Online-Befragung zum Zensus: Mit Sicherheit unsicher
Der Staat betont, beim Zensus 2011 alles im Griff zu haben - die Daten seien bestens geschützt. Online ist bereits die erste Sicherheitslücke aufgetaucht.
BERLIN taz | Gefälschte Fragebögen zur Volkszählung gab es schon. Deshalb finden die BürgerInnen, die sich ab dem 9. Mai zählen lassen wollen, auf der offiziellen Website Muster-Fragebögen, um sich vergewissen zu können, ob sie etwas über ihre sexuellen Vorlieben (nein) oder über die jeweils bevorzugte Art und Weise, höhere Wesen zu verehren (freiwillig), verraten müssen oder nicht.
Aber kann man sich gewiss sein, dass die richtigen Leute die Daten abgreifen, die man dort online eingibt? Jan Schejbal, deutscher Computer- und Sicherheitsexperte mit Wohnsitz in Schweden, hat jetzt nachgewiesen, dass die Website zur Volkszählung schwer wiegende Mängel hat. Von ausreichender Sicherheit kann nicht die Rede sein.
Personen mit genügend krimineller Energie könnte die online abgegebenen Daten abgreifen, wenn bestimmte Voraussetzungen vorliegen. Sogar die Software für einen Angriff per Internet existiert schon. Die Daten im World Wide Web, dem populärsten Dienst im Internet, werden durch das Hypertext Transfer Protocol (http) gesteuert. Das ist eine genormte Technik, Daten so zu übertragen, dass sie weder verfälscht werden noch verloren gehen. Die Website, die man mit dem Browser ansurft, identifiziert sich in einer Art Frage-und-Antwort-Spiel, vom dem die Nutzer nichts merken und das auch nur Millisekunden dauert.
Nichts hindert Kriminelle aber daran, seriöse Websites einfach zu imitieren und die Daten ahnungsloser Nutzer, die sich etwa auf der Internet-Präsenz ihrer Hausbank wähnen, zu stehlen. Um das zu vermeiden, ist das Hypertext Transfer Protocol Secure (https) erfunden worden - eine sicherere Variante des WWW-Protokolls. Einige wichtige Daten werden zusätzlich verschlüsselt. Https verhält sich zu http wie ein Brief zu einer Postkarte.
„SSLstrip - HTTPS Stripping Attack Tool“
Genau hier setzt aber die Software SSLstrip des kalifornischen Hackers und Profi-Seglers Moxie Marlinspike an. Jan Schejbal benutzte das „SSLstrip - HTTPS Stripping Attack Tool“, um zu überpüfen, ob man die Sicherheit der Volkszählungs-Website aushebeln kann. Ja, man kann, wenn man den Zugriff auf die Datenströme hat. In Frage kommen etwa EDV-Verantwortliche einer Firma mit einem eigenen Intranet oder diejenigen, die Domain Name Server warten, Rechner, die als „Dolmetscher“ die Adresse eine Computers in Buchstabenform in Zahlen - die so genannte IP-Adresse - übersetzen.
Besonders gefährlich in diesem Fall wäre ein kostenloser WLAN-Zugang: Jeder, der einen solchen anbietet, etwa der Betreiber eines Cafés, könnte die Nutzer bei der Volkszählung online ausspionieren. Der Datendiebstahl gelänge, wenn die Nutzer von einer unverschlüsselten Website auf eine weitergeleitet werden, die das Hypertext Transfer Protocol Secure benutzt. Genau das geschieht auf zensus2011.de.
Der Angreifer kann SSLstrip benutzen, um den Surfern, die ihre sensible Daten online eingeben wollen, vorzugaukeln, ihre Verbindung sei sicher. In Wahrheit wird alles mitgelesen. Das funktioniert selbst dann, wenn die Nutzer mit ihrem Computer und der Software verantwortlich umgehen - also ganz ohne Schadsoftware. Jan Schejbal sagte der taz, die Verantwortlichen des Zensus2011.de hätten sich offenbar beim Thema Sicherheit nicht viel Mühe gegeben.
Vermutlich sei man davon ausgegangen, dass Computer- und Internet-Laien das sichere https und das weniger sichere Protokoll http ohnehin nicht unterscheiden könnten und das „s“ bei der Eingabe einfach wegließen. Deshalb habe man bei den papiernen Volkszählungs-Fragebögen auf eine sichere Lösung verzichtet.
Wer ist mein Administrator?
Die Website der Volkszählung hat zwar eine barrierfreie Version, verlangt aber dennoch, die Sicherheitseinstellungen des Browsers teilweise zu deaktivieren. Wer aktive Inhalte, die potenziell schädlich sein könnten, verbietet, wird aufgefordert: „Bitte überprüfen Sie Ihre Sicherheitseinstellungen oder wenden Sie sich an Ihren Administrator.“ Nicht jeder wird wissen, wer sein „Administrator“ ist.
Warum man als Browser den Internet-Explorer oder Firefox nutzen muss und keinen anderen, wird auch nicht erläutert - als baute man eine Straße, die nur für bestimmte Autotypen zugelassen ist. Beim Zensus2011.de scheint sich eine Redensart unter Geeks und Nerds zu bewahrheiten: Webdesigner haben zum Thema Sicherheit ein Verhältnis wie Klaus Störtebeker zum Handelsrecht.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Bis Freitag war er einer von uns
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Anschlag in Magdeburg
Der Täter hat sein Ziel erreicht: Angst verbreiten
Erderwärmung und Donald Trump
Kipppunkt für unseren Klimaschutz
Tarifeinigung bei Volkswagen
IG Metall erlebt ihr blaues „Weihnachtswunder“ bei VW
Exklusiv: RAF-Verdächtiger Garweg
Meldung aus dem Untergrund