Sicherheitslücke bei Zensus 2011

IT-Experte endeckt Sicherheitslücke.

Der IT-Experte Jan Schejbal hat entdeckt, dass Bürger, die den Online-Fragebogen ausfüllen wollen, zunächst auf einer unverschlüsselten Seite landen.

In den Benachrichtigungen der Haushalte wird nämlich auf die unverschlüsselte Internetseite hingewiesen. „Das Amt hätte einfach eine verschlüsselte Seite als Adresse angeben müssen“, erläutert Schejbal. Ruft der Befragte die Seite http://www.zensus2011.de/ auf, könnte er Hackern schon ins Netz gegangen sein. Angreifer könnten per Manipulation von Domain Name Servern (DNS) den Betroffenen einfach umleiten. Denn DNS bestimmen, welche Internetadresse den Nutzer auf welche Seite führt.

„Es könnte ein Angriff stattfinden“, bestätigt Thomas Reinke, Technischer Leiter der Landesdatenschutzbeauftragten in Brandenburg das beschriebene Szenario auf Anfrage von n-tv. Einen Konflikt mit dem Zensusgesetz sehe Reinke nicht, da die Übertragung der Antworten an sich verschlüsselt stattfinde. Das Büro des Bundesdatenschutzbeauftragten warne allerdings davor, WLAN-Hotspots, also Funknetzwerke zu benutzen

Jan Schejbal in seinem Blog: „Ein aktiver Angreifer kann aber die Daten abfangen. Es zeigt vor allem, dass Sicherheit offenbar nicht wirklich ernstgenommen wird – die Lösung wäre einfach gewesen ein https:// auf den Zensusbogen zu schreiben und darauf hinzuweisen, dass diese Adresse exakt einzugeben ist. Nachträglich könnte man das vermutlich am Besten mit einem zusätzlichen Infoblatt noch retten, was man zusammen mit den Fragebögen austeilen könnte.“