{"id":295856,"date":"2024-06-05T09:38:57","date_gmt":"2024-06-05T07:38:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295856"},"modified":"2024-06-05T16:45:35","modified_gmt":"2024-06-05T14:45:35","slug":"digitalkompetenz-und-cybersecurity-neues-vom-cdu-hack-nchstes-cdu-datenleck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/05\/digitalkompetenz-und-cybersecurity-neues-vom-cdu-hack-nchstes-cdu-datenleck\/","title":{"rendered":"Digitalkompetenz und Cybersecurity: Neues vom CDU-Hack & nächstes CDU-Datenleck"},"content":{"rendered":"

\"SicherheitDie CDU hat derzeit wenig in Sachen Digitalkompetenz zu rei\u00dfen und ist bei Cybersecurity schlicht blank. Gerade wurde bekannt, dass die IT-Systeme der Partei mindestens 14 Tage kompromittiert waren, bevor man den Hack bemerkt hat. Und im Hinblick auf Digitalkompetenz: Die Partei betrieb eine Self-Service-Plattform f\u00fcr CDU-Jobinteressierte, die aber die Namen der Aspiranten verriet. H\u00e4lt die \"Digitalstrategen\" der Partei aber nicht davon ab, vollmundig und laut von \"Abwehr mit allem, was wir haben\" zu schwadronieren – wenn Du blank bist, musst Du froh sein, nicht sturmreif gehackt zu werden. Die Ernte der Fr\u00fcchte, die man ges\u00e4t hat?<\/p>\n

<\/p>\n

CDU-Portal verr\u00e4t Namen von Job-Interessierten<\/h2>\n

\"\"Zuerst was ganz was neues, aber soweit erwartbar. Auf jobs.cdu.de<\/em> betrieb die Partei ein Self-Service-Portal, auf der Interessenten sich um Jobs bei der Partei bewerben konnten. Die mit Drupal implementierte Portalseite ist wohl seit mindestens 2016 online, wie Eintr\u00e4ge zu Personen nahelegen.<\/p>\n

\"jobs.cdu.de
\nPortal jobs.cdu.de<\/em><\/p>\n

Nun war das Drupal-System so konfiguriert, dass \"mittels Aufruf einer Funktion \u00fcber die URL die Namen der Nutzer \u00fcber eine Account-Listenfunktion einsehbar waren\" berichtet heise in diesem Beitrag<\/a>. Insgesamt 4870 Eintr\u00e4ge von Bewerbern waren mit Namen und Vornamen einsehbar – auch wenn andere Daten nicht abgerufen werden konnten, ist das ein veritabler DSGVO-Versto\u00df.<\/p>\n

Drupal und die Union Betriebs-GmbH<\/h3>\n

heise schreibt, dass im Quellcode der Drupal-Seite f\u00fcr jobs.cdu.de<\/em> Templates des CDU-eigenen Dienstleisters Union Betriebs-GmbH verwendet wurden. Einer Stellenausschreibung<\/a> zufolge entnahm ich, dass die Union Betriebs-GmbH sich als ein modernes IT-Service-Unternehmen mit den Bereichen Internet, Rechenzentrum und Softwareentwicklung mit Sitz in Rheinbach beschreibt. Im Quellcode der inzwischen abgeschalteten Drupal-Portalseite<\/a> erf\u00e4hrt der interessierte Nutzer br\u00fchwarm die Details:<\/p>\n

Die Union Betriebs-GmbH ist der Wirtschaftsbetrieb der Christlich Demokratischen Union Deutschlands (CDU). Sie ist ein modernes Service- und Dienstleistungsunternehmen mit Sitz in Rheinbach und einer Betriebsst\u00e4tte in Berlin. Unsere Gesch\u00e4ftsfelder sind: IT-Services und Rechenzentrumsleistungen, Datenschutz und IT-Sicherheit, Softwareentwicklung, Internetdienstleistungen sowie alle Druckerei- und Verlagsangelegenheiten. Um unseren Kunden den bestm\u00f6glichen Service bieten zu k\u00f6nnen, besteht unser Team aus IT-Spezialisten, Mediengestaltern, Juristen, Druckern und Marketingspezialisten.<\/p><\/blockquote>\n

Ins Auge gesprungen sind mir dort die IT-Spezialisten und die Juristen, was durchaus bestimmte Assoziationen hervorrufen kann. Und den Spezialisten ist halt entgangen, dass das CDU-Job-Portal die oben angerissene Konfigurierung f\u00fcr ein Datenleck aufweist – kann passieren, f\u00e4llt aber in das Bild, was ich schon mal im Beitrag Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Gr\u00fcnen<\/a> angerissen h\u00e4tte.<\/p>\n

Hat \u00fcbrigens ein bisschen was von NSA, wenn die Mitarbeiter \u00fcber ein von Bewerbern zu l\u00f6sendes R\u00e4tsel suchen. Auf der Webseite liest man was \u00fcber sch\u00f6ne Jobs als Werksstudent oder Finanzbuchhalter bei der CDU. Aber Spezialisten schauen in den Quellcode, finden die obige Beschreibung und werden wom\u00f6glich eingestellt (die machen in Drupal, da muss ich hin).<\/p><\/blockquote>\n

Gut, fairerweise muss man zugestehen, dass so ein Fehler immer vorkommen kann. Ist wie bei einem Orchester: Wenn da einer den Ton nicht trifft, klingt das schr\u00e4g. Muss man halt noch ein bisschen \u00fcben, damit es besser wird. Schlecht ist nur, wenn das gesamte Orchester schr\u00e4g musiziert und der Dirigent nix taugt. Und noch schlechter ist es, wenn niemand den Musiker sagt, wie schr\u00e4g sie klingen (ist bei der CDU ja inzwischen seit der Casa Lilith Wittmann der Fall, siehe unten).<\/p>\n

Portal nach Meldung abgeschaltet<\/h3>\n

Beim Lesen des heise-Beitrags<\/a> mit den Details hatte ich dann mein deja-vue-Erlebnis. Die Kollegen von heise haben den Sachverhalt der CDU-Presseabteilung gemeldet. O-Ton von heise: \"Der Pressesprecher der CDU reagierte auf eine Anfrage von heise online am Dienstagmittag mit der Bitte um Stellungnahme bis zum Redaktionsschluss nicht. Um 16:30 schaltete die CDU jedoch die Jobplattform insgesamt in den Wartungsmodus.\"<\/p>\n

Kommt mir arg bekannt vor, wie man im Beitrag\u00a0 Cyberspionage: CDUCDU erneut gerettet \u2013 deren NextCloud-Server ist wieder online<\/a> nachlesen kann. Der Link zur Bewerber\u00fcbersicht kursierte laut heise allerdings bereits mehrere Tage auf einschl\u00e4gigen Webseiten.<\/p>\n

\"Chinesische\" Staatshacker 2 Wochen im Netz<\/h2>\n

Kommen wir zum zweiten Thema, die CDU kann einem fast schon leid tun. Zum Wochenende hatte ich im Beitrag Cyberangriff auf das CDU-Netzwerk<\/a> berichtet, dass Hacker in die IT-Systeme der CDU eingedrungen waren. Nichts genaues wei\u00df man \u00fcber offizielle Kan\u00e4le der CDU aber nicht. Daf\u00fcr schie\u00dfen die Spekulationen in der Presse ins Kraut bzw. es werden immer weitere Informationssplitter bekannt, die ein Bild ergeben. Ich hatte in obigem Beitrag die Informationspolitik oder man sollte es besser als Geheimnistuerei bezeichnen, kritisiert. Inzwischen sind die Randpunkt aber wohl bekannt.<\/p>\n

Eindringen \u00fcber IT-Schutzsystem …<\/h3>\n

Spiegel Online berichtet in diesem Artikel<\/a> (Paywall), dass die \"Eindringlinge \u00fcber eine Schwachstelle im IT-Schutzsystem\" eingedrungen sind. In der URL des Beitrags liest Du dann \"Schuld war die Sicherheitssoftware\" (vermutlich hat man mit dem Titel\u00a0 des Artikels gespielt). Hat ein bisschen was von \"kannst Du nichts machen, wenn die Sicherheitssoftware versagt\". Irgendwo in der Presseschau hatte ich auch gelesen, dass der Hack chinesischen Staatshackern zugeschrieben wird.<\/p>\n

Schauen wir mal auf die Insides: Im Beitrag BSI-Warnung vor Schwachstelle CVE-2024-24919 in Check Point Security Gateways; Einfallstor f\u00fcr CDU-Hack?<\/a> hatte ich aber offen gelegt, wie die Angreifer in die IT-Systeme eindringen konnten.<\/p>\n