HTTPS-Verschlüsselung bei deutschen Bundesbehörden verbreiteter als zuerst erkennbar
Der Druck auf Webseitenbetreiber, verschlüsselte Kommunikation über das TLS-Protokoll anzubieten, steigt immer weiter. So sollen Man-in-the-Middle-Angriffe verhindert werden, bei denen Unbefugte die Kommunikation zwischen Nutzer und Betreiber der Webseite abfangen. Auch die Bundesregierung setzt sich offensiv für flächendeckende HTTPS-Verschlüsselung ein, seit 2014 existiert ein entsprechender Mindeststandard des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden. Umso erstaunlich war die Anfang Januar erschienene
Statistik, die nur 135 der 513 von Behörden betriebenen Webseiten eine entsprechende Verschlüsselung vorfand, also nur gut jede vierte Seite (26 %).
Anfrage sorgt für detailliertere Auflistung der DomainsDieser Befund sorgte für eine Anfrage der Linksfraktion im Deutschen Bundestag, die nun von der Bundesregierung mit einer ausführlicheren Auflistung der betrieben Domains beantwortet wurde (Drucksache:
). Überraschendeweise lautet der Befund nun nicht mehr, dass 26 Prozent, sondern 84,6 Prozent der Seiten geschützt sind. 68,4 Prozent erzwingen das HTTPS-Protokoll sogar. Insgesamt betreiben Behörden 2.997 Domains.
Nur Sub-Seiten mit Nutzerinteraktion geschütztWie kommt es nun zu diesen doch sehr unterschiedlichen Befunden? Die Bundesregierung sagt dazu: "(…) Hinzu kommen Domains vermeintlich ohne HTTPS, bei denen es sich um eine reine Weiterleitung auf korrekt aufgesetzte HTTPS-Domains handelt." Es ist anzunehmen, dass damit die Tatsache gemeint ist, dass die Verschlüsselung oftmals nicht auf den Hauptseiten der Domains zum Einsatz kommt, wohl aber auf allen Sub-Seiten, auf denen Nutzerinteraktion stattfinden kann. Wenn man beispielsweise die Webseite des Bundesverkehrsministeriums aufruft, zeigt der Webbrowser keine HTTPS-Verschlüsselung an. Die Sub-Seiten für Kontakt (mit Formularen) oder Presse (mit E-Mail-Feld) weisen sie dagegen auf. So stellen die Behörden sicher, dass "der Informationsaustausch mit Nutzern (…) in diesen Fällen ausschließlich über die HTTPS-Domains" erfolgt. Entsprechend könne man mit dem aktuellen, von den Anfragestellern kritisierten Ist-Zustand zufrieden sein: "Die Bundesregierung bewertet den Anteil der Domains deutscher Bundesbehörden, die den Einsatz von HTTPS unterstützen, vor diesem Hintergrund als einen guten derzeitigen Stand, der perspektivisch noch verbessert werden kann."