Es hat sich was getan – und ich kann irgendwie "ein gutes Werk" vermelden (auch wenn nicht jeder das so sehen mag). Von der Christlich Demokratischen Union (CDU) wird ein NextCloud-Server betrieben, der noch vor gut zwei Wochen vor Sicherheitslücken nur so strotzte. Was mit Digital ist halt schwierig, in diesem Neuland. Ich hatte es nach einem Leserhinweis der CDU gemeldet und binnen Stunden war der Server offline. Jetzt ist dieser NextCloud-Server wieder online und wohl auf aktuellem Stand.
Anzeige
Ob wir (Tomas Jakobs und meine Wenigkeit) jetzt den großen Verdienst- oder Mütterorden am Band in Blau bekommen? Jedenfalls haben wir die CDU mal wieder gerettet (auch wenn bei denen irgendwelche Nasen schon mal auf die Idee gekommen sind, eine Sicherheitsforscherin anzuzeigen, weil sie auf eine Schwachstelle in der CDU-App hingewiesen hat, siehe CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein).
Darum geht es
Denn die Digital-Spezialisten von der CDU haben eine NextCloud-Server in diesem Neuland – ich meine Internet – betrieben, der hoffnungslos veraltet war. Ich hatte im Blog-Beitrag Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen auf diesen Sachverhalt hingewiesen.
Es war ein Leserkommentar von Tomas Jakobs, der auf diesen Sachverhalt hingewiesen hatte. Sowohl Tomas Jakobs als auch die CDU sind in dieser Causa Wiederholungstäter. Denn Jakobs hatte die CDU bereits vor Jahren auf eine veraltete NextCloud-Instanz hingewiesen (siehe auch diesen Leserkommentar). Jetzt war also wieder eine total veraltete Software am Start und es gab schon Spekulationen, ob das nicht doch ein Honeypot für Hacker sein könne.
Anzeige
Reaktionen der Parteien
Lange Rede kurzer Sinn, ich hatte der CDU-Presseabteilung diesbezüglich des Sachverhalts eine E-Mail geschickt und auf den Blog-Beitrag hingewiesen – verbunden mit der Möglichkeit einer Stellungnahme. Da es im Beitrag auch um einen offenen Jitsi-Server von BÜNDNIS 90/DIE Grünen ging, bekam deren Presseabteilung ebenfalls eine Mail von mir. Am Ende des Tages ergibt sich folgende Bilanz:
- BÜNDNIS 90/DIE Grünen hat innerhalb der eingeräumten Frist geantwortet und ich hatte ein Telefonat mit deren Pressesprecher. Ergebnis: Die betreiben wissentlich und willentlich die offene Jitsi-Instanz, haben aber andere Quellen für geschlossene Meetings.
- Die CDU hat innerhalb der eingeräumten Frist nicht geantwortet und bis heute "toter Mann" gespielt, aber reagiert. Kurz nach meiner Mail war der NextCloud-Server im Maintenance-Mode und damit funktional abgeschaltet.
Jetzt hat mich Tomas Jakobs per Mail informiert (danke für den Hinweis), dass der CDU NextCloud-Server wieder online sei – dieses Mal mit aktueller NextCloud-Version. Die CDU betreibt unter *ttp://mycloud.cdu.de jetzt einen Nextcloud Server in der Version 29.0.0.19. Der Server erhält nun von scan.nextcloud.com ein A+ und einen aktuellen Patchstand bescheinigt.
Ich fürchte, Tomas und meine Wenigkeit werden weiter auf den großen Verdienstorden warten müssen. Na ja, wenigstens hat es keine "Anzeige" gegeben. Wer Spuren von Satire in obigem Text findet darf diese behalten. Ich selbst habe nichts gegen oder für eine der beiden oben genannten Parteien – aber es ist schon frappierend, wie unterschiedlich diese auf einen Sicherheitshinweis reagieren.
Ähnliche Artikel:
CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein
Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen
Cyberangriff auf das CDU-Netzwerk
Anzeige
Na dann… bis zum nächsten Mal. Schauen wir mal, wie es in einem halben Jahr aussieht.
"Na ja, wenigstens hat es keine "Anzeige" gegeben. "
Was nicht ist, kann noch werden – oder: Man soll den Tag nicht vor dem Abend loben. Verjährt ist die "Tat" noch lange nicht ;)
Ich warte auf die Steilvorlage – Barbara Streisand in Reinkultur
Bin ja gespannt, ob/wie die ehem. Arbeiterpartei auf den Einbruch der ZEIT in ihre Meetinginfrastruktur reagiert. :)
chaos. social/@evawolfangel/112439252540701757
"Mütterorden am Band" wider Willen! :-)
Ich befürchte, in wenigen Jahren lesen wir uns wieder…
Demnächst ePerso in der Cloud, dann ist nichts mehr zu retten…
https://www.heise.de/news/Online-Ausweis-CDU-CSU-will-die-eID-in-die-Cloud-bringen-9718306.html
Ja, mit Fehlerkultur kommt man oberhalb des Kreisverbands bei der Union weiterhin nicht weit. Das ist m.E. auch der Grund, warum viele ehemals aktive Unionsmitglieder mit einem beruflichen Schwerpunkt in IT nur noch unter Schmerzen Mitglied sind und / oder wenn überhaupt fast ausschließlich auf Kommunalebene aktiv scheinen.
… aber, wir sollten uns auf unserem wohlverdienten Band nicht ausruhen.
Was hältst Du von dem nachfolgenden Host?
https://owa2010.cdu.de/
;-)
https://www.ssllabs.com/ssltest/analyze.html?d=owa2010.cdu.de
"TLS_RSA_WITH_RC4_128_SHA (0x5) INSECURE" *ROFL*
Nicht nur das.
Die haben auch noch die unsicheren TLS 1.0 und 1.1 aktiv.
Und TLS 1.3 nützt da auch nichts, denn das wird vom Exchange 2010 gar nicht unterstützt.
TLS 1.3 kann erst der Exchange 2019 nach dem letzten Update.
Weia, Exchange 2010! Und dann auch noch ein Kemp Loadbalancer davor, der vermutlich nicht mehr im Support ist!
TLS 1.0 und 1.1 werden auch noch akzeptiert. Das nenne ich mal konservativ!
Sind die denn des Wahnsinns!
Unter https://zmdcloud.cdu.de/ läuft noch ein NextCloud
Running Nextcloud 28.0.4.1
NOT on latest patch level
Major version still supported
diese scheint mittlerweile auch auf 29 hoch gepatcht worden zu sein, war ja auch nichts Unwesentliches außer Mitgliederdaten drauf gewesen zu sein…
Ich frage mich gerade, ob die vorher genauso vergammelt war? Sind da Daten vielleicht schon die ganze Zeit rausgetragen worden, ach neee… garantiert gibt's da keine Logdaten… dann kann man ja behaupten: Es fand kein Abfluss statt…
Wow, ein Exchange 2010 in freier Wildbahn!
Das Ding ist doch sicherheitstechnisch löchrig wie ein Schweizer Käse.
Das letzte Sicherheitsupdate (wahrscheinlich ist der EX 2010 nicht einmal auf dem Stand) stammt von Oktober 2020 (wurde von Januar 2020 auf Oktober 2020 verlängert).
D.H., der ist mindestens seit 3,5 Jahren ungepatcht!
Ja, die CDU kann Datensicherheit!
Und so eine Partei fordert die Digitalisierung, obwohl die ihren eigenen Laden nicht im Griff haben!
Wundert mich, das die noch nicht gehackt wurden.
Oder evtl. wurden die das ja schon und der Hobby-Admin hat das noch gar nicht bemerkt.
Würde mich nicht wundern.
Wahrscheinlich ist deren gesamte IT auf so einem Uraltstand.
nein nein nein, da hängt ein Reverse- Load- Proxy- Sicherheits-Schlangenöl- Gedöns davor, voll vertrauenswürdig, bestimmt mit dem letzten Schrei an NTF, Blockchain, KI, Cloud Zeugs in der Version… Moment… Papierraschel… 2014
Wo bleibt der Russe, wenn man diesen einmal braucht?
Man kann sich nur wundern, aber solange das Fax noch funktioniert ist wohl alles ok.
:-)
Lel, eine OWA 2010 habe ich ja schon lange nicht mehr gesehen, da bekomm ich ja Nostalgische Gefühle.
Das der noch nicht weg gehackt wurde….
naja die Kriminellen halten den für nen Honeypot ;-P
Also ist dass dann sowas wie verdeckte Sicherheit, oder was? :D
Oha… welcher Turnschuh-Admin ist denn bei der CDU tätig?
Installieren wir mal eben das "latest Release" von Nextcloud. Ok. Löblich. Ich habe die 29 noch in den Queue geschoben, weil nicht wenige "Apps" inkompatibel sind und auf eine Aktualisierung warten. :-D
Aber hey, immerhin… dieses mal wurden sogar Best Practices umgesetzt. Respekt! Also kann da doch jemand lesen. Und das Gelesene auch noch umsetzen!
Ok, IPv6 ist noch immer #Neuland für die CDU. Wen wundert's… wurde ja auch jahrzehntelang vorgebetet.
Und der halbe Globus darf unter dem Namen E-Mails versenden "v=spf1 ip4:193.219.105.0/24 include:spf.protection.outlook.com include:inxserver.com include:spf.mailjet.com include:spf.sendinblue.com mx -all"
Aber wenn man es nicht besser kann, dann macht man dies eben so.
Aus lauter Dankbarkeit gehen wir denn auch mal shoppen:
https://cdushop-preprod.ubgnet.de/Test-Contentseite-2-oxid/
… ich ziehe mich wieder in den Keller zurück. Ob zum lachen oder weinen… ich weiß es noch nicht.
https://www.shodan.io/domain/mycloud.cdu.de
Die schaffen das:
"Geht es nach der CDU/CSU-Bundestagsfraktion, sollen digitale Identitäten bis 2030 'das Rückgrat einer vernetzten und digitalen Gesellschaft bilden, die den einzelnen Bürger in den Mittelpunkt stellt und gleichzeitig Sicherheit und Privatsphäre gewährleistet'."
https://www.heise.de/news/Online-Ausweis-CDU-CSU-will-die-eID-in-die-Cloud-bringen-9718306.html
Ganz sicher! Oder?
"Daten sind die Rohstoffe des 21. Jahrhunderts!"
"Hier müssen wir jetzt aufpassen, daß der Datenschutz nicht die Oberhand über die wirtschaftliche Verarbeitung gewinnt".
Zitat von Angela Merkel, ehemals Bundeskanzler:innininininin der Bundesrepublik Deutschland auf dem Verlegerkongress Publischers' Summit des Branchenverbandes VDZ am 02.11.2015.
Auch wenn Politiker dafür bekannt sind zu lügen, wenn sie den Mund aufmachen… das sollte man so für voll nehmen.
bis zum nächsten Patchday ;-P
Neuland ist Chefsache.
Wie können Menschen (Wähler) so viel Vertrauen in so wenig Kompetenz haben und entsprechend wählen?
Ich antworte gleich mal selbst:
Stimmt: Dem Bürger (Wähler) ist es in überwiegender Zahl vollkommen egal. Hauptsache die Transferleistung fließt zu Monatsbeginn. Egal welche.
Sehe ich differenzierter. a) Wer von den normalen Menschen steckt so im Thema drin, wie die Leserschaft dieses Blogs? b) Wo ist die wählbare Alternative mit Kompetenz? Die Piratenpartei kann wenig bewegen …
Bei den Parteien handelt es sich ja nicht um kritische Infrastruktur. Das kann weg. /Ironie off
Dann lassen wir halt alles beim Alten. Bis eine Alternative kommt.
Organisationen dieser Größe und Exponiertheit sollen sich der Gefahren dieses Neulands durchaus bewusst sein und dementsprechend verantwortungsvoll handeln (lassen). Später einfach die Schuld auf den bösen russischen Hacker zu schieben, halte ich keine vertrauenswürdige Verteidigungsstrategie.
Jaja Leute, lästert mal ordentlich. Wenn eine CxU Partei wieder regiert, und das noch mit ausreichender Mehrheit, müssen wir beim Eintritt ins Neu… Internet den Perso zücken. Wenn es richtig gut läuft, werden unsere Bandbreiten auf 10 MBit beschränkt, damit alle einen I-Anschluss haben können und je langsamer die Daten fluppen, umso besser kann mitgelesen werden.
Jetzt tun Sie mal nicht so, als sei das bei der Verräterpartei (in Tradition seit 1914!) anders, z.B. Genossin Faeser lechzt geradezu nach Deanonymisierung (und Zensur) des Internets.
jüngster Vorstoss:
sueddeutsche. de/politik/vorratsdatenspeicherung-nancy-faeser-spd-ip-adresse-kompromiss-ampel-1.6550964
Lieber Bernd B.
Ja ja, die Dolchstoßlegende ist war und bleibt eine Geschichtsverfälschung.
Übrigens entstand diese erst ab 1918 und nicht 1914.
Aber grundsätzlich gehört dieses Thema auch nicht hierhin.
Geschichte 6, setzen.
Das hat mit der Dolchstosslegende absolut nichts zu tun: Seit 1914 verrät die vorgebliche "Arbeiterpartei" die Interessen der Arbeiterklasse an das Kapital, seinerzeit durch Zustimmung zu den Kriegskrediten, die einen Krieg, in dem hunderttausende Arbeiter für die Interessen des Kapitals verheizt wurden, erst ermöglichten.
Achja, immer wieder dieses „Neuland".. es ist einfach zu schön um wahr zu sein 😅 und ist das Satire oder Sakasmus? 😄😊
Es gibt auch gründe die Nextcloud NICHT zu aktualisieren, beispielsweise, weil das die AD Anbindung schreddert, was sie seit x Versionen nicht gefixt bekommen,:
https://help.nextcloud.com/t/upgrade-25-0-0-to-25-0-1-ldap-error-maybe-the-ldap-entry-has-no-set-display-name-attribute/149327/14
Ehm… wer seine Public Nextcloud an ein internes AD flanscht, möge bitte von der nächsten Ransomware ohne Erbarmen und ohne Gefangene zu machen hinweggefegt werden.
das gibt aber keine Karma Punkte…@therealTJ?