei den papiernen Volkszählungs-Fragebögen auf eine sichere Lösung verzichtet.

Wer ist mein Administrator?

Die Website der Volkszählung hat zwar eine barrierfreie Version, verlangt aber dennoch, die Sicherheitseinstellungen des Browsers teilweise zu deaktivieren. Wer aktive Inhalte, die potenziell schädlich sein könnten, verbietet, wird aufgefordert: „Bitte überprüfen Sie Ihre Sicherheitseinstellungen oder wenden Sie sich an Ihren Administrator.“ Nicht jeder wird wissen, wer sein „Administrator“ ist.

Warum man als Browser den Internet-Explorer oder Firefox nutzen muss und keinen anderen, wird auch nicht erläutert - als baute man eine Straße, die nur für bestimmte Autotypen zugelassen ist. Beim Zensus2011.de scheint sich eine Redensart unter Geeks und Nerds zu bewahrheiten: Webdesigner haben zum Thema Sicherheit ein Verhältnis wie Klaus Störtebeker zum Handelsrecht.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Ein Stuhl steht allein im Bundestag

Wegen Zensus verliert Hamburg Mandate

Weniger Hamburg in Berlin

Hamburg verliert einen Abgeordneten, weil der Bund mit niedrigen Einwohnerzahlen hantiert. Verfassungsgericht verhandelt das im Oktober.
Von Sven-Michael Veit

Zwischenstand zur Volkszählung

Boykott nur bei der Briefmarke

Die Statistikämter der Länder sind zufrieden – bisher gibt es hohe Rücklaufquoten bei der Volksbefragung. Einziges Problem: Viele Befragten wollen kein Porto zahlen.
Von Sebastian Erb

Zensus 2011

Widerstand ist (nicht) zwecklos

Die Volkszähler sind unterwegs. Wer ausgewählt wurde, muss sich befragen lassen. Kann man sich dagegen wehren? Eine Gebrauchsanleitung in 5 Schritten.
Von Lukas Ondreka

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
  • Jeden Samstag als gedruckte Zeitung frei Haus
Mehr erfahren

5 Kommentare

 / 
  • DK
    David Krcek

    @ Lukas Müller

    Und besonders einfach wäre der Verweis auf die direkte Eingabe der Adresse mit einem vorangestellten https:// mit besonderem Hinweis drauf.

    Sollte ja nicht so schwierig gewesen sein, wenn man den wollte.

  • G
    Gregor

    Unerstützt mich beim meiner Aussageverweigerung ich will nicht aber kann es mir nicht leisten

    Meine Verweigerung bei ebay; Artikelnummer: 180665605492

  • LM
    Lukas Müller

    Ich würde gerne eine "sichere" Website kennen, bei der der sslStrip-Hack nicht funktioniert. Denn alle HTTPS-Verbindungen werden auf nur 2 Arten aufgebaut. Entweder mittels Links oder durch 302 Redirects. Daher würde nur Aufklärung der Benutzer helfen auf HTTPS zu achten, Lesezeichen mit HTTPS zu verwenden usw.

  • M
    MDarge

    Den Satz:

    "Redensart unter Geeks und Nerds zu bewahrheiten: Webdesigner haben zum Thema Sicherheit ein Verhältnis wie Klaus Störtebeker zum Handelsrecht."

     

    kann man so nicht unkommentiert stehen lassen. Die großen Seiten von Spiegel-online über Tagesschau, ebay und natürlich taz verlieren bei deaktivierem Javascript weder ihr Aussehen noch wesentlich an Funktion. Der gesetzlich vorgeschriebenen Barriere-Freiheit sei Dank. Leider wird diese immer noch im Sinne von Zugeständnis an Behinderte, sprich Krüppel verstanden, die nur gerade so mitbekommen sollen, wovon "die richtigen Leute" gerade sprechen.

     

    Erst allmählich dringt durch, dass praktisch jeder von "Barrierefrei" profitiert. Wo jedoch tagesschau.de mit einer der sicher best-programmierten Seiten glänzt, ist diese Online-Befragung ein großer Rückschritt. Wie in privaten Verbraucherbefragungen wird das Blättern unterdrückt. Die Seite ist weniger gegen Angriffe von Außen geschützt, sondern sieht im Bürger den Feind, den es Programmtechnisch zu kontrollieren gilt. Verantwortlich zeichnet das Statistische Bundesamt, das jedoch auf den eigenen Seiten einen ganz anderen Stil pflegt. Hier zeigt sich der Einfluss des Innenministeriums, das seit Jahren im Konflikt mit dem Datenschutz steht (de-mail). Nach dem Motto jeder ist ein Terrorist, gilt es bis ins Wohnzimmer zu schauen, möglichst unbeobachtet. Gleichzeitig sollen Polizei und Geheimdienst wieder zusammenwachsen, da das 33-45 und 49-89 die größten Erfolge gezeigt hat.

     

    Webdesigner denken durchaus an die Sicherheit, so gut es geht. Doch bei dieser Onlinebefragung scheint dort die niedrigste Priorität zu liegen.

  • M
    Marcus

    Der Beschriebene Angrif funktioniert nur lokal, was bedeutet das man mit einiger mühe ein paar dutzend Fragebögen kriegt. Wenn jemand auf der anderen Seiten den DNS geknackt hat kann er eh sehr viel manipulieren, und hat vermutlich auch gute changsen erfolgreiche Angriffe auf lohnenderere Ziele wie Online-banking zu Fahren.

     

    Im Fazit finde ich diesen Fehler im Sicherheitskonzept zwar Unschön aber bedeutend ist er wohl nur für Leute mit einen sehr hohen Sicherheitsbedürfnis. Wichtig ist eher das diese schlampigkeit im Sicherheitskonzept nichts gutes für den rest der Seite verhoffen läst.

     

    Schlussendlich wird sich aber wohl eh keiner, maximal einige Datenschützer die mühe machen die Seite selbst anzugreifen. Die Folkszählung ist so Medienpräsent das phishing mails garantiert reiche beute bei sehr geringen Aufwand bringen würden.

meistkommentiert

1

Greenpeace-Mitarbeiter über Aufrüstung

„Das 2-Prozent-Ziel ist willkürlich gesetzt“

2

Selbstzerstörung der FDP

Die Luft wird jetzt auch für Lindner dünn

3

Stellungnahme im Bundestag vorgelegt

Rechtsexperten stützen AfD-Verbotsantrag

4

Iran als Bedrohung Israels

„Iran könnte ein Arsenal an Atomwaffen bauen“

5

Rücktritte an der FDP-Spitze

Generalsekretär in offener Feldschlacht gefallen

6

Kinderbetreuung in der DDR

„Alle haben funktioniert“