BSI Sicherheitstest – gleich zwei Anfängerfehler und keine Antwort

Hacker und BeamteDas BSI sollte alles tun um das etwas ramponierte Vertrauen der Öffentlichleit wieder herzustellen. Ärgerlich ist es, wenn selbst bei der primitiven Abfrage zur Überprüfung der Email Adressen mit dem BSI Sicherheitstest Fehler auftreten.

  1. Auf der Seite zur Eingabe der Email Adresse findet man weder eine Versionsnummer noch ein Datum. Der Benutzer weiss damit nicht mit welcher Version der Software das BSI gepüft hat. Eine grundlegende Regel für ein sicheres System wird damit verletzt.
  2.  Schlampige Programmierung: vergisst man das Häkchen für die Nutzung der persönlichen Daten zu machen, erhält man eine Fehlermeldung und wird aufgefordert das Format der eingegeben Email Adresse zu prüfen. Das ist zwar eine Kleinigkeit und wird wohl von meisten Benutzern schnell durchschaut werden. Allerdings hat man wenig Vertrauen in die Arbeitsweise der BSI Softwareentwicklung wenn solche Kleinigkeiten vor der mit Getöse angekündigten Freigabe des Tests nicht bemerkt werden.

Die ihr ins BSI Neuland eintretet lasst alle Hoffnung fahren!

Zu diesem Bild passt, dass der BSI Server auf Anfragen von zwei Email Adressen mit .com und .eu Endung über zwei Tage nicht geantwortet hat. Nach Angaben des BSI kann man damit rechnen, dass die eigene Adresse nicht betroffen ist wenn keine Rückmeldung kommt. Man weiß aber nicht ob die Anfrage überhaupt bearbeitet wurde oder der Server des BSI mal wieder nicht funktioniert. Man sollte auf Eingaben an einem System eigentlich immer eine Rückantwort erhalten. Das BSI macht das nicht mit der Begründung, dass sonst Anfragen mit fremden Adressen möglich wären und der Empfänger der Nachricht dann mit der Nachricht nichts anfangen könnte. Genau das ist aber der Fall wenn man eine fremde Adresse angibt und diese Adresse tatsächlich betroffen ist. Hacker können Dummy Anfragen per System an den BSI Server schicken und so das System überlasten –  Denial of Service ist da offensichtlich eingebaut.  Es gibt auch bis heute  keine verlässlichen Zahlen, wieviele Benutzer eigentlich betroffen sind und bei welchen Email Providern, wieviele Kundendaten abgegriffen wurden und ob es überhaupt fremde Zugriffe auf die Konten gab. Bei den zunächst vermuteten Viren zum Sammeln der Email Adressen auf den Clients wird ja im Moment schon fest zurück gerudert. Das BSI setzt offensichtlich auf „Security by Obscurity“ !

Advertisements

Eine Antwort zu “BSI Sicherheitstest – gleich zwei Anfängerfehler und keine Antwort

  1. Pingback: BSI Sicherheitstest – gleich zwei Anfängerfehler - SharePoint Blogs in German - Bamboo Nation

Kommentare wieder erlaubt

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s