# taz.de -- Online-Befragung zum Zensus: Mit Sicherheit unsicher
       
       > Der Staat betont, beim Zensus 2011 alles im Griff zu haben - die Daten
       > seien bestens geschützt. Online ist bereits die erste Sicherheitslücke
       > aufgetaucht.
       
 (IMG) Bild: Übersicht und Sicherheit sind nicht dasselbe: Zensusfragen am Bildschirm.
       
       BERLIN taz | Gefälschte Fragebögen zur Volkszählung gab es schon. Deshalb
       finden die BürgerInnen, die sich ab dem 9. Mai zählen lassen wollen,
       [1][auf der offiziellen Website] Muster-Fragebögen, um sich vergewissen zu
       können, ob sie etwas über ihre sexuellen Vorlieben (nein) oder über die
       jeweils bevorzugte Art und Weise, höhere Wesen zu verehren (freiwillig),
       verraten müssen oder nicht.
       
       Aber kann man sich gewiss sein, dass die richtigen Leute die Daten
       abgreifen, die man dort online eingibt? Jan Schejbal, deutscher Computer-
       und Sicherheitsexperte mit Wohnsitz in Schweden, [2][hat jetzt
       nachgewiesen], dass die Website zur Volkszählung schwer wiegende Mängel
       hat. Von ausreichender Sicherheit kann nicht die Rede sein.
       
       Personen mit genügend krimineller Energie könnte die online abgegebenen
       Daten abgreifen, wenn bestimmte Voraussetzungen vorliegen. Sogar die
       Software für einen Angriff per Internet existiert schon. Die Daten im World
       Wide Web, dem populärsten Dienst im Internet, werden durch das Hypertext
       Transfer Protocol (http) gesteuert. Das ist eine genormte Technik, Daten so
       zu übertragen, dass sie weder verfälscht werden noch verloren gehen. Die
       Website, die man mit dem Browser ansurft, identifiziert sich in einer Art
       Frage-und-Antwort-Spiel, vom dem die Nutzer nichts merken und das auch nur
       Millisekunden dauert.
       
       Nichts hindert Kriminelle aber daran, seriöse Websites einfach zu imitieren
       und die Daten ahnungsloser Nutzer, die sich etwa auf der Internet-Präsenz
       ihrer Hausbank wähnen, zu stehlen. Um das zu vermeiden, ist das Hypertext
       Transfer Protocol Secure (https) erfunden worden - eine sicherere Variante
       des WWW-Protokolls. Einige wichtige Daten werden zusätzlich verschlüsselt.
       Https verhält sich zu http wie ein Brief zu einer Postkarte.
       
       ## „SSLstrip - HTTPS Stripping Attack Tool“
       
       Genau hier setzt aber [3][die Software SSLstrip] des kalifornischen Hackers
       und Profi-Seglers Moxie Marlinspike an. Jan Schejbal benutzte das „SSLstrip
       - HTTPS Stripping Attack Tool“, um zu überpüfen, ob man die Sicherheit der
       Volkszählungs-Website aushebeln kann. Ja, man kann, wenn man den Zugriff
       auf die Datenströme hat. In Frage kommen etwa EDV-Verantwortliche einer
       Firma mit einem eigenen Intranet oder diejenigen, die Domain Name Server
       warten, Rechner, die als „Dolmetscher“ die Adresse eine Computers in
       Buchstabenform in Zahlen - die so genannte IP-Adresse - übersetzen.
       
       Besonders gefährlich in diesem Fall wäre ein kostenloser WLAN-Zugang:
       Jeder, der einen solchen anbietet, etwa der Betreiber eines Cafés, könnte
       die Nutzer bei der Volkszählung online ausspionieren. Der Datendiebstahl
       gelänge, wenn die Nutzer von einer unverschlüsselten Website auf eine
       weitergeleitet werden, die das Hypertext Transfer Protocol Secure benutzt.
       Genau das geschieht auf zensus2011.de.
       
       Der Angreifer kann SSLstrip benutzen, um den Surfern, die ihre sensible
       Daten online eingeben wollen, vorzugaukeln, ihre Verbindung sei sicher. In
       Wahrheit wird alles mitgelesen. Das funktioniert selbst dann, wenn die
       Nutzer mit ihrem Computer und der Software verantwortlich umgehen - also
       ganz ohne Schadsoftware. Jan Schejbal sagte der taz, die Verantwortlichen
       des Zensus2011.de hätten sich offenbar beim Thema Sicherheit nicht viel
       Mühe gegeben.
       
       Vermutlich sei man davon ausgegangen, dass Computer- und Internet-Laien das
       sichere https und das weniger sichere Protokoll http ohnehin nicht
       unterscheiden könnten und das „s“ bei der Eingabe einfach wegließen.
       Deshalb habe man bei den papiernen Volkszählungs-Fragebögen auf eine
       sichere Lösung verzichtet.
       
       ## Wer ist mein Administrator?
       
       Die Website der Volkszählung hat zwar eine barrierfreie Version, verlangt
       aber dennoch, die Sicherheitseinstellungen des Browsers teilweise zu
       deaktivieren. Wer aktive Inhalte, die potenziell schädlich sein könnten,
       verbietet, wird aufgefordert: „Bitte überprüfen Sie Ihre
       Sicherheitseinstellungen oder wenden Sie sich an Ihren Administrator.“
       Nicht jeder wird wissen, wer sein „Administrator“ ist.
       
       Warum man als Browser den Internet-Explorer oder Firefox nutzen muss und
       keinen anderen, wird auch nicht erläutert - als baute man eine Straße, die
       nur für bestimmte Autotypen zugelassen ist. Beim Zensus2011.de scheint sich
       eine Redensart unter Geeks und Nerds zu bewahrheiten: Webdesigner haben zum
       Thema Sicherheit ein Verhältnis wie Klaus Störtebeker zum Handelsrecht.
       
       10 May 2011
       
       ## LINKS
       
 (DIR) [1] http://www.zensus2011.de/
 (DIR) [2] http://janschejbal.wordpress.com/2011/05/07/volkszahlung-online-ubermittlung-unsicher/
 (DIR) [3] http://www.thoughtcrime.org/software/sslstrip/
       
       ## AUTOREN
       
 (DIR) Burkhard Schröder
       
       ## TAGS
       
 (DIR) Bundestag
 (DIR) Schwerpunkt Überwachung
 (DIR) Schwerpunkt Überwachung
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Wegen Zensus verliert Hamburg Mandate: Weniger Hamburg in Berlin
       
       Hamburg verliert einen Abgeordneten, weil der Bund mit niedrigen
       Einwohnerzahlen hantiert. Verfassungsgericht verhandelt das im Oktober.
       
 (DIR) Zwischenstand zur Volkszählung: Boykott nur bei der Briefmarke
       
       Die Statistikämter der Länder sind zufrieden – bisher gibt es hohe
       Rücklaufquoten bei der Volksbefragung. Einziges Problem: Viele Befragten
       wollen kein Porto zahlen.
       
 (DIR) Zensus 2011: Widerstand ist (nicht) zwecklos
       
       Die Volkszähler sind unterwegs. Wer ausgewählt wurde, muss sich befragen
       lassen. Kann man sich dagegen wehren? Eine Gebrauchsanleitung in 5
       Schritten.
       
 (DIR) Der gefakte Zensus-Fragebogen: "Das dürfen die"
       
       Wahlverhalten, Drogenkonsum - was verraten Bürger, wenn sie glauben, die
       Volkszähler stehen vor der Tür? Ein Test zeigt, wie die Leute reagieren.
       
 (DIR) Volkszählung in Deutschland: Fragen über Fragen
       
       Nun werden die Deutschen durchgezählt. Der Staat fragt, die taz gibt die
       wichtigsten Antworten zum Zensus. Auch: Was mit den Daten nicht geschehen
       darf.
       
 (DIR) Kommentar Zensus: Wir sind gläsern
       
       Trotz Datenpannen überall, die Volkszählung regt keinen auf - nicht mal in
       Berlin. Für die "Generation Facebook" ist es selbstverständlich, im Netz
       viel von sich preiszugeben.