Etwa 85 Prozent der Bundesministerien verschlüsseln die Verbindung zu ihren Webseiten nicht – ein Risiko für Besucher. Die Verantwortlichen wollen keine weiteren Informationen darüber herausgeben. Eine Klage soll helfen.
Nur jede siebte Webseite einer Bundesbehörde unterstützt eine sichere Verbindung. Das zeigt das Open-Source-Projekt der Open Knowledge Foundation Deutschland https.jetzt! von Maximilian Richt, das 508 Webseiten von Bundesministerien analysiert hat. Gerade einmal 15 Prozent der Webseiten von Bundesbehörden bieten eine sichere Verbindung an.
HTTPS ermöglicht im Gegensatz zum oft genutzten HTTP eine relativ sichere Verbindung zwischen Webseiten und ihren Besuchern. Das Mitlesen durch Unbefugte, zum Beispiel in WLAN-Netzwerken, kann so deutlich erschwert werden. Liegt keine HTTPS-Verbindung vor, können etwa besuchte Unterseiten von Domains, Suchwörter, Passwörter und Formularinhalte mitgelesen werden. Bei richtiger Konfiguration von HTTPS werden so genannte Man-in-the-middle-Angriffe unmöglich gemacht.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in einer Broschüre zur sicheren Kommunikation den Einsatz von HTTPS als Mindeststandard für die öffentliche Verwaltung. 85 Prozent der Ministerien-Seiten setzen das jedoch noch nicht um.
Auf Anfrage von fragdenstaat.de will das zuständige BSI aber keine Informationen über die Verschlüsselungspraxis der Bundesminsterien herausgeben. Das Konzept ist klar: Je weniger über Sicherheitslücken bekannt wird, desto geringer ist angeblich die Gefahr. Dieser „Security Through Obscurity“ genannte Ansatz ist allerdings zum Scheitern verurteilt, findet Arne Semsrott von fragdenstaat.de:
Das bringt gar nichts, am Ende hilft nur Aufklärung über die Probleme. – Arne Semsrott von fragdenstaat.de
Deshalb klagt er mit Unterstützung des neuen Projekts Transparenzklagen.de gegen die Geheimhaltung der Domainlisten. Exemplarisch geht es in der Klage um eine der ablehnenden Behörden: Das Gesundheitsministerium, das nicht sagen will, welche Domains es außer der Anti-Cannabis-Webseite Quit-The-Shit.net noch registriert hat.
Über die Sicherheitsprobleme der Webseiten von Ministerien hat Arne Semsrott von mit detektor.fm-Moderatorin Marie Landes gesprochen.
Ich glaube, das ist einerseits Unwissen über die Gefahren und andererseits sollen die Sicherheitslücken nicht öffentlich werden.Arne Semsrott