gesund.bund.de: Gesundheitsportal beinhaltete kritische Sicherheitslücken

Das prominente Gesundheitsportal "gesund.bund.de" beinhaltete kritische Sicherheitslücken. Heiko Frenzel wurde schon nach kurzer Zeit fündig.

gesund.bund.de: Gesundheitsportal beinhaltete kritische Sicherheitslücken
Foto Luca Bockmann, thx!

Das prominent bei Google angezeigte Gesundheitsportal „gesund.bund.de“ beinhaltete kritische Sicherheitslücken. Der IT-Forensiker Heiko Frenzel wurde schon nach wenigen Minuten fündig. Hacker hätten Schadsoftware auf den Rechnern aller Besucher einschleusen oder private Daten erlangen können.


Jens Spahns Gesundheitsportal zeigt Google momentan an erster Stelle an, sollte man nach einer der wichtigsten in Deutschland auftretenden Krankheiten suchen. Die Zusammenarbeit mit der Datenkrake Google brachte Gesundheitsminister Spahn jüngst jede Menge Kritik ein. Manche fürchten um ihre Privatsphäre, wenn ein US-amerikanischer IT-Konzern mit der Webseite seines Bundesgesundheitsministeriums (BMG) kooperiert.

Lief das Gesundheitsportal gesund.bund.de etwa nach dem Motto: Loch an Loch und hält doch?

Doch damit nicht genug. Beim Portal des BMG gab es Probleme mit ungefilterten Parametern. Frenzel hat es bei gesund.bund.de lediglich mit XSS versucht, wie er auf seinem Blog berichtet. Frenzel konnte binnen weniger Minuten ein Video mit He-Man auf der Seite einbinden. Jeder konnte somit von außen im Gesundheitsportal Inhalte einstellen, die gar nicht vorgesehen waren. Cyberkriminelle hätten dort schädlichen Code einfügen können. Der Drive-by-Trojaner hätte dann im schlimmsten Fall die PCs aller Besucher verseucht. Auch hätte man eine Registrierungs-Seite oder einen Login simulieren können, um die eingegebenen Daten abzugreifen. Auf der seriös wirkenden Seite des Bundesgesundheitsministeriums wären sicher viele Besucher bereit gewesen, viele ihrer privaten Daten einzugeben. Im Anbetracht der von Google gepushten Popularität hätten Kriminelle so in kürzester Zeit viele intime Daten sammeln können.


Eine sichere Digitalisierung geht irgendwie anders

Unsere Bundesregierung hat Frenzels „Bauchschmerzen“ bei ihrer Form der Umsetzung von Digitalisierung einmal mehr bestätigt. Der IT-Dienstleister hatte beim ursprünglichen Zustand dieser Seite eher den Begriff „Saftladen“ im Kopf. Es brauchte nur wenige Handgriffe, um die ersten erhaften Sicherheitsmängel zu erkennen. Für Skript-Kids wäre das Gesundheitsportal eine ideale Spielwiese gewesen.

CERT behebt Fehler und bedankt sich beim Hinweisgeber

Frenzel informierte sofort das Cyber Emergency Response Team (CERT) im Bundesamt für Sicherheit in der Informationstechnik (BSI). Wenige Stunden nach der Einsendung des Fehlers erfolgte die erste Reaktion. Das Bundesgesundheitsministerium hat dem BSI dann vorgeschlagen, die sollten sich doch besser gesund.bund.de noch einmal genauer anschauen, ob es vielleicht nicht noch mehr Sicherheitslücken gibt. Frenzel hörte nach den ersten Tests auf, weil er sonst (noch mehr als jetzt schon), gegen den Hackerparagrafen verstoßen hätte. Er vermutet, dort wäre wohl noch mehr zu holen gewesen. Aber nach seinen ersten Cross-Site-Scripting-Tests stellte er seine Bemühungen ein, um keine Hausdurchsuchung oder andere juristische Probleme zu riskieren.

spahn & he-man

Wir erinnern uns. Es wäre in der Geschichte der Whitehats wahrlich keine Premiere, dass sich eine Firma oder Behörde mit einer Razzia beim Hinweisgeber „bedankt“. Wer will sich schon freiwillig die Polizei ins Haus holen??!

Doch damit genug von gesund.bund.de – kürzlich nahm Heiko Frenzel die Seite der CSU-Landtagsfraktion auseinander. Zwischenzeitlich ist er übrigens schon wieder woanders fündig geworden. He-Man is on the road again. That’s why you’d better stay tuned! Der folgende Tweet macht Lust auf mehr:


Tarnkappe.info

Über den Autor

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.