Sicherheitssplitter: Behörden-IT, BMVI, Ransomware, deutsche Cyber-Armee

Ich habe hier mal das Stopp-Logo verwendet, denn von "Sicherheit" kann man nicht sprechen. Heute mal ein Rundumschlag zu den Themen: BMVI Web-Server durch Heartbleed angreifbar, Ransomware beim Verfassungsschutz und Ursula von der Leyen baut ein Cyber-Kommando auf.


Anzeige

Digitale Kriegsführung: Ursula von der Leyens Cyber-Kommando

Diese Woche ging es durch die Presse, siehe den Spiegel Online-Artikel Digitale Kriegsführung: Von der Leyen baut neues Cyber-Kommando auf. Gut, es ist nur ein Konzept – aber Deutschland will auch Cyber-Krieg können wollen. Man sucht einen Manager aus der Wirtschaft und gründet eine Cyber-Abteilung. Nur ein Infosplitter – wir kommen bei "you get, what you pay for" darauf zurück.

Sächsischer Verfassungsschutz per Ransomeware verschlüsselt & gehackt

Ursulas Mannen kommen wohl zu spät – und die armen Sachsen (gut, konkret ist es der Verfassungsschutz von Sachsen-Anhalt) müssen es ausbaden. Laut Golem.de-Meldung Sächsischer Verfassungsschutz wurde verschlüsselt leidet deren Verfassungsschutz unter einer Ransomware-Infektion. Mehrere Arbeitsplatzrechner wurden verschlüsselt und der Verfassungsschutz kommt nicht mehr an seine Daten heran.

Aber es kommt noch süffisanter: Beim Säubern der Systeme wurden Trojaner gefunden, wie die Mitteldeutsche Zeitung im Artikel Geheimdienst gehackt Spitzel-Software bei Verfassungsschutz entdeckt schreibt. Nun ja, ihr lest bei "you get, what you pay for weiter" …

Die Heartbleed-Lücke auf dem BMVI Web-Server

Es hat schon was süffisantes: Der Webserver des für Internet-Angelegenheiten verantwortlich zeichnenden – Bundesministerium für Verkehr und digitale Infrastruktur (BMVI), intern der Dobrindt-Laden genannt – war bis Donnerstag durch die Heartbleed-Lücke angreifbar. Zur Erinnerung: Das Thema habe ich im April 2014 behandelt (siehe z.B. HeartBleed: Sicherheit überprüfen, Kennwörter ändern). Jetzt, im April 2016, fährt das BMVI einen Web-Server, der genau durch diese Lücke angreifbar ist. Hat schon was …


(Quelle: heise.de)

Die Redaktion von heise.de hat das im Artikel Ministerium für digitale Infrastruktur pfuscht beim eigenen Web-Server aufgespießt – und auch die langen Reaktionszeiten thematisiert.

Das alles ist ganz lesenswert – und man könnte jetzt auf diese unfähigen Bürokraten schimpfen. Interessant ist aber ein Blick hinter den Vorhang – warum das schief gehen musste …

You get, what you pay for: itzbund.de

Es stellt sich nun die Frage, wie man die drei Infosplitter unter einen Hut bekommt. Wieso kommt es zu so gravierenden Sicherheitslücken? Versuchen wir einen Dreisprung: Bei Spiegel Online findet sich der Hinweis, dass der Dienstleister Init für den Betrieb der Webserver zuständig sei. Bei heise.de findet sich dieser Kommentar, der auf ein grundsätzliches Problem bei den Vergaben hinweist. Und hier packt einer den Sarkasmus aus und plaudert aus der Praxis.


Anzeige

Es liegt also einiges im Argen, bei diesem System. Und dann bin ich noch auf diesen Post bei Google+ gestoßen. Ich kann zwar nicht erkennen, wie der ITZBund in die Sache involviert ist (habe aber möglicherweise was überlesen). Zitat:

Entweder das Amt macht das alles selber, oder sie greifen zu:
https://www.itzbund.de/DE/Home/home_node.html ,
wo man dann so Jobs findet, die meisten im A6 angesiedelt sind. D.h. also, ungefähr ein Monatsbrutto von 2k – 3k, eher in der ersten Hälfte des Ganzen. Da wundert es ja kaum, wenn der Admin genau das tut, was er tun muss.

Und dann thematisiert er das Thema "Cybersoldaten", die wohl auch in ähnlichen Gehaltskategorien segeln. Und wie seht ihr das so? Eigene Erfahrungen oder Insights?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Sicherheitssplitter: Behörden-IT, BMVI, Ransomware, deutsche Cyber-Armee

  1. Pingback: Anonymous

  2. Tim sagt:

    Cybersoldaten… wie sich das ganze so mit einem Rechtsstaat verträgt, ist genau so fragwürdig, wie ein Bundestrojaner 2.0, der grad in den Startlöchern steht.

    Bekommen die wenigstens eine Kaserne in der Nähe des Silicon Valley, oder ist das nur ein neuer sinnfreier Ort am Internetstandort Nummer 1 , Deutschland, um Verwandte versorgt zu parken, weils bei der Bahn langsam voll wird? Bin schon gespannt in welchen Unternehmen die Mutti2 wohl die entsprechenden Mitarbeiter abwirbt…
    Der, der angeblich bei T-Systems gearbeitet hat, oder arbeitet, bietet sich doch schon mal an. Der hätte auch diese Heartbleed Lücke beim BMVI direkt mit fixen können ;)

    Das alle anderen Spezis diesen Fehler aber auch nicht erkannt haben, sondern erst viel später zwei, wovon einer so ein böser Google Mitarbeiter… lässt eigentlich tief blicken, das kaum noch wer wirklich durchsteigt und die Kontrolle schon lang verloren gegangen ist. Grad für Leute aus dem Neuland…

    Vollkommen egal, was die nun verdienen…

    http://www.spiegel.de/netzwelt/web/heartbleed-programmierer-deutscher-schrieb-den-fehlerhaften-code-a-963774.html

    http://motherboard.vice.com/de/read/deutscher-hat-heartbleed-fehler-an-silvester-vor-zwei-jahren-programmiert

  3. Addi sagt:

    Seit 2011 hat Deutschland übrigends schon sein nationales Cyber-Abwehrzentrum! Teuer aus Steuergeldern finanziert, und sowas von nutzlos. Wohl nur für Postenschacherei. Und der Chef-Administrator holt dann externe Firma zum Netzteilwechsel. Der Steuerzahler wird nur noch vergaggeiert!

  4. MarkMH_K sagt:

    »und der Verfassungsschutz kommt nicht mehr an seine Daten heran« Ist doch extrem umweltfreundlich, erspart das doch das Shreddern der Akten… Eine Erfindung von Grünen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.