Die CDU hat derzeit wenig in Sachen Digitalkompetenz zu reißen und ist bei Cybersecurity schlicht blank. Gerade wurde bekannt, dass die IT-Systeme der Partei mindestens 14 Tage kompromittiert waren, bevor man den Hack bemerkt hat. Und im Hinblick auf Digitalkompetenz: Die Partei betrieb eine Self-Service-Plattform für CDU-Jobinteressierte, die aber die Namen der Aspiranten verriet. Hält die "Digitalstrategen" der Partei aber nicht davon ab, vollmundig und laut von "Abwehr mit allem, was wir haben" zu schwadronieren – wenn Du blank bist, musst Du froh sein, nicht sturmreif gehackt zu werden. Die Ernte der Früchte, die man gesät hat?
Anzeige
CDU-Portal verrät Namen von Job-Interessierten
Zuerst was ganz was neues, aber soweit erwartbar. Auf jobs.cdu.de betrieb die Partei ein Self-Service-Portal, auf der Interessenten sich um Jobs bei der Partei bewerben konnten. Die mit Drupal implementierte Portalseite ist wohl seit mindestens 2016 online, wie Einträge zu Personen nahelegen.
Portal jobs.cdu.de
Nun war das Drupal-System so konfiguriert, dass "mittels Aufruf einer Funktion über die URL die Namen der Nutzer über eine Account-Listenfunktion einsehbar waren" berichtet heise in diesem Beitrag. Insgesamt 4870 Einträge von Bewerbern waren mit Namen und Vornamen einsehbar – auch wenn andere Daten nicht abgerufen werden konnten, ist das ein veritabler DSGVO-Verstoß.
Drupal und die Union Betriebs-GmbH
heise schreibt, dass im Quellcode der Drupal-Seite für jobs.cdu.de Templates des CDU-eigenen Dienstleisters Union Betriebs-GmbH verwendet wurden. Einer Stellenausschreibung zufolge entnahm ich, dass die Union Betriebs-GmbH sich als ein modernes IT-Service-Unternehmen mit den Bereichen Internet, Rechenzentrum und Softwareentwicklung mit Sitz in Rheinbach beschreibt. Im Quellcode der inzwischen abgeschalteten Drupal-Portalseite erfährt der interessierte Nutzer brühwarm die Details:
Anzeige
Die Union Betriebs-GmbH ist der Wirtschaftsbetrieb der Christlich Demokratischen Union Deutschlands (CDU). Sie ist ein modernes Service- und Dienstleistungsunternehmen mit Sitz in Rheinbach und einer Betriebsstätte in Berlin. Unsere Geschäftsfelder sind: IT-Services und Rechenzentrumsleistungen, Datenschutz und IT-Sicherheit, Softwareentwicklung, Internetdienstleistungen sowie alle Druckerei- und Verlagsangelegenheiten. Um unseren Kunden den bestmöglichen Service bieten zu können, besteht unser Team aus IT-Spezialisten, Mediengestaltern, Juristen, Druckern und Marketingspezialisten.
Ins Auge gesprungen sind mir dort die IT-Spezialisten und die Juristen, was durchaus bestimmte Assoziationen hervorrufen kann. Und den Spezialisten ist halt entgangen, dass das CDU-Job-Portal die oben angerissene Konfigurierung für ein Datenleck aufweist – kann passieren, fällt aber in das Bild, was ich schon mal im Beitrag Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen angerissen hätte.
Hat übrigens ein bisschen was von NSA, wenn die Mitarbeiter über ein von Bewerbern zu lösendes Rätsel suchen. Auf der Webseite liest man was über schöne Jobs als Werksstudent oder Finanzbuchhalter bei der CDU. Aber Spezialisten schauen in den Quellcode, finden die obige Beschreibung und werden womöglich eingestellt (die machen in Drupal, da muss ich hin).
Gut, fairerweise muss man zugestehen, dass so ein Fehler immer vorkommen kann. Ist wie bei einem Orchester: Wenn da einer den Ton nicht trifft, klingt das schräg. Muss man halt noch ein bisschen üben, damit es besser wird. Schlecht ist nur, wenn das gesamte Orchester schräg musiziert und der Dirigent nix taugt. Und noch schlechter ist es, wenn niemand den Musiker sagt, wie schräg sie klingen (ist bei der CDU ja inzwischen seit der Casa Lilith Wittmann der Fall, siehe unten).
Portal nach Meldung abgeschaltet
Beim Lesen des heise-Beitrags mit den Details hatte ich dann mein deja-vue-Erlebnis. Die Kollegen von heise haben den Sachverhalt der CDU-Presseabteilung gemeldet. O-Ton von heise: "Der Pressesprecher der CDU reagierte auf eine Anfrage von heise online am Dienstagmittag mit der Bitte um Stellungnahme bis zum Redaktionsschluss nicht. Um 16:30 schaltete die CDU jedoch die Jobplattform insgesamt in den Wartungsmodus."
Kommt mir arg bekannt vor, wie man im Beitrag Cyberspionage: CDUCDU erneut gerettet – deren NextCloud-Server ist wieder online nachlesen kann. Der Link zur Bewerberübersicht kursierte laut heise allerdings bereits mehrere Tage auf einschlägigen Webseiten.
"Chinesische" Staatshacker 2 Wochen im Netz
Kommen wir zum zweiten Thema, die CDU kann einem fast schon leid tun. Zum Wochenende hatte ich im Beitrag Cyberangriff auf das CDU-Netzwerk berichtet, dass Hacker in die IT-Systeme der CDU eingedrungen waren. Nichts genaues weiß man über offizielle Kanäle der CDU aber nicht. Dafür schießen die Spekulationen in der Presse ins Kraut bzw. es werden immer weitere Informationssplitter bekannt, die ein Bild ergeben. Ich hatte in obigem Beitrag die Informationspolitik oder man sollte es besser als Geheimnistuerei bezeichnen, kritisiert. Inzwischen sind die Randpunkt aber wohl bekannt.
Eindringen über IT-Schutzsystem …
Spiegel Online berichtet in diesem Artikel (Paywall), dass die "Eindringlinge über eine Schwachstelle im IT-Schutzsystem" eingedrungen sind. In der URL des Beitrags liest Du dann "Schuld war die Sicherheitssoftware" (vermutlich hat man mit dem Titel des Artikels gespielt). Hat ein bisschen was von "kannst Du nichts machen, wenn die Sicherheitssoftware versagt". Irgendwo in der Presseschau hatte ich auch gelesen, dass der Hack chinesischen Staatshackern zugeschrieben wird.
Schauen wir mal auf die Insides: Im Beitrag BSI-Warnung vor Schwachstelle CVE-2024-24919 in Check Point Security Gateways; Einfallstor für CDU-Hack? hatte ich aber offen gelegt, wie die Angreifer in die IT-Systeme eindringen konnten.
- Eine Kombination aus Phishing zur Ermittlung der Zugangsdaten eines Nutzerkontos in Verbindung mit der Schwachstelle CVE-2024-2491 in Check Point Remote Access VPN ermöglichte den Zugriff auf das Konto und dann (vermutlich) das Abrufen von Informationen aus dem Active Directory.
- Das von Spiegel Online erwähnte IT-Schutzsystem (oder die Sicherheitsoftware) war also die eingesetzte Check Point Remote Access VPN-Lösung. Ok, ist doof, dass es da eine 0-Day-Schwachstelle gab, die laut diesem Greynoise-Artikel seit mindestens dem 7. April 2024 ausgenutzt wurde. Seit Anfang Juni 2024 ist übrigens eine sprunghafte Zunahme der Angriffsversuche zu beobachten.
Also sind wir wieder beim "Cyberangriff von ausgebufften Profis über 0-day, kann man nichts machen". Bekannt sein sollte auch, dass Parteien in Deutschland seit Jahren im Fokus von Spionageaktivitäten und Cyberangriffen stehen. Wenn man nun noch weiß, dass die Schwachstelle in den Check Point-Produkten nur bei Verwendung von Benutzername/Passwort zur Zugangskontrolle ausgenutzt werden kann, stellen sich doch Fragen. Bei Check Point heißt es:
By May 24, 2024 we identified a small number of login attempts using old VPN local-accounts relying on unrecommended password-only authentication method.
Man hat also eine geringe Anzahl an Login-Versuchen auf alte VPN-Local-Accounts gefunden, die auf einer nicht empfohlenen Authentifizierungsmethode per Passwort beruhen. Ich hatte im Beitrag BSI-Warnung vor Schwachstelle CVE-2024-24919 in Check Point Security Gateways; Einfallstor für CDU-Hack? schon die Frage aufgeworfen, warum keine Absicherung über MFA oder ähnliche Maßnahmen erfolgte. Hier fällt die Schuld daher nicht auf "die Sicherheitssoftware", sondern auf die IT-Verantwortlichen, die die VPN-Zugänge eingerichtet haben.
Hacker mindestens 14 Tage im IT-Netzwerk, Abfluss sensibler Daten?
Beim Handelsblatt findet sich dieser Artikel, der die Befürchtung aufgreift, dass sensible Daten beim CDU-Hack abgezogen worden sein könnten. Der Landesdatenschutzbeauftrage von Berlin hat dem Medium auf Anfrage bestätigt, dass eine Meldung der CDU seit Montag vorliege – die 72-Stunden-Frist zur DSGVO-Meldung eines Vorfalls wurde also eingehalten. Von der CDU gibt es "aus Sicherheitsgründen" keinen Kommentar auf die Anfrage des Handelsblatts.
Zudem wurde durch die betreffenden Presseberichte bekannt, dass die Angreifer wohl mindestens seit 14 Tagen unerkannt im IT-Netzwerk der CDU unterwegs waren. Das schreibt der Spiegel unter Berufung auf mehrere Quellen aus Partei- und Sicherheitskreisen. Auch dort heißt es, dass es wohl gelungen sei, "kritische Daten abzuziehen".
Nebelkerzen und martialische Worte
Könnte man mit "ist halt passiert, kann vorkommen, lernen wir daraus und machen es das nächste Mal besser" ab tun. Persönlich habe ich auch nichts gegen die CDU als Partei. Aber deren "erste Garnitur" will ja Deutschland regieren und auch fit für Cybersecurity 2025 machen. Da muss es erlaubt sein, kritisch zu reflektieren, wie die Parteispitze mit dem Vorfall umgeht. In obigem Text und meinen weiteren Blog-Beiträgen hatte ich ja angedeutet, dass die IT-Projekte dieser Partei sich in Punkto Cybersicherheit irgendwie "ranzig" darstellen.
Beim Handelsblatt lese ich, dass die Berliner Datenschutzbeauftragte Meike Kamp Mitte April in einem Schreiben an die Bundestagsparteien appellierte, "die Maßnahmen zur Sicherheit Ihrer Systeme" zu prüfen und "ein besonderes Augenmerk auf die Stärkung effektiver Frühwarnsysteme" zu legen. Laut Kamp sei im Ernstfall eine schnelle Reaktion auf Sicherheitsverletzungen oder Datenschutzvorfälle mit "kurzen Melde- und Reaktionswegen" im eigenen Haus und zu den Behörden entscheidend für die Abwehr und Schadenbegrenzung.
Und nun lese ich im oben zitierten Handelsblatt-Artikel, dass der CDU-Parteivorsitzende Friedrich Merz die Attacke als "als den schwersten Angriff auf eine IT-Struktur, die jemals eine politische Partei in Deutschland erlebt hat" bezeichnet. "Es handle sich um massive und hochprofessionelle Angriffe", zitiert das Handelsblatt Merz und weiter: "Dagegen müssen wir uns mit allem, was uns zur Verfügung steht, zur Wehr setzen."
Heiliger Bimbam, ob der Angriff auf die CDU wirklich schwerer war, als der auf die SPD wissen wir nicht. Wir wissen offiziell ja noch nicht mal genau, was passiert ist. Und welche Daten abgeflossen sind, weiß womöglich nicht mal die CDU. Es sind also die typischen Plattitüden an der Spitze einer Organisation, deren Verantwortliche Nebelkerzen werfen. Ich hatte ja oben im Text versucht, einige Puzzleteile ins Gesamtbild zu bringen. Wenn "das, was uns zur Verfügung steht", um sich gegen Cyberangriffe zur Wehr zu setzen, dem entspricht, was wir aktuell sehen, dann Gnade uns Gott.
Ein erster Schritt wäre, Transparenz und Offenlegung der Informationen, was gesichert gilt und im Sinne der Ermittlungen unkritisch ist, statt sich auf "aus ermittlungstaktischen Gründen kein Kommentar" zurückzuziehen. Gleichzeitig deutet sich an, dass die CDU die "Früchte ihres Handelns und die Digitalkompetenz" auf die Füße fallen.
Ich hatte ja im Blog-Beitrag Cyberangriff auf das CDU-Netzwerk angedeutet, dass der von der CDU initiierte Hackerparagraph sowie die Anzeige gegen Lilith Wittman in 2021 dazu führten, dass diese Partei bei Sicherheitsspezialisten verbrannt sei. Da wird keiner mehr was an Schwachstellen melden. Die TAZ hat es im Artikel "selbst schuld" ebenfalls aufgegriffen. Ja, die CDU sei Opfer und man möge vorsichtig bei der Umkehr der Opfer-Täter-Relation sei. Aber die CDU sei durch ihr Verhalten auch ein Stück weit selbst schuld, dass sie bei Schwachstellen "ins offene Messer läuft" und nun sturmreif gehackt wird.
Schließen wir den Kreis – ich hatte in den diversen Blog-Beiträgen zur CDU versucht, ein wenig offen zu legen, was Sache ist, um ein Gesamtbild zu zeichnen. Um beim Bild des oben benutzten Orchesters zu bleiben: Wenn einer mal den Ton nicht trifft, müssen wir noch ein bisschen üben. Sofern aber das gesamte Orchester nur schräge Töne produziert und der Dirigent nichts taugt, hilft üben nicht. Und keiner käme auf die Idee, dieses Orchester als Lehrbeispiel für eine Musikhochschule einzusetzen.
Gleiches Bild überall
Hier kippe ich mal den heise-Beitrag Schutz kritischer Infrastrukturen: Noch viel Luft nach oben in Deutschland ein, der die traurige Realität beschreibt, in der sich auch die Politik bewegt. Und ein zweiter Informationssplitter (siehe nachfolgender Tweet) passt auch, die Details lassen sich bei heise nachlesen. Auch dies rundet das Gesamtbild ab.
Warum fällt mir nur der Spruch von Horst Seehofer, CSU-Mitglied, Ex-Innenminister, Ex-CSU-Vorsitzender und Ex-Ministerpräsident Bayerns ein, der mal von "dieser Gurkentruppe in Berlin" sprach. Aber jeder möge seine eigenen Schlüsse ziehen – alle obigen Ausführungen sind nicht politisch als Wertung dieser Partei gedacht, sondern sollen das Thema aus unserer Sicht als IT-Verantwortliche, die Fakten brauchen, um zu lernen, wie man es nicht macht, aufbereiten.
Ähnliche Artikel:
Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen
Cyberspionage: CDUCDU erneut gerettet – deren NextCloud-Server ist wieder online
Rückblick: Cybervorfälle der letzten Tage (6. Mai 2024)
Cyberangriff auf das CDU-Netzwerk
BSI-Warnung vor Schwachstelle CVE-2024-24919 in Check Point Security Gateways; Einfallstor für CDU-Hack?
WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr
Anzeige
Ist Horst Seehofer wirklich CDU-Mitglied? Bei mir ist er unter CSU verortet.
Du hast Recht – der letzte Satz ist in a hurry geschrieben worden, weil ich schnell weg wollte, um einzukaufen – wenn wir verhungern, steht der Blog. Und hey, der Hinweis auf den CSU-Vorsitz von Seehofer im Folgesatz machte es dann klar – von der CDU hat es noch keiner geschafft, den Vorsitzen der Schwesterpartei zu stellen. Dabei können manche CDUler (von mir gefühlt) sogar "über Wasser laufen", um ihre Heilsbotschaften zu bringen. Ich habe jetzt die Parteienlandschaft wieder zurecht gerückt und das D gegen ein S beim Hotte ausgetauscht. Danke für den Hinweis.
Ich bin sicher, wenn Du verhungerst, hast Du ganz andere Sorgen als den Blog, mein Lieber. :-)
"schwersten Angriff auf eine IT-Struktur seit der Inbetriebnahme der Zuse Z1" wäre ja wohl passender gewesen, um auszudrücken, dass Merz gegen solch gewichtige Angreifer nichts machen kann, da ja sogar die Sicherheitssoftware versagt. Es ist, wie ich schon immer denke, die Scheunentore werden mit immer mehr Pflaster zugeklebt, hier noch ein Sicherheitssoftwärchen, da noch eins, alles fürs gute Gefühl. Statt mal das Tor zuzumachen. Der Seitenhieb auf den Hackerparagraph und dessen Folgen, großartig, der Hausmeister übertrifft mal wieder sich selbst!
Da hat Siggi Freud bei mir beim Lesen zugeschlagen, denn ich las "hier noch ein Sicherheitsmärchen …". Zum Glück habe ich noch ein zweites Mal hingeschaut, und da fielen mir die Schuppen aus den Haaren.
Da kann einem Angst und Bange werden, wenn solche Typen sich den gläsernen Bürger wünschen (siehe ebenfalls Artikel bei heise.de: . Als Arbeitgeber/Souverän dieser "Inkompetenten" sage ich: Fristlos entlassen. Sonntag gibts die Möglichkeit dazu.
Entlassen geht ja schlecht – aber bei der Wahl der Abgeordneten zum EU-Parlament sollte sich jeder die Wahlprüfsteine der Parteien ansehen. Für die IT-Affinen unter uns, die durch Themen wie im Artikel oder Informationsfreiheit und Sicherheit getriggert werden, mein Hinweis, dass Dr. Patrick Breyer, Die Piraten, nach meinen Beobachtungen über die letzten zwei Jahre, einen guten Job gemacht hat. Breyer tritt nicht mehr an, aber es gibt eine Nachfolgerin, die sich um das Mandat bewirbt – und bei der EU-Wahl gibt es keine 5% Klausel.
Noch nicht… 2029 könnte es eine 2%-Klausel geben, damit die Widerborsten da endlich verschwinden…
https://www.lto.de/recht/hintergruende/h/bverfg-2bve623-die-partei-sonneborn-sperrklausel-europawahl-organstreitverfahren-verfassungsbeschwerde/
Sie können es einfach nicht!
Das ist sicher bei anderen Parteien auch nicht anders oder sehe ich da was falsch :)
DeutSCHLAND 2024
Das ist in vielen Unternehmen nicht viel besser. Nebenan im Heise Forum zu NIS2 heute morgen schon geschrieben: Ein Geschäftsführer hat mir im Vertrauen gesteckt, dass in Sachen IT-Security, Audits & Co nur das relevant sei, was gerade so eben über die Schwelle der Fahrlässigkeit führt und zu keinen schlechten Ratings bei Lieferanten- oder Kundenratings führt. Alles andere interessiert nicht.
Alles so schön bunt hier in der Windows-Teams-Schlangenöl Blase…
>>> Ein Geschäftsführer hat mir im Vertrauen gesteckt, dass in Sachen IT-Security, Audits & Co nur das relevant sei, was gerade so eben über die Schwelle der Fahrlässigkeit führt … <<<
Schade, dass Sie uns den Namen nicht verraten wollen. So blöd wie der Herr daher schwätzt, ist er sicher nicht in der Lage, beurteilen zu können, was genau qualitativ/quantitativ vonnöten ist, um noch unterhalb des von ihm gefürchteten Radars zu fliegen. Oder gibt es diesen Herrn am Ende gar nicht?
Wenn er hier einen Namen gepostet hätte, wäre der von mir gelöscht worden! Auch das ist Digitalkompetenz!
Löschen, genau darauf wollte ich hinaus.
Der behauptete Sachverhalt mit dem Geschäftsführer hat nichts mit Meinungsäusserung zu tun, sondern ist – da nicht belegbar – als reines Gerücht mit Einschlag zur Hetze zu werten und hat eine ungute – wenngleich nicht formaljuristische – Nähe zu § 164 StGB. Ich würde den Beitrag von Herrn Jakobs löschen, er ist dem Blog sicher nicht zuträglich.
Da keine Details und Namen genannt wurden, trifft § 164 StGB "Falsche Verdächtigungen" so nicht zu – es ist eine Beobachtung geschildert worden – und in einem Verfahren könnte der Leser sogar als Zeuge auftreten – imho. Da diese Einstellung imho kein Einzelfall darstellt (wie mir mehrfach gesteckt wurde) gibt es in meinen Augen keinen Grund zum Löschen des Kommentars.
Im Gegenteil, er stellt die Denke und Ignoranz in manchen Unternehmen dar, denen DSGVO, NIS-2 und weitere Regularien schlicht vom Management egal sind. Nur wenn was passiert, kommt das "konnte ja keiner ahnen, war hohe kriminelle Energie und ein ausgebuffter Hacker, der unsere Sicherheitssystem überwunden hat". In diversen Foren lese ich, dass sich Administratoren und IT-Verantwortliche gegenseitig den Tipp geben, eigene Vorschläge, sowie die Anordnungen und Verweigerungen der Geschäftsführung schriftlich zu dokumentieren, um am Ende des Tages nicht den Kopf hinhalten zu müssen.
Ich habe auf diverse Fragen mit ähnlichen Schilderungen auch schon mal die Empfehlung gelesen: "Schaue dich nach einer anderen Stelle um, bei dem derzeitigen Arbeitgeber würde ich unter den Randbedingungen nicht bleiben".
Das Thema "Digitalkompetenz und Cybersecurity" kann man sehr gut unterwegs im WWW auf den Seiten der Bundesregierung und Bundesländer in Deutschland erleben, wenn man seinen Browser entsprechend (immer noch gültigen?) internationaler Sicherheitsempfehlungen eingerichtet hat. (JavaScript und andere aktive Inhalte sind dann blockiert und es werden nur Cookies für die aktuelle Session zugelassen.):
Nichts geht mehr!
Und schreibt man dann eine E-Mail (natürlich im einfachen Textformat) an die Verantwortlichen, wird mit der ersten Antwort die technische Unkenntnis in Sachen "Neuland", das schon lange Internet heißt, offensichtlich …
Nicht nur die CDU hat eine Aufgabe in Sachen "Digitalisierungswahnsinn", wir alle befinden uns jetzt schon über dem Abgrund und haben keinen festen Boden unter den Füßen.
Aber die Empfehlung lautet doch, kräftig voranzuschreiten. Es gab doch den Spruch "Digitalisierung first, Bedenken second" …
Dafür hat die Bundesregierung ein Hochrisikoformat (PDF) mit einem weiteren Hochrisikoformat (XML) für den Rechnungsdatenaustausch kombiniert und unter dem Namen "Wachstumschancengesetz" ab 2025 verbindlich für alle Businessanwender vorgeschrieben.
Und der Name für das deutsche Rechnungsdatenformat? ZUGFeRD!
https://de.wikipedia.org/wiki/ZUGFeRD
Hier öffnen sich echte Chancen für flächendeckende Cyberangriffe mit Trojanern, die auch alle Kundendaten von Handwerkern, Einzelhändler etc. betreffen …
Aber die CDU macht das bestimmt viel besser!?
Na immerhin schicken sie keine Word-Dateien mehr rum.
Bist du sicher?
Ach, hör mir auf mit dem Kram!
Ich bin gerade dabei, den Mist zu implementieren.
Das Zeugs ist nicht zuende gedacht.
Diverse Sachen, die bisher hier üblich waren, werden von dem Format schlicht nicht unterstützt.
Beispielsweise so etwas wie Proformarechnung und Sammelrechnung geht nicht.
Auch muß man ja bei EU-Kunden zwingend die USTID angeben.
Zusätzlich muß man aber auch einen 4-stelligen nummerischen Ländercode mit rein packen. Wozu das gut sein soll, erschließt sich mir nicht, denn der Ländercode steht doch schon in Form des ISO 3166 Codes in der USTID drin!
Und dann gibt es für einige EU-Länder schlicht keinen 4-stelligen Ländercode. Wie soll man an Kunden in diesen Ländern eine XRechnung (ZUGFeRD) versenden? Leer lassen darf man das Codefeld nämlich nicht!
Und dann die Vorgaben bzgl. Preis/Verpackungseinheit.
Bei "Stück" gibts nur Codes für 1, 12 und 1000.
Hat man aber als Preiseinheit 10 oder 20, oder 100, (Weil z.B. die Kartongröße aus logistischen Gründen so ist) und man nur Kartonweise verkauft) darf man das jetzt alles auf 1 Stück ändern und dann im Bemerkungsfeld rein schreiben, das man die Sachen nur in den entsprechenden Kartongrößen verkauft.
etc. etc.
Und dieser Mist inkl. Spezifikationen kommt aus Deutschland!
Ich kann es nicht einschätzen, da es als Systemintegrator auch nicht meine Baustelle ist, aber falls deine Beschreibung zutreffend ist, ist das ja mal wieder eine reife Leistung. Insbesondere wenn man bedenkt, welche Verbände und Firmen, da wahrscheinlich Mitsprache halten konnten:
https://www.ferd-net.de/ueber-uns/ferd-mitglieder/index.html
https://www.awv-net.de/mitgliedschaft/mitgliedsfirmen-und-einrichtungen/index.html
Die betrachten das wohl nur von der SAP-Schiene.
SAP kann nämlich auch nicht mit Sammelrechnungen umgehen.
Bei jedem Kunden, der auf SAP umgestiegen ist, bekamen wir eine Nachricht, das sie wegen des SAP- Umstiegs keine Sammelrechnungen mehr akzeptieren können.
Händler von neuen und gebrauchten Autoteilen laufen da bei ZUGFeRD auch in die Falle, weil das Format z.B. die unterschiedliche Umsatzsteuerbehandlung von Neu- und Gebrauchtteilen nicht unterstützt.
Stellt man die so, das die steuerrechtlich in den Einzelpositionen i.O. ist, stimmt die Umsatzteuersumme nicht.
Stellt man die so, das die Umsatzsteuersumme stimmt, ist die Rechnung steuerrechtlich in den Einzelpositionen falsch.
Danke für den interessanten Einblick! Solche Beiträge bereichern das Forum.
Danke für deinen weiteren Einblick in das Thema!
Zum Punkt
"Wie soll man an Kunden in diesen Ländern eine XRechnung (ZUGFeRD) versenden?":
Soweit ich es verstanden habe ist "ZUGFeRD" ist ein (deutsches) PDF-Format, das die XRechnung als europäisches XML-Format in Form einer Anlage integriert hat.
Weil das PDF-Format auch ein Containerformat ist, können Angreifer damit wunderbar die Cybersicherheit gefährden. Und ich kenne aus meiner beruflichen Tätigkeit keine Stelle, die beim Datenaustausch solcher Formate nicht von unerwünschter Software, Trojanern und anderen Cyberangriffen betroffen gewesen ist.
Wegen der unzähligen Sicherheitslücken in PDF-Softwaremodulen wurde auch dieses Format hier grundsätzlich deaktiviert. Geblieben ist das Textformat, mit dem auch XML-Dateien grundsätzlich gelesen werden können. Im Februar 2024 habe ich das Bundesfinanzministerium (Deutschland) per Text-E-Mail angeschrieben und um Auskunft zum Thema digitale Rechnung gebeten – und warte bis heute auf Antwort. Oder Godot?
ZUGFeRD ist nur ein PDF/A-3, in das eine XRechnung (XML-Format) eingebettet ist.
Nahezu identisch ist das französische Format "Factur-X".
Die Sachen muß man nicht per E-Mail versenden, sondern man kann sie auch über das Peppol-Netzwerk versenden.
Wie es da mit der Sicherheit aussieht, weiß ich allerdings nicht. Tendenziell würde ich vermuten, das es sicherer ist als per Email.
Welchen Datenübertragungsweg mit wecher IT-Sicherheit (Ende-zu-Ende-Verschlüsselung?) hat die Bundesregierung eigentlich im Wachstumschancengesetz ab 1. Januar 2025 für Business to Business für den Rechnungsempfang vorgesehen?
Hier habe ich bis heute nur (!) E-Mail im Format text/plain ohne Anlagen und Verschlüsselung/Digitale Signatur mit OpenPGP. (Verschlüsselung dann nur mit allen, die auch verschlüsseln können.)
>>> Geblieben ist das Textformat, mit dem auch XML-Dateien grundsätzlich gelesen werden können. <<<
Falls mit "geblieben" gemeint sein sollte 'die letzte sichere Option', widerspreche ich: XML ist riskant! Starten Sie hier: gist.github.com/mgeeky/4f726d3b374f0a34267d4f19c9004870
Konkret: XML wird wie HTML nur im Texteditor gelesen. Ohnehin läuft hier (fast) alles nur im Terminal-Modus – inkl. Website-Erstellung!
Ich bin immer bereit deutsche Entscheider zu bashen, aber hier sind sie nur bedingt schuld: Zugferd ist maßgeblich von den Franzosen inspiriert.
Wir haben X-Rechnung (als Debitor) bereits seit einer Weile implementiert. Wir sind Zugferd gegenüber ganz aufgeschlossen, weil's in der Tat mit dem PDF-Teil eben die Lösung ist, mit der unsere Kunden weiterhin B2b und B2C parallel bedienen können.
Viel mehr Kopfschmerzen bereitet uns der Transport via Peppol, weil da im Moment bei den Dienstleistern Mondpreise aufgerufen werden, weil keiner so genau weiß, wieviel sich erpressen lässt.
Und das eigentliche Problem – ich weiß auch nicht, warum das keiner merkt – ist: Es wird die Pflicht für Unternehmen kommen, mindestens eines der konkurrierenden Formate verarbeiten zu können. Für den Kreditor ergibt sich damit implizit die Pflicht, alle Formate unterstützen zu müssen – oder alternativ nur noch Kunden akzeptieren zu können, die eben das speziell unterstützte Format unterstützen.
Die Exportformate zu generieren ist eigentlich noch nicht das Problem, sondern dann die Transportwege danach zu unterstützen – sofern nicht noch einfach e-Mail zugelassen ist. Was eigentlich aus Sicherheitserwägungen heraus Wahnsinn ist, wenn die digitalen Rechnungsformate automatisch verarbeitet werden sollen.
Stimmt.
Und es geht noch weiter.
Ich habe schon Entwürfe für eine XBestellung gesehen.
Die sieht ähnlich aus wie die XRechnung.
Da ist zu befürchten, das auch das irgendwann mal gesetzliche Pflicht wird.
Man könnte auch doppelgleisig verfahren:
XRechnung/ZUGFeRD (damit sind die gesetzlichen Auflagen erfüllt) und zusätzlich Papierrechnung und dann ins Bemerkungsfeld, das bei Differenzen zwischen XRechnung und Papier das Papier bindend ist.
Denn das zusätzliche Versenden einr Papierrechnung ist ja nicht verboten, auch zukünftig nicht.
Lt. Veröffentlichung auf der Website der DIHK nach Angaben des BMF ist wohl der strukturierte Teil der digitalen Rechnung maßgeblich für die Richtigkeit der Rechnungsdaten:
https://www.dihk.de/de/themen-und-positionen/erste-klarstellung-zur-e-rechnungspflicht-104322
"Befürchtung (…)t, dass sensible Daten beim CDU-Hack abgezogen worden sein könnten"
Haben denn demokratische Parteien überhaupt sensible Informationen oder sollten die nicht komplett transparent sein?
Jetzt ernten sie die Früchte dessen, was sie gesät haben. Der Hackerparagraf hat erfolgreich verhindert, daß es in D genügend Security Spezialisten gibt. Ich meine nicht die vielen, welche Security Theater spielen, das BSI eingeschlossen.
Naja, Mitgliederstammdaten (Adresse, Geburtsdatum, evtl. auch Bankdaten) werden sicherlich total überbewertet.
Eingaben an Schiedsgerichte und / oder Datenschutzbeauftragte können auch nicht so wild sein, oder Kommunikation als ganzes.
Verträge mit Dienstleistern sind für "Social Engineering" sicherlich auch unerheblich.
Ach Details….
Sarkasmus beiseite. Man bin ich froh, dass ich dann doch zu weit links von dem Verein stehe, dass ich niemals Interesse habe Mitglied zu werden.
>>> Der Hackerparagraf hat erfolgreich verhindert, daß es in D genügend Security Spezialisten gibt. <<<
Das glaube ich nicht. In Deutschland darf jeder mit Software rummachen. Um an einen Industriewebstuhl gelassen zu werden, braucht es hingegen eine zweijährige Ausbildung zum Textilmaschinenführer.
Dass es zu wenig Security-Spezialisten gibt, hängt m. E. mit dem Umstand zusammen, dass der Ausbildungsstand in Sachen Informationstechnik generell ungenügend ist, es aber niemanden stört. Wem schon die Grundlagen Assembler und Compilerbau fehlen, kann später nicht Security machen.
Haubentaucher wohin wir schauen. Datengrundschutzverordnungen das es raucht aber es ist eben nur Papier von Ahnungslosen hingezimmert. Hauptsache viele Menschen werden mit diesem Mist beschäftigt. Ergebnisse?
Selbst die EU, die ja die DSGVO durchgedrückt hat, verstößt immer wieder selbst gegen die DSGVO.
Die sind nicht einml in der Lage, sich an Verordnungen zu halten, die sie selbst beschlossen haben!
Mal schauen wer dann gegen die CDU wegen Verstoß der DSGVO klagt, denn die Aufbewahrungsfrist bzw. Löschfrist von Bewerber ist klar geregelt :)
Waren Behörden und Parteien nicht explizit von möglichen Strafen der DSGVO ausgenommen worden? Oder schmeiß ich da was durcheinander?
Ja, ist so.
Vorm Gesetzt sind alle gleich… Wieso regt man sich dann öffentlich so darüber auf was passiert ist, wenn es eh keine Strafverfolgungsmaßnahmen geben kann?
Wenn sich der Souverän alles gefallen lässt, dann sollte man sich nicht wundern, wenn der Angestellte Party feiert und nicht richtig arbeiten will.
Steuerhinterziehung ist eine schwere Straftat, Steuerverschwendung ist ein Achselzucken.
Lieber Souverän: Einfach mal aufwachen! Mit schlechten Angestellten fährt das Unternehmen vor die Wand.
Seit ihr euch da sicher?
https://dsgvo-gesetz.de/art-83-dsgvo/
Nach Artikel 83 Abs. 7 DSGVO heißt es:
"Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können"
Da lese ich nichts von Parteien bzw. Vereinigungen
https://www.gesetze-im-internet.de/bdsg_2018/BJNR209710017.html#BJNR209710017BJNG001500000
Entsprechend finde ich im BDSG §43 Bußgeldvorschriften Absatz 3 auch nur "Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt."
Schaut man dann in § 2 Begriffsbestimmungen Absatz 1 nach finde ich da nur Folgendes:
"Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform."
Da lese ich nichts von Parteien oder politischen Vereinigungen, wie sie im Parteiengesetz in § 1 und § 2 definiert sind.
https://www.gesetze-im-internet.de/partg/BJNR007730967.html#BJNR007730967BJNG000103307
Falls ihr da Links aus den Rechtssprechungen kennt, die "Parteien" gewissen Narrenfreiheit bescheinigen, würden die mich interessieren.
Wobei Bußgelder gegen Behörden sinnlos sind, denn die Bußgelder fließen ja wieder zu den Behörden zurück.
Beispielsweise Behörde X muß Bußgeld zahlen, das geht an die Finanzbehörde und die schickt das Geld wieder zurück an die Behörde X als "Ausgleichszahlung" oder wie immer man das bezeichnen will.
Die größten Schläfer ever müssen sich nicht an die DSGVO halten, dann bitte ich darum das wir diese AB-Maßnahmen ersatzlos abschaffen. Alle oder niemand.
Ja, Behörden sind ausgenommen; bei Parteien habe ich meine Zweifel, wenn ich (1), (2) ansehe.
(1) http://www.gesetze-im-internet.de/bdsg_2018/__2.html
(2) http://www.gesetze-im-internet.de/bdsg_2018/__43.html
Viel "Fefe Slang" in dem Beitrag. +1
Dazu hier: https://blog.fefe.de/?ts=98a18e0b (+1)
"…keine Absicherung über MFA oder ähnliche Maßnahmen.. Schuld … IT-Verantwortlichen.."
Ich kann mir sehr gut vorstellen wie das abgelaufen ist. "Ich brauch immer das Handy und diese TokenApp? Ist mir zu kompliziert, ich bin doch kein EDV Mensch und habe wichtigeres zu tun, ich brauche eine einfache Lösung wo das Passwort gleich hinterlegt ist"
So ist es. Das sind CEOs aber keinen bisschen besser . Aber dann auf dicke Hose machen wenn es kracht.
Wobei der CEO, dann doch die 2FA macht, weil ihm spätestens die Juristen klarmachen, wie teuer das wird, wenn es schiefgeht und er auch persönlich haftbar gemacht werden kann, wenn er auf eine Sonderlocke für sich besteht.
Ich habe mich echt bis jetzt beherrscht, aber ich muss es jetzt loswerden:
sät, ohne h. Dementsprechend auch gesät und nicht gesäht.
/Klugscheissmodus
Exakt
Ich hab seinerzeit meine Lehrer schon zur Verzweiflung getrieben – Günter ohne h, "nämlich" ohne h (was wurden wir mit dem Lineal versohlt, aber ich hatte zum Glück eine Lederhose an – war eine schlagende Pädagogik, damals). Hat nicht geholfen, muss immer lange überlegen, wie "nähmlich" geschrieben wird. O-Ton: "Günter, aus dir wird nie was". Wenn die heute erfahren würden, dass ich Schriftsteller geworden bin, die täten sich im Grab umdrehen – und ich habe Generationen von Korrektorinnen in die Verzweiflung getrieben, als die die 300 Manuskripte Korrektur lesen mussten.
Ich habe aber dieses einzige h, was ich da gefunden habe, rausgenommen – kann es vielleicht mal später brauchen ;-).
Zu Recht. das damals die Gelddruck Maschine Autobahn Maut beschlossen wurde,ging das nur mit wirklichen, echten Datenschutz. Es gab keine Ausnahme. Mautdaten waren Daten nur für Maut.
Dennoch postulierte Schäuble,als Innenminister, das dieser Mautdaten Schutz ein großer Fehler gewesen sein.(Merke: Ohne diesen Schutz hätte es kein Mauteinnahmen gegeben, weil das eine 100% Erfassung gewesen wäre.). Und plädierte dafür, ihn aufzuheben. (Irgend ein Irrer Ballette zu derzeit auf der Autobahn rum. Das wollte dieses Möchtegern Schlauch benutzen um die Mautdaten für Fahndunen freu zugeben. Wie wir wissen wurde der Täter kurze Zeit gefasst. Dazu mußte die Kripo aus ihren Sesseln aufstehen und raus um ein paar Kfz Schilder manuell zu scannen. Der Spiegel hat einen Bericht ohne Paywall in seinem Archiv.
ich habe dieses Schäuble nicht gewählt…
Man sieht aber,es ist immer die gleiche Mischpoke.
Die Parteien können es nicht.
Wenn ich da schon lese "alte VPN-Local-Accounts", dann frage ich mich, warum die noch existieren.
Best Practice ist es, ungenutzte Accounts zeitnah zu löschen, überall!
Naja Digitalkompetenz und Cybersecurity … da sind die Politiker nicht alleine! Sieht man hier am Blog sehr schön: da muss immer wieder sogar vor Phishing gewarnt werden, was eigentlich jeder Blinde mit dem Krückstock auch so erkennen müsste!
Es gibt da draussen im freien Web wirklich gemeine Schweinereien die selbst Security Profis Schweissflecken unter den Achseln bescherren, aber nein der Gros braucht Warnung vor simplen Phishing!
Digitalkompetenz ist bei über 90% der PC User nix anderes als Perlen vor die Säue. Also Nein die Poltiker stehen da nicht alleine da!
Muuuuhaaaa…. sie ist wieder da, die CDU Cloud!
https://mycloud.cdu.de/
Diesmal "nur" zwei Patches hinterher, also Nextcloud 29.0.2.2 anstatt 29.0.4…