Thema: Internetauftritt der Bundesregierung ...

[SiLæncer]

Bislang bekamen die Wähler von der Bundesregierung mehr, als sie eigentlich wollten. Ein entgegengesetztes Phänomen findet sich auf der Webseite der Bundesregierung, wodurch diese andere Meldungen bekommt als gewünscht: Der Internetauftritt ist von einer Cross-Site-Scripting-Schwachstelle betroffen. Angreifer können dadurch beliebige Meldungen in der Seitenoptik unter der Domäne der Bundesregierung erstellen, Browser-Cookies klauen oder Skriptcode im Browser von Anwendern ausführen.

Der Fehler findet sich in der Suchfunktion des Internetauftritts, die HTML- und Skript-Code in Anfragen nicht ausfiltert. Auf Anfrage von heise Security war beim Bundespresseamt (BPA) zu erfahren, dass dort eine Cross-Site-Scripting-Schwachstelle im Internetauftritt zwar bekannt war, man allerdings davon ausginge, dass die Sicherheitslücke zwischenzeitlich geschlossen wurde. Offenbar haben die Techniker jedoch nur eines von mehreren Löchern gestopft.

Wann die Cross-Site-Scripting-Lücke endgültig geschlossen wird, ist noch unklar. Laut BPA werde man jedoch schnellstmöglich Gegenmaßnahmen einleiten und die verantwortlichen Personen in Kenntnis setzen. Bis es soweit ist, sind vermeintlich Aufsehen erregende Meldungen auf der Webseite der Bundesregierung, auf die man durch lange Links mit ungewöhnlichen Zeichen hingewiesen wird, mit Vorsicht zu genießen – es könnte sich dabei um eine Ente handeln.

[Update]:
Laut dem für den Internetauftritt der Bundesregierung zuständigen Internet-Dienstleister haben die Techniker die Cross-Site-Scripting-Lücken jetzt geschlossen.

[2. Update]:
Die Rücktrittslücke schlägt weitere Wellen: Mittlerweile demonstriert Constantin Hofstetter in seinem Blog, dass die offizielle Site des Deutschen Bundestags Bundestag.de ebenfalls für Cross Site Scripting anfällig ist. Über eine speziell zusammengesetzte URL landet man auf einer Web-Seite, die die Rücktrittsgerüchte um Angela Merkel scheinbar bestätigt. Der Trick: Über eine spezielle Variable lässt sich ein Stichwort für eine Fehlermeldung übergeben, die ungefiltert ausgegeben wird; die URL belegt sie einfach mit HTML-Code für die angezeigte Meldung.

Quelle : www.heise.de

[SiLæncer]

Der Deutsche Bundestag nimmt es auf seiner Internetseite mit Datenschutzrichtlinien offenbar nicht so ernst. Wie "Der Spiegel" aktuell berichtet, verwendet die Webpräsenz einen Trackingdienst, der das Surfverhalten der Nutzer analysiert. Sowohl auf dem Kinderportal der Regierung „Kuppelkucker.de“ als auch auf der Hauptseite „Bundestag.de“ fehlt jedoch jeglicher Vermerk in den Datenschutzhinweisen.

Der Bundesdatenschutzbeauftragte Peter Schaar hat sich laut Angaben des Spiegels, bereits eingeschaltet. So sei eine Prüfung eingeleitet geworden, die das Fehlen eines Datenschutzhinweises rechtlich beurteilen soll. Geht es nach Hubertus Gersdorf, befindet sich der Deutsche Bundestag mit dem Verwenden der Trackingsoftware des Unternehmens WebTrends, zumindest in einer rechtlichen Grauzone. „Dass Besucher der Bundestagsseite nicht darüber informiert werden, dass ein Trackingtool benutzt wird, ist datenschutzrechtlich nicht zulässig“, erklärte er als Mitglied der Enquetekommission Internet und digitale Gesellschaft.

Offenbar wird der Analyse-Dienst vollständig auf den Servern der Regierung betrieben. Entsprechend dürfte womöglich keine Übertragung der Ergebnisse und Aufzeichnungen an Dritte erfolgen. Ein derartiges Vorgehen steht im starken Kontrast zu Googles Service „Analytics“. Diese Software schneidet das Nutzungsverhalten der Besucher nicht nur mit, sondern übersendet es überdies an amerikanische Server. Auch die IP-Adressen der Betroffenen sollen von dem Transfer betroffen sein, was Administratoren dazu zwingt, ihre Besucher über Google Analytics in Kenntnis zu setzen, insofern es zum Einsatz kommt.

Von offizieller Seite ist der Deutsche Bundestag davon überzeugt, dass die eingesetzte Technik den gesetzlichen Bestimmungen entspreche. Für gegenteilige Behauptungen lägen keine Anhaltspunkte vor, äußerte sich die zuständige Bundestagsverwaltung.

Zu was die von Schaar veranlasste Prüfung führen wird, bleibt abzuwarten. Ein prekäres Detail des Vorfalls ist zumindest die Tatsache, dass die WebTrends-Software nicht nur auf Bundestag.de sondern auch der Kinderseite Kuppelkucker.de zum Einsatz kommt.

Quelle : www.gulli.com

[SiLæncer]

Nach Ansicht des Bundesdatenschutzbeauftragten Peter Schaar verstößt die Homepage des Bundestags gegen Datenschutz-Richtlinien. Dort und beim Kinderportal des Bundestags, Kuppelkucker.de, werde ein Tracking-Dienst eingesetzt. In beiden Fällen würden die Besucher in den Datenschutzhinweisen nicht darüber informiert, berichtet der Spiegel in seiner am Montag erscheinenden Ausgabe. Schaar habe deshalb eine Prüfung eingeleitet.

"Dass Besucher der Bundestagsseite nicht darüber informiert werden, dass ein Tracking-Tool benutzt wird, ist datenschutzrechtlich nicht zulässig", zitiert das Magazin Hubertus Gersdorf, sachverständiges Mitglied der Enquetekommission Internet und digitale Gesellschaft. Die Bundestagsverwaltung dagegen sehe dem Bericht zufolge "keine Anhaltspunkte" dafür, dass die derzeit eingesetzte Technik nicht "den gesetzlichen Bestimmungen" entspreche.

Tatsächlich übermitteln die Bundestags-Server zwei JavaScript-Dateien, webtrends_sdc.js und webtrends_atc.js, die offenbar Tracking-Aufgaben erledigen. Dass der Bundestag und sein Kinder-Ableger die Benutzer tracken, verschweigt die Datenschutzerklärung nicht: "Bei einem Besuch unserer Internetseiten erfassen wir, welche Seiten Sie aufrufen und wie lange Sie darauf verweilen. Dies dient der inhaltlichen, grafischen und technischen Verbesserung unseres Internetangebotes. Für einen Zeitraum von maximal 24 Stunden wird dabei Ihre IP-Adresse auf einem dafür vorgesehenen Statistik-Server in einer Protokoll-Datei gespeichert. Einmal am Tag werden diese Daten anonymisiert und in einer Datenbank ausgewertet. Danach wird die Protokoll-Datei gelöscht." Bei kuppelkucker.de findet sich eine fast wortgleiche Datenschutzerklärung (beide: Stand 26.11.11).

Quelle : www.heise.de