Amtliche Bekanntmachungen der Stadt Wuppertal: 403 Verboten!

Bildschirmkopie: N.Bernhardt. Der Webbrowser des Autors ist offensichtlich „böse“ und darf die amtlichen Bekanntmachungen des Städtchen Wuppertals deshalb nicht abrufen.

Einige wenige Errungenschaften von Privatsphäre im Internetz ist die Transportverschlüsselung („https“), die die Authentizität und Geheimhaltung der Daten zwischen dem Anbieter – hier: die Stadt Wuppertal – und dem Webbrowser – hier: der Kunde der Stadt Wuppertal – sicherzustellen soll. Damit fällt sofort auf, wenn jemand auf dem Verbindungswege Daten mitlesen oder verändern will.

Nun meint die Stadt Wuppertal, Cloudflare als externen Dienstleister einbinden zu müssen. Warum ist das eine schlechte Idee?

Zum einen gibt sich Cloudflare damit als Stadt Wuppertal aus und leitet den gesamten Datenverkehr zwischen Nutzer und Internetseitenbetreiber über die eigenen Server. Erst dadurch entsteht die Situation eines typischen Man-in-the-Middle-Angriffs, den man mit Verschlüsselung gerade verhindern wollte: Cloudflare kann sämtliche Verläufe aufzeichnen, Daten verändern und im Kontext der aufgerufenen Website Javascript einschleusen. Im konkreten Fall erhielt der Autor anstelle des gewünschten amtlichen Werkes „Stadtbote Nr. 6/2026“ oben abgebildete englischsprachige Meldung mit der Anweisung an den Webbrowser, ungenehmigten Javascript-Code auszuführen.

Zum anderen ist Cloudflare als externer Dienstleister ein zusätzlicher Fehlervektor – zuletzt im November 2025, als ein „Programmierfehler“ bei Cloudflare etwa ein fünftel des gesamten Internets lahmlegte und viele große Websites dadurch stundenlang blockiert wurden. Der Rat des verlinkten Artikels, nun noch mehr externe Schlangenölverkäufer einzubinden, sollte dem gesunden Menschenverstand zu denken geben.

2016/7 lieferten Cloudflare-Server über ein halbes Jahr lang „versehentlich“ „private Nachrichten von Dating-Websites, komplette Nachrichten eines bekannten Chat-Dienstes, den Quellcode von Pornosites und Hotelbuchungen“ an Dritte aus, für die diese Daten gar nicht bestimmt waren. Darunter befanden sich auch „Cookies, Kennwörter, private Schlüssel“. Der private Schlüssel von www.wuppertal.de ermöglicht es Cloudflare ebenso wie Kriminellen erst, sich als „Stadt Wuppertal“ im Netz auszugeben, oder daß der Webbrowser „meckert“.

Die Stadt Wuppertal hat die Transportverschlüsselung, also den sicheren Datentransport, in der Vergangenheit auch ohne externen Dienstleister hinbekommen. Ferner offeriert die Stadt Wuppertal digitale Dienste wie Paß- und Führerscheinangelegenheiten, wo besonders sensible Daten übers Netz fließen. Da stellt sich die Frage, ob man mit diesen verantwortungsvoll umgeht, wenn man diese persönlichen Daten einem US-amerikanischen „Sicherheitsdienstleister“ hinterherwirft. Stichwort: Reslienz, „deutsche Cloud“.

Die Ursache unbeabsichtigtem „Datenreichtums“ sind oftmals nicht die viel zitierten „kriminellsten Machenschaften Krimineller“, sondern unzulängliche Vorkehrungen bzw. schlichtweg auf Dummheit zurückzuführen („ausgelagerte Verantwortungslosigkeit“). Siehe dazu auch auf Wikipedia die Liste von Datendiebstählen. – Zitat: „Rechnungen und Ausweisdaten von Hotelgästen sind frei zugänglich.“ (numa) – „Bewegungsdaten von 800.000 E-Autos aus dem Jahr 2024 (und davor) sowie Kontaktinformationen der Fahrzeughalter stehen ungeschützt im Amazon-Cloudspeicher.“ (VW) – Etc pp.