Bayerisches Staatsministerium: Webseite des StMGP mit Sicherheitslücken

Das Bayerisches Staatsministerium für Gesundheit und Pflege (StMGP) betreibt einen Webserver, der durch diverse Sicherheitslücken wie uralte WordPress-Versionen und -Plugins sicherheitstechnisch in ziemlicher Schieflage war. Hier einige Informationen, auf die ich kürzlich aufmerksam wurde.

Auf der Webseite des Bayerisches Staatsministerium für Gesundheit und Pflege (StMGP) können sich Besucher beispielsweise über Corona und Impfzentren informieren. Eigentlich ganz informativ die Webseite.

Bayerisches Staatsministerium für Gesundheit und Pflege

Da dieses Ministerium von einem Bundesland verantwortet wird, dessen Politiker gerne nach dem Motto mir san mir und immer vorne dabei auftrumpfen und der Ministerpräsident schon als Bundeskanzler-Kandidat gehandhabt wird, bin ich mal ganz blauäuig davon ausgegangen, dass die Behörden auch im Web so was wie leuchtendes Vorbild sind.

Gut, etwas ans Wanken kam mein Bild von der High-Tech Agenda Bayers und des Ministerpräsidenten Markus Söder, denn in Punkto Sicherheit lief bisher nicht alles rund. Heiko Frenzel, der eine eigene Webseite betreibt, auf der es auch um Sicherheitsthemen geht, hat so einige Male seine Finger in ‚IT-Wunden‘ dieses Bundeslandes gelegt. Hier eine Auflistung:

Frenzel ist also kein Unbekannter, hat er doch den Digitalisierungsansätzen der Bayern mehrfach Nachhilfe in Sicherheit geben müssen, indem er fette Sicherheitslücken öffentlich machte.

Kritische Sicherheitslücken beim StMGP-Server

Heiko Frenzel hat sich die Webseite des StMGP näher in Sachen Sicherheit angesehen und ist auf „das blanke Grausen“ gestoßen, wie er in seinem Beitrag Kritische Sicherheitslücken – Bayerisches Staatsministerium für Gesundheit und Pflege (StMGP) reagiert auf Sicherheitswarnung schreibt. Dort scheint man in Sachen Digitalisierung etwas vom Weg abgekommen zu sein und marschiert sicherheitstechnisch „auf dem Pfad des Grauens“.

Quellcode der StMGP
Quellcode der StMGP Zum Vergrößern klicken

Obiger Screenshot zeigt den Quellcode der StMGP-Seite, den ich mir beim Schreiben dieser Zeilen angesehen habe. Die Webseite läuft mit WordPress, was kein Problem darstellt, solange die Installation aktuell und gewartet ist. In einem Kommentar springt mir aber This site is optimized with the Yoast SEO plugin v5.9.3 entgegen, was mich dann doch etwas verunsichert hat.

Yoast ist ein WordPress-Plugin für Seach Optimization (SEO) bei Suchmaschinen wie Google. Yoast ist recht populär, aber genau dieses Plugin ist mir in der Vergangenheit durch Sicherheitslücken aufgefallen. Gefixt wurde 2019 z.B. eine Schwachstelle in der Plugin-Version 11.6. Laut Webseite des Plugins wurde Yoast SEO vor drei Tagen auf die Version 15.7 aktualisiert. Wenn mir kein Fehler unterlaufen ist, werkelt auf der StMGP-Seite ein uraltes SEO-Plugin (laut dieser Seite von Dezember 2017).

Und dies ist noch nicht alles. Die Seiten wurden, laut Kommentar,  mit WPBakery Page Builder erstellt (ist wiederholt, und im August 2020 durch eine Sicherheitslücke aufgefallen). Im Quellcode habe ich in den Metadaten einen Hinweis auf WPML ver 3.8.4 gefunden, steht für WooCommerce Multilingual 3.8.4 und wurde am 5. August 2016 veröffentlicht. Die Liste der Schwachstellen lässt sich hier abrufen.

Kann ja mal passieren, aber das lässt sich leider fortsetzen. Heiko Frenzel listet in seinem Artikel (Artikel geschützt) dann die sicherheitstechnischen Klopper der StMGP-Webseite auf. Hier einige Punkte, die er auflistet:

  • Es wird WordPress Version 4.9.16 eingesetzt, aktuell ist WordPress 5.6
  • WordPress wird auf einem veralteten Server gehostet
  • Die verwendeten Plugins sind veraltet und mit bekannten Sicherheitslücken versehen

Weiterhin gibt Frenzel an, dass Konfigurationsdateien des Entwicklers einsehbar seien. Er hat dann, wie er in seinem Artikel schreibt, am 19.01.2021 per Mail das Cyber Emergency Response Team (CERT) im Landesamt für Sicherheit in der Informationstechnik (LSI) und selbstverständlich auch das betroffene Staatsministerium für Gesundheit und Pflege (StMGP) informiert.

Antwort auf Sicherheitsmeldung
(Quelle: Heiko Frenzel)

Die Antwort hat Heiko Frenzel auf seiner Seite veröffentlicht (siehe Screenshot) – am 20.1.2021 gibt es den Hinweis, dass man Maßnahmen einleitet. Wir haben den 29.1.2021, und einige der oben skizzierten Schwachstellen konnte ich noch im Quellcode noch finden. Mein Schluss: Man arbeitet gründlich, aber langsam – wir bewegen uns im Neuland.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Bayerisches Staatsministerium: Webseite des StMGP mit Sicherheitslücken

  1. No sagt:

    Da gilt das böse Wort vom „Neuland“.

    Das Gegenteil wäre besser: Es gibt Nachholbedarf, organisieren wir es. Aber so ist und wird die EU digitale Entwicklungsland.

  2. Matthias Gutowsky sagt:

    In Berlin machen sie es den Angreifern noch einfacher.
    Da werden Anleitungen zur Anmeldung und die entsprechenden Nutzernamen/Kennwörter frei im Netz verteilt.
    https://www.danisch.de/blog/2021/01/29/berlin-digital-benutzername-und-passwort/#more-40836

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert