EU-Kommission beseitigt weitere Sicherheitslücken

Die Betreiber des Internetportals der EU-Kommission haben endlich weitere Sicherheitslücken beseitigt. Unglaublich – Etwa ein Jahr haben die Verantwortlichen benötigt, damals im Detail übersandte Informationen über Schwachstellen zu prüfen und die Lücken anschließend zu beseitigen. Ein Jahr von meinem Hinweis, über die damalige Berichterstattung, bis hin zur Beseitigung weiterer Lücken. Das verdient besondere Aufmerksamkeit und ja eigentlich schon fast Applaus. Denn gerade die EU-Kommission fordert seit einiger Zeit Änderungen im System, was die Verantwortlichkeit von Betreibern allgemeiner Internetdienste betrifft. Es wird viel darüber gesprochen, dass Sicherheitslücken oftmals nicht oder nur zu spät erkannt werden. Man schwadroniert über den „Cyberkrieg“, möchte für die Zukunft aufrüsten und Menschen verpflichten, Übergriffe bei Behörden zu melden. Auch Strafgelder für nicht gemeldete Übergriffe sind – soweit meine Informationen reichen – bereits im Gespräch.

Dabei sollte sich die „EU-Regierung“ in meinen Augen schämen. In den vergangenen Monaten gab es bereits erfolgte Hackerangriffe auf Systeme des EU Parlaments  und dass es weitere Übergriffe gegeben haben könnte, ist nicht ausgeschlossen. Wer weiß, was man bei den „Helden da oben“ so alles nicht an die Öffentlichkeit dringen lässt. Mehr Informationen über die Problematik und dem Verlauf meiner Hinweise kann man im damaligen Beitrag nachlesen: EU ignoriert höchst kritische Sicherheitslücken. Durch die ganze Angelegenheit bin ich ehrlich gesagt in keinster Weise mehr davon überzeugt, dass die EU Regierung in irgendeiner Art und Weise Kompetenzen aufweist, mit sensiblen Daten umzugehen. Man möchte Bürger überwachen, zentrale Daten speichern, Banken und Gelder kontrollieren, in die freie Entscheidung der Bürger eingreifen usw. – Ist aber nicht einmal fähig, innerhalb kurzer Zeit, hochgradig gefährliche Schwachstellen in eigenen Systemen zu beseitigen, die nicht nur Betreiber, sondern auch Besucher und Nutzer allgemein gefährden. Das ist eine Angelegenheit, die eigentlich sehr offen und vorallem öffentlich diskutiert werden sollte. Zumindest ist dies meine ganz persönliche Meinung.

Ich habe die Liste (wie im damaligen Beitrag zu sehen) noch nicht genau überprüft, konnte aber 2 weitere – damals gemeldete – Schwachstellen nicht mehr nachvollziehen. Dabei ging es um eine XSS Schwachstelle, die bis vor wenigen Tagen noch verantwortlich für ACDC Tracks bei der EU-Kommission war oder auch mal eben ganz eigene Nachrichten veröffentlichen ließ. Zudem hat man auch eine höchst kritische Schwachstelle im „Prelex“ System beseitigt, die einem Angreifer den Zugang zu Datenbanken ermöglichte. Sofern ein paar Minuten freie Zeit verfügbar sind, werde ich die weiteren, gemeldeten Schwachstellen kontrollieren.

Meine Fragen an die Allgemeinheit da draußen: Wie kann es sein, dass ein Regierungsorgan wie die EU-Kommission und das EU-Parlament es nicht schafft, umgehende Sicherheit auf eigenen Systemen herzustellen? Warum muss erst öffentlich bei Sicherheit-Online, gulli und an weiteren Stellen berichtet werden, dass die „da oben“ überhaupt reagieren? Sollte man derartige Fahrlässigkeit nicht sanktionieren?