 |
# taz.de -- Online-Befragung zum Zensus: Mit Sicherheit unsicher |
|
|
|
> Der Staat betont, beim Zensus 2011 alles im Griff zu haben - die Daten |
|
> seien bestens geschützt. Online ist bereits die erste Sicherheitslücke |
|
> aufgetaucht. |
|
|
 |
Bild: Übersicht und Sicherheit sind nicht dasselbe: Zensusfragen am Bildschirm. |
|
|
|
BERLIN taz | Gefälschte Fragebögen zur Volkszählung gab es schon. Deshalb |
|
finden die BürgerInnen, die sich ab dem 9. Mai zählen lassen wollen, |
|
[1][auf der offiziellen Website] Muster-Fragebögen, um sich vergewissen zu |
|
können, ob sie etwas über ihre sexuellen Vorlieben (nein) oder über die |
|
jeweils bevorzugte Art und Weise, höhere Wesen zu verehren (freiwillig), |
|
verraten müssen oder nicht. |
|
|
|
Aber kann man sich gewiss sein, dass die richtigen Leute die Daten |
|
abgreifen, die man dort online eingibt? Jan Schejbal, deutscher Computer- |
|
und Sicherheitsexperte mit Wohnsitz in Schweden, [2][hat jetzt |
|
nachgewiesen], dass die Website zur Volkszählung schwer wiegende Mängel |
|
hat. Von ausreichender Sicherheit kann nicht die Rede sein. |
|
|
|
Personen mit genügend krimineller Energie könnte die online abgegebenen |
|
Daten abgreifen, wenn bestimmte Voraussetzungen vorliegen. Sogar die |
|
Software für einen Angriff per Internet existiert schon. Die Daten im World |
|
Wide Web, dem populärsten Dienst im Internet, werden durch das Hypertext |
|
Transfer Protocol (http) gesteuert. Das ist eine genormte Technik, Daten so |
|
zu übertragen, dass sie weder verfälscht werden noch verloren gehen. Die |
|
Website, die man mit dem Browser ansurft, identifiziert sich in einer Art |
|
Frage-und-Antwort-Spiel, vom dem die Nutzer nichts merken und das auch nur |
|
Millisekunden dauert. |
|
|
|
Nichts hindert Kriminelle aber daran, seriöse Websites einfach zu imitieren |
|
und die Daten ahnungsloser Nutzer, die sich etwa auf der Internet-Präsenz |
|
ihrer Hausbank wähnen, zu stehlen. Um das zu vermeiden, ist das Hypertext |
|
Transfer Protocol Secure (https) erfunden worden - eine sicherere Variante |
|
des WWW-Protokolls. Einige wichtige Daten werden zusätzlich verschlüsselt. |
|
Https verhält sich zu http wie ein Brief zu einer Postkarte. |
|
|
|
## „SSLstrip - HTTPS Stripping Attack Tool“ |
|
|
|
Genau hier setzt aber [3][die Software SSLstrip] des kalifornischen Hackers |
|
und Profi-Seglers Moxie Marlinspike an. Jan Schejbal benutzte das „SSLstrip |
|
- HTTPS Stripping Attack Tool“, um zu überpüfen, ob man die Sicherheit der |
|
Volkszählungs-Website aushebeln kann. Ja, man kann, wenn man den Zugriff |
|
auf die Datenströme hat. In Frage kommen etwa EDV-Verantwortliche einer |
|
Firma mit einem eigenen Intranet oder diejenigen, die Domain Name Server |
|
warten, Rechner, die als „Dolmetscher“ die Adresse eine Computers in |
|
Buchstabenform in Zahlen - die so genannte IP-Adresse - übersetzen. |
|
|
|
Besonders gefährlich in diesem Fall wäre ein kostenloser WLAN-Zugang: |
|
Jeder, der einen solchen anbietet, etwa der Betreiber eines Cafés, könnte |
|
die Nutzer bei der Volkszählung online ausspionieren. Der Datendiebstahl |
|
gelänge, wenn die Nutzer von einer unverschlüsselten Website auf eine |
|
weitergeleitet werden, die das Hypertext Transfer Protocol Secure benutzt. |
|
Genau das geschieht auf zensus2011.de. |
|
|
|
Der Angreifer kann SSLstrip benutzen, um den Surfern, die ihre sensible |
|
Daten online eingeben wollen, vorzugaukeln, ihre Verbindung sei sicher. In |
|
Wahrheit wird alles mitgelesen. Das funktioniert selbst dann, wenn die |
|
Nutzer mit ihrem Computer und der Software verantwortlich umgehen - also |
|
ganz ohne Schadsoftware. Jan Schejbal sagte der taz, die Verantwortlichen |
|
des Zensus2011.de hätten sich offenbar beim Thema Sicherheit nicht viel |
|
Mühe gegeben. |
|
|
|
Vermutlich sei man davon ausgegangen, dass Computer- und Internet-Laien das |
|
sichere https und das weniger sichere Protokoll http ohnehin nicht |
|
unterscheiden könnten und das „s“ bei der Eingabe einfach wegließen. |
|
Deshalb habe man bei den papiernen Volkszählungs-Fragebögen auf eine |
|
sichere Lösung verzichtet. |
|
|
|
## Wer ist mein Administrator? |
|
|
|
Die Website der Volkszählung hat zwar eine barrierfreie Version, verlangt |
|
aber dennoch, die Sicherheitseinstellungen des Browsers teilweise zu |
|
deaktivieren. Wer aktive Inhalte, die potenziell schädlich sein könnten, |
|
verbietet, wird aufgefordert: „Bitte überprüfen Sie Ihre |
|
Sicherheitseinstellungen oder wenden Sie sich an Ihren Administrator.“ |
|
Nicht jeder wird wissen, wer sein „Administrator“ ist. |
|
|
|
Warum man als Browser den Internet-Explorer oder Firefox nutzen muss und |
|
keinen anderen, wird auch nicht erläutert - als baute man eine Straße, die |
|
nur für bestimmte Autotypen zugelassen ist. Beim Zensus2011.de scheint sich |
|
eine Redensart unter Geeks und Nerds zu bewahrheiten: Webdesigner haben zum |
|
Thema Sicherheit ein Verhältnis wie Klaus Störtebeker zum Handelsrecht. |
|
|
|
10 May 2011 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.zensus2011.de/ |
|
[2] http://janschejbal.wordpress.com/2011/05/07/volkszahlung-online-ubermittlun… |
|
[3] http://www.thoughtcrime.org/software/sslstrip/ |
|
|
|
## AUTOREN |
|
|
|
Burkhard Schröder |
|
|
|
## TAGS |
|
|
|
Bundestag |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Wegen Zensus verliert Hamburg Mandate: Weniger Hamburg in Berlin |
|
|
|
Hamburg verliert einen Abgeordneten, weil der Bund mit niedrigen |
|
Einwohnerzahlen hantiert. Verfassungsgericht verhandelt das im Oktober. |
|
|
|
Zwischenstand zur Volkszählung: Boykott nur bei der Briefmarke |
|
|
|
Die Statistikämter der Länder sind zufrieden – bisher gibt es hohe |
|
Rücklaufquoten bei der Volksbefragung. Einziges Problem: Viele Befragten |
|
wollen kein Porto zahlen. |
|
|
|
Zensus 2011: Widerstand ist (nicht) zwecklos |
|
|
|
Die Volkszähler sind unterwegs. Wer ausgewählt wurde, muss sich befragen |
|
lassen. Kann man sich dagegen wehren? Eine Gebrauchsanleitung in 5 |
|
Schritten. |
|
|
|
Der gefakte Zensus-Fragebogen: "Das dürfen die" |
|
|
|
Wahlverhalten, Drogenkonsum - was verraten Bürger, wenn sie glauben, die |
|
Volkszähler stehen vor der Tür? Ein Test zeigt, wie die Leute reagieren. |
|
|
|
Volkszählung in Deutschland: Fragen über Fragen |
|
|
|
Nun werden die Deutschen durchgezählt. Der Staat fragt, die taz gibt die |
|
wichtigsten Antworten zum Zensus. Auch: Was mit den Daten nicht geschehen |
|
darf. |
|
|
|
Kommentar Zensus: Wir sind gläsern |
|
|
|
Trotz Datenpannen überall, die Volkszählung regt keinen auf - nicht mal in |
|
Berlin. Für die "Generation Facebook" ist es selbstverständlich, im Netz |
|
viel von sich preiszugeben. |
