Heise berichtet, daß der Webserver des Bundesministeriums für Verkehr und digitale Infrastruktur bis Donnerstag, den 28. April 2016 von der Sicherheitslücke Hearbleed betroffen war. Erst nachdem Heise das CERT-Bund am Montag darüber informiert hatte, wurde die Sicherheitslücke innerhalb von vier Tagen geschlossen. Ein neues TLS-Zertifikat wurde am Freitag, den 29. April 2016 erzeugt.

Die Heartbleed-Sicherheitslücke (CVE-2014-0160) in der OpenSSL-Bibliothek für SSL/TLS-verschlüsselte Verbindungen (wie https://) ist seit dem 7. April 2014 (!) bekannt. Damals mußten die meisten Server im Internet gepatcht werden. Jeder Systemadministrator, der irgendwie mit dem Internet zu tun hat, hat im April 2014 zumindest von Heartbleed gehört, ein Großteil wahr vermutlich betroffen und mußte aktiv werden. Diese Sicherheitslücke war damals auch groß in allen Medien, sodaß auch jede Menge »Normalmenschen« davon erfuhren.

Da ist es äußerst erstaunlich, daß zwei Jahre nach diesem Super-GAU, bei dem immer wieder 64 Kilobyte des Arbeitsspeichers eines betroffenen Systems unbemerkt ausgelesen werden konnten – mit möglicherweise darin stehenden Daten, etwa eingegebene Kennwörter oder E-Mails, und privaten Schlüsseln, die wiederum das entschlüsseln verschlüsselter Verbindungen erlauben –, immer noch ein System von dieser Sicherheitslücke betroffen ist. Umso mehr, daß es das Bundesministerium für digitale Infrastruktur betrifft, welches durchaus Vorbildcharakter haben sollte.