155.000 Euro teuer, weder open und noch secure: govdata.de

Gestern ging das Open-Data-Portal des Bundesinnenministeriums an den Start. Doch das Portal ist weder open noch secure. Stattdessen: Sicherheitslücken, geschlossene Lizenzen und kein Open-Source.

Manchmal möchte ich wie Maggie Thatcher mit der Hand- respektive Laptop-Tasche auf den Tisch hauen und sprichwörtlich rufen: „I want my money back!“ Beim steuer-finanzierten govdata.de ist dies gerade so ein Fall.

Die ersten Datensätze.

So hatte ich Open-Data nicht verstanden: Stacktrace auf govdata.de.

Vorweg: Ich habe mich richtig auf ein Open-Data-Portal in Deutschland gefreut. Und, zugegeben: Jeder kann einen schlechten Start haben. Aber der von govdata.de ist wirklich desaströs. Da ist zunächst diese „Datenlizenz Deutschland„, die in ihrer nicht-kommerziellen Variante jede wirtschaftlich-sinnvolle Form der Datennutzung schlicht  weg unmöglich macht. Deutschland fällt damit weit hinter internationale Standards zurück. Wäre ja auch noch schöner wenn jemand aus dem Ausland die Lizenz versteht und eine innovative Anwendung mit unseren Daten bastelt! Der offizielle Lizenz-Link aus der Dokumentation ist nebenbei bemerkt immer noch down, funktioniert aber vielleicht noch eines Tages.

Ohne Kennwort gehts nichtDer eigentliche Start des Portals war auch holprig: Mal offline, mal Kennwort, mal gar nichts. Die Seite hatte viele Statusmeldungen zu bieten. Kann passieren. Dumm nur, wenn das Stacktrace auf einem Produktivsystem offen zugänglich ist und mir Code, Variablen und sonstigen Speicherinhalt präsentiert. Schon eine mittel-schwere Sicherheitslücke. Der ganze Leidensweg (Livegang) zog sich über Stunden hinweg und zur Stunde sind alle Schwächen noch lange nicht behoben.

Identitätsdiebstahl leicht gemacht

Unverschlüsselt: govdata.deRichtig haarsträubend ist aber die Tatsache, dass die Benutzer-Anmeldung des neuen Portals komplett unverschlüsselt verläuft. Sensible Daten wie Namen, Kennwörter und E-Mail-Adressen werden ohne jeden Schutz übertragen und können insbesondere in vielen WLAN-Netzwerken problemlos ausgespäht werden. Identitätsdiebstahl wird so Tür und Tor geöffnet.

Wer jetzt einwendet, dass schon man mal die SSL-Verbindung vergessen kann: Das Bundesministerium des Innern ist für die Seite zuständig! Die Behörde, die sich für die nationale (IT-) Sicherheit verantwortlich zeichnet.

Es sind also zwei Schlussfolgerungen möglich. Entweder: Es gab keine Abnahme von Seiten des BMI und das Portal wäre ohne Prüfung online gegangen. Das wäre mindestens grob fahrlässig. Oder: Die IT-Experten im BMI haben bei der Abnahme tatsächlich die Verschlüsselung der Datenverbindung vergessen. Dann muss man auch nicht mehr über Cyber-Sicherheit und Gefahren-Abwehr diskutieren.

Beide Szenarien sind jedenfalls alle mal grotesk. Gerade auch vor dem Hintergrund, dass das BSI als nachgelagerte Behörde des BMI jeden Bürger auffordert seine Daten bitte zu verschlüsseln. Und Innenminister Friedrich bei jeder Gelegenheit vor Hacker-Angriffen warnt und ständig noch mehr wirkungslose Cyber-Abwehr fordert.

Man hätte es auch preiswerter und offener haben können

Das Projekt jedenfalls hat bisher mindestens 155.000 Euro gekostet. Das ist nicht so viel, der Beitrag ist aber mehr als peanuts. Die Gutachten im Vorfeld mal nicht mit gerechnet. Und ich frage mich: Hätte man das nicht auch preiswerter und sicherer haben können? Ginge es nicht auch leichter? Und warum ist ein Open-Data-Portal eigentlich nicht selbst Open-Source-Software? Das wäre doch nur die logische Konsequenz, wenn die Open-Government-Eckpunkte aus dem selben Ministerium mal zu Ende denkt.

Und dann schaue ich nach Großbritannien und stelle fest: Das nationale Open-Portal dort ist bereits von Anfang an freie Open-Source-Software. Alles auf dem sehr erfolgreichen Portal data.gov.uk ist wirklich open und free! Eine „Datenlizenz UK“ gibt es dort auch nicht — die Briten halten sich an internationale Standards.

Vielleicht hätte das BMI einfach die Software von data.gov.uk nehmen und übersetzen lassen data.gov.ukkönnen? Der Sinn von Open-Source-Software ist doch gerade diese gemeinsam weiter zu entwickeln. Stichworte: Innovation und Nachhaltigkeit. Da wären die Steuergelder allemal besser für die Allgemeinheit investiert und vielleicht wäre noch genug Geld für ein 200 Euro teures SSL-Zertifikat drin gewesen.

Um es mit den Briten zu sagen: „I want my money back!“

Randnotizen: Das Framework hinter govdata.de ist für seine Sicherheitslücken bekannt. data.gov.uk und govdata.de sind in weiten Teilen architektonisch vergleichbar (man denke an die Programmierschnittstellen und Standards).

Für Genießer

Hier noch ein besonderes Schmankerl aus Header von govdata.de für HTML-Kenner unter uns. Wohlgemerkt: Die Links führen alle nach localhost und damit direkt ins Nirwana.

[…] <link href=“http&#x3a;&#x2f;&#x2f;localhost“ rel=“canonical“ /> <link href=“http&#x3a;&#x2f;&#x2f;localhost&#x2f;ar“ hreflang=“ar-SA“ rel=“alternate“ /> <link href=“http&#x3a;&#x2f;&#x2f;localhost&#x2f;eu“ hreflang=“eu-ES“ rel=“alternate“ /> <link href=“http&#x3a;&#x2f;&#x2f;localhost&#x2f;bg“ hreflang=“bg-BG“ rel=“alternate“ /> <link href=“http&#x3a;&#x2f;&#x2f;localhost&#x2f;ca“ hreflang=“ca-AD“ rel=“alternate“ /> <link href=“http&#x3a;&#x2f;&#x2f;localhost&#x2f;ca_ES“ hreflang=“ca-ES“ rel=“alternate“ /> <link href=“http&#x3a;&#x2f;&#x2f;localhost&#x2f;zh“ hreflang=“zh-CN“ rel=“alternate“ /> <link href=“http&#x3a;&#x2f;&#x2f;localhost&#x2f;zh_TW“ hreflang=“zh-TW“ rel=“alternate“ /> […]

Hier der passende Screenshot dazu.

1 Kommentar Schreibe einen Kommentar

Schreibe einen Kommentar