Noch ein kleiner Nachtrag von Samstag, den 1. Juni 2024. Die CDU hat es wohl Cyber-mäßig erwischt – die sind Opfer eines Cyberangriffs geworden. Die Fachleute der Partei, wie z.B. deren Generalsekretär, stufen diesen Angriff sogar als "schwerwiegend" ein. Staatsschutz und das BSI sind auch schon involviert und im "Konrad-Adenauer-Haus" wurden die Server vorsorglich heruntergefahren.
Anzeige
Ich hatte das mit der CDU und diesem Cyberangriff schon mitbekommen – aber auch aus der Leserschaft habe ich mehrere Hinweise bekommen (danke dafür, aber offen gestanden, hatte ich Samstag weder Lust noch Zeit – Gartenarbeit ging "dem Sack Reis, der in China umgefallen ist" vor).
Oh Gott, was ist denn passiert?
Nun, wenn man dem Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) und seinen beiden Tweets auf X Glauben schenken darf, gab es einen Angriff aus dem Internet auf das Netzwerk der CDU (ich gehe mal davon aus, dass das Computer-Netzwerk gemeint war und nicht irgend ein anderes Netzwerk). Die wackeren Strategen des BSI haben sich sogar durchgerungen, die Attributierung "schwerwiegenden Cyberangriff" zu verwenden. So ganz spontan habe ich mich gefragt, was ich nun unter einem "leichten Cyberangriff" so vorstellen muss? Jemand klopft mal an und hinterlässt ein Grinsemännchen auf der Webseite?
Was wir auch noch erfahren: "Unsere Sicherheitsbehörden @BSI_Bund und das Bundesamt für Verfassungsschutz sind intensiv damit befasst, den Angriff abzuwehren, aufzuklären und weiteren Schaden abzuwenden." Ok, ok, gut ist, dass das BSI involviert ist und auch unsere Verfassungsschützer. Hilarious sagt der Amerikaner zu folgender Aussage des BSI:
Anzeige
Das BfV wird zum aktuellen Angriff noch eine Warnung an alle Parteien des Deutschen Bundestages herausgeben. Unsere Sicherheitsbehörden haben alle Schutzmaßnahmen gegen digitale und hybride Bedrohungen hochgefahren und klären zu Gefahren auf.
Das "hochgefahren" klingt martialisch und erinnert mich spontan ein wenig an Raumschiff Enterprise, wenn die Schutzschilder hochgefahren wurden. Mit solchen Angriffen wurde übrigens im Vorfeld der Europawahl gerechnet – und die SPD hat es sogar schon vor einem Jahr erwischt (siehe meinen Blog-Beitrag Rückblick: Cybervorfälle der letzten Tage (6. Mai 2024)). Man hätte also gewarnt sein können. Aber wie wusste schon Gorbi "Wer zu spät kommt, den bestraft das Leben".
Die Bundeswehr-Generäle, die sich mit WhatsApp zum offenen WebEx-Chat verabreden, wurden auch von dem ominösen Cyberangreifer heimgesucht. Der hat einfach mitgehört und empörenderweise sogar einen Mitschnitt angefertigt (siehe Sicherheitsmeldungen 1. März-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr). Wurde dann über die russische Regierung lanciert.
Letzteres, also das lancieren über Dritte, macht man mittlerweile in Deutschland so, denn wir haben einen strengen Hackerparagraphen, § 202c, mit dem nicht zu spaßen ist.
Ach so, ich hatte vergessen, zu erwähnen, dass die Einladungen der Bundeswehr lange öffentlich waren (siehe WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr). Hat man aber jetzt aber wohl geändert.
Beim "weiteren Schaden abzuwenden" musste ich schmunzeln, weil mir gar unchristliche Gedanken durch den Kopf gingen. Köstlich fand ich auch die Antworten von X-Nutzern auf die BSI-Meldung, die was von Passwort 123 murmelten und fragten, ob eine spezielle Seite besucht worden sei.
Nebelkerzen und Nullaussagen
Der von einem Leser verlinkten Meldung von rbb24.de entnahm ich, dass die CDU als Vorsichtsmaßnahme Teile ihrer IT-Infrastruktur vom Netz genommen und isoliert habe – finde ich klug.
Das Lustige sind die Stilblüten der journalistischen Kollegen vom RBB (und da diese Textaussagen fast wörtlich durch alle Medien gestern, tippe ich auf eine Pressemitteilung, verteilt über dpa), die sich in Regierungskreisen informierten und erfahren haben, dass Bundesinnenministerin Nancy Faeser bereits mit CDU-Chef Friedrich Merz darüber gesprochen habe. Halte ich für selbstverständlich, dass die Ministerin des BMI den Vorsitzenden einer Partei anruft, die einem Cyberangriff zum Opfer gefallen ist. Ob man das den Medien kommunizieren muss? Wenn der Sack Reis, der umgefallen ist, wichtig erscheint, ja. Ich würde eher als Antwort Nein bevorzugen und das Ganze als politische Nebelkerze für die Presse verorten.
Und Generalsekretär Carsten Linnemann wird vom RBB zitiert, dass dieser den Angriff als eklatant eingestuft habe. Mir fiel natürlich die "kriminelle Energie" ein, die Herr Linnemann bei der dilettantisch umgesetzten CDU-Umfrage zum Verbrenner-Aus konstatierte (siehe diesen Golem-Beitrag). Halte ich ebenfalls für eine Nebelkerze, da nicht mal klar gesagt wird, was genau passiert ist.
Als Binsen empfand ich die folgenden Information "Das Bundesinnenministerium wolle für alle Parteien des Deutschen Bundestages eine Warnung herausgeben". Die Sicherheitsbehörden hätten "alle Schutzmaßnahmen gegen digitale und hybride Bedrohungen hochgefahren und klären zu Gefahren auf", hieß es von einem Sprecher des Ministeriums. "Wir sehen erneut, wie notwendig dies gerade vor Wahlen ist", wird ein BMI-Sprecher zitiert.
Sind die im Innenministerium wirklich solche Blindfische, dass die so was herausgeben? Die Warnung vor Cyberangriffen im Vorfeld der Europawahlen wurden doch vor Wochen ausgiebig in der Presse thematisiert. Und seit 2022 ist klar, dass Deutschland auf Grund des Ukraine-Konflikts ein Ziel von Cyberangriffen ist.
Und wo wir gerade beim Thema "und klären zu Gefahren auf" sind: Ich habe in allen Presseberichten keine einzige Aufklärung finden können. Kann ja sein, dass man nur die Spitzen der Parteien aufklärt, und die Bevölkerung dumm hält. Oder es kommt noch was. So richtig schlau wird man aus dem Geschwurbel nicht.
Wer den Schaden hat …
Wer in obigem Text Ironie zu erkennt glaubt, darf diese behalten. Natürlich ist es doof, wenn es einen Cyberangriff auf die CDU gegeben hat – passiert im Übrigen täglich bei Firmen und Organisationen. Warum dann so ein Aufriss in der Presse gemacht wird, bleibt irgendwie schleierhaft.
Dass der Staatsschutz bei einem Cyberangriff auf eine politische Partei aktiv wird, halte ich für eine Selbstverständlichkeit – alles andere wäre fahrlässig. Für mich ist da kein großer Nachrichtenwert im Sinne "was ist passiert" erkennbar.
Was passiert sein könnte …
Außer Binsen wurde von BSI und BMI nichts konkretes verlauten lassen. Haben die Angreifer eine Ransomware installiert, oder wurden Office-E-Mail-Postfächer gehackt, oder gab es einen Angreifer, der durch das CDU-Netzwerk spaziert ist? Scheint Staatsgeheimnis zu sein, oder wird aus ermittlungstaktischen Gründen nicht verraten.
Wenn ich mit Wahrscheinlichkeiten arbeite, lässt sich folgendes konstatieren: Ein Ransomware-Angriff wäre vermutlich ein Kollateralschaden, aber kein gezielter Angriff. Ich gehe von einem Angriff auf E-Mail-Konten der CDU aus, was schon eher Rückschlüsse auf einen Angreifer zulässt.
Beim Cyberangriff auf E-Mail-Konten der SPD vor einem Jahr war es mutmaßlich eine Schwachstelle in Outlook, die für eine Kompromittierung ausgenutzt wurde. Wenn sich das bei der CDU bestätigt, hatte das möglicherweise eine "Vorgeschichte", die ich nachfolgend skizziere.
CDU: Bei Sicherheitsforschern "verbrannt"
So abseits der medialen Aufmerksamkeit: Die CDU ist in Kreisen von Cyber-Security-Spezialisten schlicht verbrannt, seit die Partei eine Anzeige gegen Lilith Widmann gestellt hat, als diese eine Schwachstelle in der CDU-App fand, an die Partei meldete und den Fall dann offen legte (siehe CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein). Schwachstellen wird aus diesen Kreisen keiner mehr an die CDU melden. Der CCC hat dies 2021 in diesem Beitrag kundgetan und viele Sicherheitsspezialisten folgen diesem Schritt.
Dazu trägt neben dem Wittmann-Fall auch der sogenannte Hackerparagraph § 202c bei, seinerzeit auf CDU-Geheiß zusammen mit der SPD eingeführt wurde. So ein paar Hintergründe finden sich in diesem Urteil des Bundesverfassungsgerichts über eine abgewiesene Verfassungsbeschwerde gegen § 202c.
Die Wirtschaftswoche bringt es im Artikel Connect-App: Dank der CDU haben Hacker leichtes Spiel herrlich auf den Punkt. Ins Schwarze getroffen haben auch die folgenden Sätze aus dem Beitrag:
Der Schaden aber bleibt. Für die CDU ist es vor allem ein Imageproblem, das die ohnehin nicht als überaus technologiekompetent beleumundete Partei weiter ins digitale Abseits manövriert.
Die ranzige CDU-IT
Bei mir blieb bei der Medienberichterstellung schnell der Eindruck hängen, dass da viele Nebelkerzen geworfen und Buzzwords aneinander gereiht wurden. Aber wo Rauch ist ist auch Feuer.
Bei obigem Cyberangriff ging mir natürlich sofort mein Artikel Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen durch den Hinterkopf. Und damit kommen wir zu etwas, was ich als "ranzige IT-Infrastruktur" bezeichne.
Der verlinkte Artikel befasst sich damit, dass die CDU noch vor kurzem einen total veralteten NextCloud-Server betrieb. Dort fanden sich erhebliche Sicherheitslücken, weil der Server ewig nicht mehr aktualisiert worden war. Nachdem Leser mich darauf hingewiesen hatte, schickte ich der CDU-Presseabteilung einen Hinweis mit Link auf den obigen Beitrag. Wenige Stunden später war die NextCloud-Instanz vom Netz und ist nun in aktualisierter Form zurück (siehe CDU erneut gerettet – deren NextCloud-Server ist wieder online und gepatcht). Eine Rückmeldung der CDU-Pressestelle habe ich bis heute nicht.
Ergänzung: Es gab zum oben verlinkten Beitrag noch einen Hinweis von Tomas Jakobs, dass die CDU einen OWA-Zugang für den Exchange 2010 betreibt. Hatte ich (wegen der fehlenden Rückmeldung der CDU-Pressestelle) nicht mehr thematisiert, lernen durch Schmerzen. Zudem ergab ein Tage später durchgeführter Qualys SSlabs Scan keine wirklichen Auffälligkeiten (zumindest auf den ersten Blick).
Fand das Thema dann nicht mehr so spannend, vor allem gab es wichtigeres. Und die OWA-Instanz ist inzwischen nicht mehr per Internet erreichbar. Fakt aus dieser Entdeckung ist:
- Von der CDU wurde 2024 mutmaßlich ein Microsoft Exchange 2010-Server betrieben, der laut Hersteller seit 13. Oktober 2020 sein End of Life erreicht hat und weder Sicherheitsupdates noch Support mehr erhält.
- Holger wies in diesem Kommentar noch darauf hin, dass ein Kemp Loadbalancer vorgeschaltet sei, der wohl längst aus dem Support gefallen ist. Ich hatte im Mai 2024 im Beitrag Progress Kemp LoadMaster (Load-Balancer) Schwachstelle CVE-2024-1212 über eine Schwachstelle berichtet.
Natürlich lässt sich als Außenstehender nicht beurteilen, ob die jetzt beim Cyberangriff betroffene Infrastruktur ähnlich "ranzig" war. Aber man kann schon das Gefühl bekommen, dass die CDU unfreiwillig Honeypots für Cyberangreifer betreibt.
Lachen musste ich auch über die von einem Blog-Leser verlinkte CDU Shop Test-Content-Seite, die (mutmaßlich seit 2017) den Blindtext "Lorem ipsum" enthält, aber "Filz-Anhänger" bewirbt – unfreiwillig komisch (auch wenn es sich um Schlüsselanhänger handelt). Nun mag jeder selbst seine Assoziationen in Punkt "Sicherheit des CDU-Netzwerks" treffen.
Geärgert habe ich mich über die Nullinformationen, die an die Presse gingen und als großer Bohei durch die Medien wiedergekäut wurden. Hier hätte ich erwartet, dass zumindest die Information "das und das ist angegriffen worden, es handelt sich um ein … System" veröffentlicht wird, damit IT-Administratoren ggf. im Hinblick auf eigenes Systeme Schlüsse ziehen und handeln können.
Eine Empfehlung des BSI an die Allgemeinheit, was bzgl. der im konkreten Fall sichtbar gewordenen Bedrohung zu beachten ist, gibt es leider nicht. Aber so geht Cybersecurity anno 2024 in Deutschland – nicht.
Ähnliche Artikel:
WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr
Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen
Cyberspionage: CDUCDU erneut gerettet – deren NextCloud-Server ist wieder online
Rückblick: Cybervorfälle der letzten Tage (6. Mai 2024)
Anzeige
Wenn es um Cybersicherheit im eigenem Land geht, ist Deutschland imo ganz weit hinten angesiedelt.
Ich hab da immer Patrick von Spongebob Schwammkopf mit angenageltem Bett am Kopf in Gedanken. Alles was ich vom BSI höre und sehe ist an Lächerlichkeit fast nicht mehr zu überbieten.
Wenn man aber die tolle Cyberwelt dazu nutzen kann, den Otto-Normal-Bürger zu durchleuchten, kontrollieren, abzumahnen und zu manipulieren zieht man alle Register…
Für mich passt beides nicht zusammen. Einerseits diese Naivität und andererseits diese Professionalität.
Vielleicht liegt es daran, dass jemand anderes die Strippen zieht und diese Politiker nur Marionetten sind? Ist natürlich Schwurbelei …
Ich frage mich, was im CDU-Netzwerk für jemand von Interesse sein könnte?
Bestimmt hat da nur ein 8 Jähriger auf seinem ersten PC rumgeklickt und dabei ausversehen ein paar CDU-Server runtergefahren.
Das kann halt schonmal passieren, wenn auf allen Führungspositionen nur
inkompetente Dilletanten in ihrer eigenen Traumwelt sitzen und versuchen ihre Ahnungslosigkeit mit Dummschwätzerei zu kompensieren und ihr eigenes Hirn lieber durch externe Berater ersetzen.
Da ist es schon verständlich, dass die Überraschung gross ist, wenn so jemand plötzlich mit der Realität konfrontiert ist.
Aber zum Glück wissen ja wohl die Lobbyisten und Berater, das zur Abwehr von Cyberangriffen einfach nur für alle Ämter neue Computer mit der neuesten Microsoft Software angeschaft werden müssen – dafür fällt dann einfach die nächste Rentenerhöhung aus… Ist ja alles ganz EASY ;)
> Ich frage mich, was im CDU-Netzwerk für jemand von Interesse sein könnte?
Es stehen Wahlen an, und man braucht jeden Krümmel um irgendwelche Mafia Verbindungen gegen Länder oder Oppositionen aufzubauen.
Zusätzlich benötigt man Beispiele, um die geplanten Cyber Spionagen und Filter der Regierung zu rechtfertigen und durchzuboxen.
|
Man sollte auch nicht ausschliessen, dass es die CDU selber war, um hinterher noch schärfere Gesetze verlangen zu können.
Ja, könnte man glauben, aber die haben doch keinen Plan, wie man sowas macht
Externe Berater, so es denn Fachleute sind, sind eigentlich ganz in Ordnung, natürlich kann man auch intern Fachleutekompetenz ansiedeln. Aber gerade auch beim Thema Cybersicherheit wird der Fachmensch Einschränkungen empfehlen oder durchzusetzen haben, womit machtgewohnte Parteiobere nicht umgehen können.
"Die Fachleute der Partei…"
Da gibt's welche?
Bestimmt paar Informatikstudenten aus der Jungen Union aber sonst….?
Von Deppen regiert, von Idioten verwaltet – was soll ich nur wählen?
>>> was soll ich nur wählen? <<<
Mit Ausnahme von Baden-Würtemberg (Art. 26 LV, Abs. 3) (1) besteht in Deutschland keine Wahlpflicht.
(1) https://www.landesrecht-bw.de/bsbw/document/jlr-VerfBWV27Art26
In Niedersachsen und anderen Bundesländern gibt es auch noch die Todesstrafe!
Nur ist es in Deutschland so, das Bundesrecht Landesrecht bricht, d.h. auch in Niedersachsen gibt es de Facto keine Todesstrafe, weil die nach Bundesrecht abgeschafft ist.
Und auch in BW gibt es de Facto keine Wahlpflicht, weil es die lt. Bundesrecht nicht gibt.
Da Bundesrecht Landesrecht bricht, passen viele Bundesländer ihre Landesverfassung auch nicht an.
Landesrecht gilt nur dann, wenn dem nicht Bundesrecht entgegensteht.
>>> In Niedersachsen und anderen Bundesländern gibt es auch noch die Todesstrafe! … Und auch in BW gibt es de Facto keine Wahlpflicht, weil es die lt. Bundesrecht nicht gibt. <<<
Völliger Nonsens! Abgekürzt: Da das GG (1) bestimmt, "Die Todesstrafe ist abgeschafft.", können allfällig fortbestehende, gegenteilige Regelungen der Länder keine Rechtswirkung mehr entfalten.
Hessen war das letzte Bundesland in dem die Todesstrafe abgeschafft wurde (2018), s. Bericht (2) im Vorfeld. Keine Ahnung wie Sie darauf kommen, dass es in Niedersachsen zwar nicht de facto aber noch in Reliktform eine Todesstrafe geben würde.
Da weder im GG noch im Bundesrecht eine Wahlpflicht geregelt ist (weder positiv noch negativ) greifen allfällige Bestimmungen des Landesrechts. Ausnahme sind die Wahlen zum Deutschen Bundestag, da deren Regelung nach Art. 38 GG ("Das Nähere bestimmt ein Bundesgesetz.") zu den Fällen ausschließlicher Gesetzgebungskompetenz des Bundes gehört.
(1) gesetze-im-internet.de/gg/art_102.html
(2) focus.de/politik/deutschland/landespolitik-einigt-sich-auf-verfassungsaenderung-nach-71-jahren-hessen-schafft-endlich-die-todesstrafe-ab_id_7899167.html
"Die Partei". Die wurde genau dafür gegründet.
" Natürlich ist es doof, wenn es einen Cyberangriff auf die CDU gegeben hat – passiert im Übrigen täglich bei Firmen und Organisationen. Warum dann so ein Aufriss in der Presse gemacht wird, bleibt irgendwie schleierhaft."
Ist das nicht offensichtlich? "eklatant, schwerwiegend" …
Es könnten Listen an die Öffentlichkeit geraten, wer so alles "großzügig" an diesen korrupten Lobbyismus-Verein gespendet hat … Womöglich würde gar das bis heute gehütete Spender-Geheimnis von Helmut Kohl und Wolfgang Schäuble gelüftet… Das wäre dann mal ein positiver Nebeneffekt dieser bösen Cyber-Hacker-Angriffe …
Der 2010er Exchange ( )scheint auch nicht mehr erreichbar zu sein. Einstiegstor gefunden? ;D
war es wirklich ein Exchange 2010? Mein Test konnte keine Schwachstellen aufdecken, liegt aber wohl an mir. Nur der Name der URL ist vermutlich fehlleitend.
Ja, ich war mal auf der Seite, als der Hinweis darauf hier in den Blogkommentaren auftauchte.
Es meldete sich da tatsächlich die Anmeldeseite eines Exchange 2010!
Und schon damals hatte ich ja schon prophezeit, das es nur noch eine Frage der Zeit ist, bis jemand das CDU-Netzwerk hackt.
Und nun ist es geschehen.
Und dieser Sprech "alle Schutzmaßnahmen gegen digitale und hybride Bedrohungen hochgefahren" ist doch ein Witz!
Diese Schutzmaßnahmen haben 24/365 hochgefahren zu sein und nicht erst nach einem Cybervorfall.
Das ist so, als wenn ein Polizist seine Schutzweste erst anlegt, nachdem er angeschossen wurde.
Aufgrund der Ereignisse nach "Modern Solution" wird sich hier in Deutschland niemand mehr "die Finger verbrennen" und irgendwelche Schwachstellen melden…
@Hobbyperte Derartige Informationen hat bestimmt nicht mal die CDU digitalisiert.
Das Material liegt sicher bei der Konrad-Adenauer-Stiftung im Archiv und bei die geheimen Notizgen von Kohl bei seiner Witwe im Keller.
Da der "Angriff" auf die CDU ja mit äußert hoch professioneller krimineller Energie erfolgt ist, kann es nur ein staatlicher Akteur gewesen sein und der fängt bekanntlich mit R an.
Weil es ein Angriff auf die Demokratie ist, muss natürlich der Verfassungsschutz her und das BSI schickt seine Spezialisten. Das sind die gleichen Spezialisten die partou Cisco, Ivanti und Co. nicht verbieten wollen, sondern lieber nahezu täglich über deren Sicherheitslücken berichten.
Das mit der CDU ist nur eine Ente. Bessere PR kann es gar derzeit nicht geben, weil es eben keiner beweisen kann/wird. Würde mich nicht wundern, wenn noch die ein oder andere Partei auf den Zug aufspringt.
Schon Morgen wird der Ruf nach mehr Zugriff auf Daten durch Polizei, Verfassungsschutz usw. folgen. Die Vorratsdatenspeicherung muss her, da Sie unsere (der Parteien) Demokratie schützt.
Es ist einfach nur noch befremdlich was politisch und menschlich auf der Welt und insbesondere in Deutschland abgeht.
Mit der KI Firewall wäre das nicht passiert.
Künstliche Intellenz ist sowieso nützlich, falls es mit der natürlichen nicht soweit her ist…
Dass das CDU-Netzwerk gehackt wurde, ist tatsächlich ein umgefallener Sack Reis.
Eine vergleichbare Nachricht wäre "Brandenburgische Biber leiden nach Vollendung ihres Damms unter überfluteten Nestern".
Der einzige Teil der Nachricht, der mich überrascht hat ist, dass die CDU immer noch mit elektronischer Datenverarbeitung rummacht.
Das war kurz amüsant. Aber auch nur ungefähr so wie "Brandenburgische Biber bei Flugversuchen gesichtet". Irgendwie doch zu glaubwürdig für echten Spaß, auch wenn es erstmal total absurd erscheint.
Zum dem Spott über offizielle Warnungen muss ich aber schon sagen: Mit der richtigen Stoßrichtung können die durchaus hilfreich sein.
Sehe ich gerade bezüglich der Hochwasserlage: Die Warnung ab Wochenanfang „Zum Wochenende wird es andauernde ergiebige Regenfälle in den und den Gebieten geben" war für unwettererprobte Leute Gold wert. Dadurch hatten sie Zeit, ihre Keller auszuräumen, Pumpen und Schläuche bereitzulegen usw. Nur die ahnungslose Generation, die sich nicht an das letzte Hochwasser erinnern kann, konnte damit nichts anfangen. Die wurde kalt erwischt, stürmten gestern die Baumärkte oder lamentierte auf Fakebook.
Aber auch für die anderen wurde das xte Update der Wetterwarnung auf allen Kanälen spätestens am Freitag zum unergiebigen Blabla. Die wollten konkret wissen: Wann geht's bei mir los, heute abend oder erst morgen früh? Was könnte ich vorsorglich noch tun? Wo kriege ich nun Sandsäcke her? etc.
Es kommt also drauf an, ob die Cybersicherheits-Warnungen bloß ein „Seid schön vorsichtig" mit amtlichem Wappen sind. Oder ob sie klare Handlungsanweisungen geben: „Checkt mal das und das auf Schwachstellen, organisiert eure Systeme nach diesem Schema, macht auf keinen Fall…" und mitteilen, wo man bei Bedarf weitere Hilfe bekommt.
Den Unterschied macht, ob man erfahrene alte Hasen darauf ansetzt oder jungdynamische Kommunikations-Designer*innen, die aus allem eine Äpp basteln.
Für die CDU wäre die Warnung – die sie ganz klar von verschiedenen Stellen erhalten haben vor 14 Tage: "Aktualisiert Eure Systeme und haltet sie aktuell!"
Aber vielleicht waren die Angreifer da schon drin.
Wird ja auch oft missverstanden. Ein Hack wird nicht ad hoc durchgeführt und man kann ihn nicht ad hoc abwehren wie einen Raketenangriff.
Ein Hack erfordert ein längeres ausspionieren und ausprobieren.
Siehe auch: https://ptrace.fefe.de/Hackback/
Woher soll das BSI wissen, wann genau Daten abgezogen werden oder die Verschlüsselung der Systeme startet?
Mehr als allgemeine Aussagen sind dort im Gegensatz zu Unwettern nicht zu erwarten.
"Zum dem Spott über offizielle Warnungen muss ich aber schon sagen: Mit der richtigen Stoßrichtung können die durchaus hilfreich sein."
Absolut. Aber eben nur mit der _richtigen_ Stoßrichtung.
Zu Deinem Beispiel der Hochwasserlage in Süddeutschland muss man halt auch sagen, dass es vor vielen Jahren so dedizierte Warnungen zur Hochwassersicherheit gab, dass selbst die CSU mit dem Wahlkampfthema Hochwasserschutz hausieren ging und einen "Jahrhundertschutz" für erforderlich hielt. Dann kamen die Wahlen und danach wurde fleißig am Hochwasserschutz gestrichen.
In Deine Richtung waren Warnungen also prima. In Richtung der Politik sind sie dann doch verhallt.
Und ebenso verhält es sich mit den Warnungen zur IT-Sicherheit an "die Parteien": die erzeugen zwar immer viel Aufregung und *gackgackgack* (wie die von Dir beschrieben Personen in letzter Minute im Baumarkt), sie wollen eine Jahrhundertsicherheit schaffen und reißen dann tatsächlich doch nur die nächste Schutzmauer ein.
Wenn man das schon etwas länger beobachtet, dann kann man da im besten Fall nur noch drüber schmunzeln.
Mir persönlich vergeht das Schmunzeln allerdings schnell, wenn ich über die Rolle der Parteien bei der Herbeiführung dieser allerorten existierenden Unsicherheit in IT-Belangen reflektiere.
Die Parteien, die dafür gesorgt haben, dass..
– ich 50% meiner Arbeitszeit zum Stopfen von Sicherheitslücken damit verbringe, die nötigen Nachweise anzuhäufen, damit ich nicht unter die Hackerparagraphen falle und bei manchen Arbeiten mit 5 satten Jahren Haft bedroht bin
– die Arbeiten deshalb oft erst nach Tagen oder Wochen durchführen darf, wo eigentlich Stunden gefragt wären
– und meine Arbeit nach Ausfällen oder Beeinträchtigungen zuerst peinlichst genau daraufhin geprüft wird, ob irgendwas ohne Nachweis gemacht wurde, statt einfach erst mal das Problem zu suchen, zu finden und abzustellen
..also, dass genau die Parteien jetzt rumjammern und in alle nur denkbaren Richtungen für einen Schuldigen zeigen, verlässt den Bereich, den man in dieser Produktivumgebung des Universums erwartet hätte.
Die CDU trägt gleichzeitig "Sicherheit" als ihr oberstes Schlagwort durch den Wahlkampf. Also etwas, von dem sie bewiesen haben, dass sie damit auf Kriegsfuß stehen. Weil das aber nicht das Problem sein darf und aus Sicht der CDU das die weltbeste Sicherheit sein muss, die man als Partei verfolgen kann, bin ich schon fast etwas verwundert, dass nicht mindestens eine außerirdische Superintelligenz für alle Vorfälle bei der CDU herhalten muss.
Statt einer Warnung _an die Parteien_, wäre eine Warnung _vor der IT-bezogenen Politik der Parteien_ sicher angebrachter. Allerdings ist beim BSI nach dem letzten, von Frau Faeser (SPD) geführten, Enthauptungsschlag ja jetzt "die beste" (FDP), "endlich gute" (Grüne) Chefin (politische Beamte) am Start, die sicher keinen Vertrauensverlust bei diesen Parteien erleiden will.
Allzu konkret wird das von einer politischen Beamten geführte BSI da wohl eher nicht werden, das könnte ja als unangemessene Kritik an den Parteien als verfassungsgemäße Bilder des politischen Willens gedeutet werden. Das muss jetzt alles politisch korrekt sein und nur sekundär – wenn überhaupt – sachlich und fachlich. Wenn es anders wäre, hätte das ja einfach eine Beamtenstelle bleiben können, so ohne "politische" davor.
Da werden jetzt also im besten Fall ein paar LKW voll mit Checklisten in die Parteizentralen geschickt, wo auf dem Zettel für das Übergabeklemmbrett schon die Option "nicht annehmen, auf Steuerzahlerkosten vernichten" fett gedruckt ist. Damit nicht noch der Vorwurf kommt, einen Papier-DoS auf die Parteien gefahren zu haben. Oder was man sich jetzt noch so für Gedanken machen muss, wenn man einer Behörde vorsteht, bei der man auch dann jeden Tag rausfliegen kann, wenn es dafür keine greifbaren Gründe gibt. Vertrauensverlust halt, kann man nichts machen.
Anmerkung: ich könnte hier ein, zwei Parteien ausnehmen, aber die spielen politisch keine Geige.
Nur weil es passt: Wir haben diesen Monat Wahl zu Europa-Parlament – und dort gilt die 5% Hürde nicht. Jeder wird da sicher seine Wahlentscheidung nach eigenen Kriterien treffen.
Was mir die letzten zwei Jahre positiv aufgefallen ist. Dr. Patrick Breyer hat die letzte Legislaturperiode als Abgeordneter für "Die Piraten" im EU-Parlament gesessen und die schlimmsten Auswüchse in Sachen Beschränkung der informellen Selbstbestimmung mit verhindert. Hier seine Webseite. Breyer wird nicht mehr kandidieren, aber es gibt Anja Hirschel als Nachfolgerin.
Kuck Empfehlung
Nico Semsrott: Brüssel sehen und sterben – Die Show
https://youtu.be/l1muuLA_Egc
"Oder ob sie klare Handlungsanweisungen geben"
Die findest du bereits beim BSI.
Das BSI gibt "klare Handlungsanweisungen"? Irgendwelche Listen für jahre alte Versionen?
Was gibt es da zu holen?Zukunftspläne ;) ?
Ich frag mich, ob schon jemand von der CDU eine Email zurück an den angreifenden Server geschickt hat, um ihn abzuschalten? ;)
Ersetze "eine Email" mit "ein FAX" und Du hast recht…
Eines der Kernthemen der CDU war und ist ja immer die "innere Sicherheit" gewesen.
siehe: https://www.cdu.de/thema/innere-sicherheit
Dass zur inneren Sicherheit auch die Sicherheit gegenüber Cyberangriffen gehört halte ich für selbstverständlich.
Wenn aber die CDU im Jahr 2024 selbst in diesem wichtigen Bereich scheitert dann fragt man sich, wo denn bitte schön noch Kernkompetenzen bleiben.
Oder einfach ausgedrückt: Hacker kann man eben nicht mit der Dienstpistole oder dem Schlagstock bekämpfen. Willkommen im 21. Jahrhundert!
Vom "Neuland" überrascht!
Wären 'se mal lieber bei Fax und Brief geblieben.
Ich wusste noch nicht mal, das die CDU ein eigenes Netzwerk hat. So schlau sollen die sein? Der Name "Maerz" :) ist doch Programm genug^^
Auf die OWA-Subdomain war ich auch gestoßen, nachdem ich ich mir nach dem Nextcloud Vorfall, alle öffentlich ersichtlichen Subdomains aller Parteien angeschaut habe. Optisch war das in jedem Fall Exchange 2010. Weiter verfolgt habe ich es nicht. In jedem Fall sind da noch so einige komische Subdomains bzw. Webseiten aktiv, die schon länger verwaist zu sein scheinen.
Vielleicht sollte die CDU vor allen ihren Systemen ein Schild aufstellen: "Denkmalgeschützte IT-Struktur". Hier findet sich ein passendes Bild, wer's gerne auch mal sehen möchte:
"CDU: Bei Sicherheitsforschern "verbrannt"-
Daher findet die CDU niemanden, der sich die Raritäten Sammlung anschaut und muss das auf Steuerzahlerkosten vom BSI und BfV untersuchen lassen…?
Wer hat schon Bock sich eine Anzeige nach 207f einzufangen?
Es kann da nur einen Verlierer geben.
Jedem der nicht weiss was er wählen soll sei der Wählomat ans Herz gelegt. Wichtig ist unbedingt wählen gehen,sonst gewinnen die Falschen.
Wähle so wie Du hinterher gewünscht haben wirst gewählt zu haben.
Sehr amüsanter Artikel, Danke!
Die "Experten" dieser Partei werden das Problem sicher nach der nächsten Bundestagswahl mit Steuergeldern lösen, wenn(?) sie dann wieder an die Regierung kommen und wir vielleicht einen Kanzler haben der zum Lachen oder zumindest schmunzeln in den Keller geht (Bei der Partei ist er ja schon weit gekommen).
Von Sicherheit schwafeln können sie ja schon, das machen kommt dann (vielleicht) irgendwann.
Es wird Spannend. Popcorn ist schon eingekauft, die Sessel zurechtgerückt, das Große Kino kann starten.