![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Das Bayerisches Staatsministerium f\u00fcr Gesundheit und Pflege (StMGP) betreibt einen Webserver, der durch diverse Sicherheitsl\u00fccken wie uralte WordPress-Versionen und -Plugins sicherheitstechnisch in ziemlicher Schieflage war. Hier einige Informationen, auf die ich k\u00fcrzlich aufmerksam wurde.<\/p>\n
<\/p>\n
Da dieses Ministerium von einem Bundesland verantwortet wird, dessen Politiker gerne nach dem Motto mir san mir und immer vorne dabei <\/em>auftrumpfen und der Ministerpr\u00e4sident schon als Bundeskanzler-Kandidat gehandhabt wird, bin ich mal ganz blau\u00e4uig davon ausgegangen, dass die Beh\u00f6rden auch im Web so was wie leuchtendes Vorbild sind.<\/p>\n Gut, etwas ans Wanken kam mein Bild von der High-Tech Agenda Bayers und des Ministerpr\u00e4sidenten Markus S\u00f6der, denn in Punkto Sicherheit lief bisher nicht alles rund. Heiko Frenzel, der eine eigene Webseite betreibt<\/a>, auf der es auch um Sicherheitsthemen geht, hat so einige Male seine Finger in 'IT-Wunden' dieses Bundeslandes gelegt. Hier eine Auflistung:<\/p>\n Frenzel ist also kein Unbekannter, hat er doch den Digitalisierungsans\u00e4tzen der Bayern mehrfach Nachhilfe in Sicherheit geben m\u00fcssen, indem er fette Sicherheitsl\u00fccken \u00f6ffentlich machte.<\/p>\n Heiko Frenzel hat sich die Webseite des StMGP n\u00e4her in Sachen Sicherheit angesehen und ist auf \"das blanke Grausen\" gesto\u00dfen, wie er in seinem Beitrag Kritische Sicherheitsl\u00fccken \u2013 Bayerisches Staatsministerium f\u00fcr Gesundheit und Pflege (StMGP) reagiert auf Sicherheitswarnung<\/a> schreibt. Dort scheint man in Sachen Digitalisierung etwas vom Weg abgekommen zu sein und marschiert sicherheitstechnisch \"auf dem Pfad des Grauens\".<\/p>\n Obiger Screenshot zeigt den Quellcode der StMGP-Seite, den ich mir beim Schreiben dieser Zeilen angesehen habe. Die Webseite l\u00e4uft mit WordPress, was kein Problem darstellt, solange die Installation aktuell und gewartet ist. In einem Kommentar springt mir aber This site is optimized with the Yoast SEO plugin v5.9.3 <\/em>entgegen, was mich dann doch etwas verunsichert hat.<\/p>\n Yoast ist ein WordPress-Plugin f\u00fcr Seach Optimization (SEO) bei Suchmaschinen wie Google. Yoast ist recht popul\u00e4r, aber genau dieses Plugin ist mir in der Vergangenheit durch Sicherheitsl\u00fccken aufgefallen<\/a>. Gefixt wurde 2019 z.B. eine Schwachstelle in der Plugin-Version 11.6. Laut Webseite des Plugins<\/a> wurde Yoast SEO vor drei Tagen auf die Version 15.7 aktualisiert. Wenn mir kein Fehler unterlaufen ist, werkelt auf der StMGP-Seite ein uraltes SEO-Plugin (laut dieser Seite<\/a> von Dezember 2017).<\/p>\n Und dies ist noch nicht alles. Die Seiten wurden, laut Kommentar,\u00a0 mit WPBakery Page Builder erstellt (ist wiederholt, und im August 2020 durch eine Sicherheitsl\u00fccke aufgefallen<\/a>). Im Quellcode habe ich in den Metadaten einen Hinweis auf WPML ver 3.8.4<\/em> gefunden, steht f\u00fcr WooCommerce Multilingual 3.8.4 und wurde am 5. August 2016 ver\u00f6ffentlicht. Die Liste der Schwachstellen l\u00e4sst sich hier<\/a> abrufen.<\/p>\n Kann ja mal passieren, aber das l\u00e4sst sich leider fortsetzen. Heiko Frenzel listet in seinem Artikel (Artikel gesch\u00fctzt) dann die sicherheitstechnischen Klopper der StMGP-Webseite auf. Hier einige Punkte, die er auflistet:<\/p>\n Weiterhin gibt Frenzel an, dass Konfigurationsdateien des Entwicklers einsehbar seien. Er hat dann, wie er in seinem Artikel schreibt, am 19.01.2021 per Mail das Cyber Emergency Response Team (CERT) im Landesamt f\u00fcr Sicherheit in der Informationstechnik (LSI)<\/a> und selbstverst\u00e4ndlich auch das betroffene Staatsministerium f\u00fcr Gesundheit und Pflege (StMGP)<\/a> informiert.<\/p>\nAuf der Webseite des Bayerisches Staatsministerium f\u00fcr Gesundheit und Pflege<\/a> (StMGP) k\u00f6nnen sich Besucher beispielsweise \u00fcber Corona und Impfzentren informieren. Eigentlich ganz informativ die Webseite.<\/p>\n
![\"Bayerisches](\"https:\/\/i.imgur.com\/M9powtV.png\" "\\"Bayerisches")
<\/a><\/p>\n\n
Kritische Sicherheitsl\u00fccken beim StMGP-Server<\/h2>\n
![\"Quellcode](\"https:\/\/i.imgur.com\/qYc84Ae.png\" "\\"Quellcode")
<\/a>
\nQuellcode der StMGP Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n\n
![\"Antwort](\"https:\/\/web.archive.org\/web\/20210521071043\/https:\/\/heiko-frenzel.de\/wp-content\/uploads\/2021\/01\/bayern-cert-lsi-stmgp-mail.png\" "\\"Antwort")
<\/a>