Ich kippe es mal ganz kurz herein, weil Blog-Leser Ismail darauf hingewiesen hat. Die Kurzfassung: Eine Ministerin war unvorsichtig und hat ein Foto auf Twitter gepostet. Ein Nutzer erspähte auf dem Foto einen Teil-Zugangscode für eine Online-Konferenz, und gab einem Medium einen Tipp. Ein Journalist wählte sich dann in das geheime Online-Treffen der EU-Verteidigungsminister ein.
Anzeige
Mir war der Vorgang die Woche bereits auf Twitter unter die Augen gekommen. Ich hatte es nicht weiter beachtet, Fehler passieren und daraus kann man schlicht lernen.
Was ist passiert?
Die niederländische Verteidigungsministerin Ank Bijleveld war unvorsichtig in ihrer 'Quarantäne'. Um zu zeigen, dass sie zuhause nicht faul herum liegt, und dass geputzt und aufgeräumt ist, postete sie ein Foto auf Twitter, das zeigt, wie sie aus der heimischen Küche für das Ministerium arbeitet. Bei solchen Fotos sollte man halt immer darauf achten, dass keine brisanten Informationen, z.B. aus Dokumenten, zu sehen sind.
Ank Bijleveld am Küchentisch
Nun ja, unser Küchentisch sieht etwas anders aus – ist wohl eher ein Tisch im Esszimmer. Man erkennt, dass die Dame auch zuhause nicht im Schlafanzug herum läuft (gut, für ein Twitter-Selfie würde ich auch aus dem Schlafanzug schlüpfen). Man sieht, dass die Dame auch nicht zur Apple Fraktion gehört, eine Lesebrille braucht, irgend ein Schlüsselchen mit Essbarem in Nähe des Notebooks herum stehen hat und auch Wasser trinkt. Ich habe ja einen Teil meines Berufslebens in der Chemie verbracht: Da war Essen am Arbeitsplatz (wegen Vergiftungsgefahr) verboten. Auch sieht es so mancher Arbeitgeber nicht gerne, wenn Essen und Trinken am Arbeitsplatz herum stehen. So manche durch Flüssigkeiten oder Essensreste ruinierte Notebook-Tastatur kann ein Lied von singen, warum das keine gute Idee ist.
Sind aber alles Nebenkriegsschauplätze. Auf dem Tisch liegen auch einige Dokumente, und auf denen waren wohl die ersten fünf von sechs Ziffern des Zugangs für das Online-Treffen der EU-Verteidigungsminister zu erkennen. Das ist natürlich doof …
Journalist probiert die letzte Ziffer
Ein aufmerksamer Nutzer, der das alles gesehen hatte, kombinierte, dass die letzte Ziffer des Zugangscodes irgendwie schnell zu ermitteln sei. Also hat er das als Tipp an eine Nachrichtenredaktion weitergegeben. Der Journalist Daniël Verlaan hat sich am 20. November 2020 zur gegebenen Zeit an seinen Rechner gesetzt die ersten Ziffern des Zugangscodes für das Meeting eingegeben und dann ein paar Mal die letzte Ziffer probiert – und war plötzlich im geheimen Treffen der EU-Verteidigungsminister drin. Nachfolgendes Bild verlinkt auf den Tweet, in dem der Journalist den Zugriff auf die Online-Konferenz aus den Redaktionsräumen als Video aufgenommen hat.
(Meet your defense minister online, Quelle Twitter)
Immerhin fragte EU-Außenbeauftragte Josep Borrell den neuen Teilnehmer, wer er sei. Als Verlaan sich als niederländischer Journalist zu erkennen gab, teilte Borrell diesem mit, ob er wisse, dass dies ein geheimes Treffen der EU-Verteidigungsminister sei. Verlaan entschuldigte sich für die Störung und verließ die Sitzung. Der Fall schlägt aber in den Medien 'als peinliche Posse' Wellen. Golem hat es hier aufgegriffen.
Anzeige
Postskriptum mit Einordnung
Ich sage es mal so: Kann ja mal passieren, in diesem Neuland – plötzlich Homeoffice ist für keinen leicht – außer vielleicht für mich. Hause ich doch seit 27 Jahren im Homeoffice. Und die Bude ist so unaufgeräumt, dass ich da keinesfalls ein Selfie posten würde – sonst stiege beste Frau von Welt auf die Barrikaden 'Du kannst in deinem Stall treiben, was Du magst, solange das keiner da draußen sieht – was sollen nur die Leute von mir denken, wenn sie die Messiebude mit Staub, 1000 Büchern und ausgeschlachteten Rechnern sehen'. Was soll ich sagen: Das Mädel hat Recht, ich miste gelegentlich aus und verkneife mir Selfies aus dem Büro. Nicht auszudenken, wenn ich uns Annegret da Cyberschutz-mäßig mit einem Selfie gefährden würde. Ich glaube, ich muss meiner Frau mal mitteilen, dass ich täglich einen wichtigen Beitrag zur Verteidigungsfähigkeit unserer deutschen Armee und zum Schutz unserer Verteidigungsministerin leiste.
PS: So schlimm finde ich mein Büro nicht, renne wöchentlich mit dem Staubsauger durch. Und wo gehobelt wird, fliegen ausgeschlachtete Rechner herum. Stehen Bücher herum, zieht das Staub geradezu magisch an. Also alles im grünen Bereich. Und früher *) habe ich aus Prinzip keine Reinigungskraft in mein Büro gelassen, lagen doch die hochvertraulichen Geschichten aus Microsofts Entwicklungsabteilungen herum.
*) früher bedeutet übersetzt: 'Vor sehr langer Zeit, als es noch Spaß machte, das neueste Zeug aus Redmond zu testen und drüber zu schreiben' – war aber im vorigen Jahrtausend oder so.
PPS: Und so ist aus dem Cyberunfall unserer Verteidigungsminister noch eine höchst persönliche Geschichte zum Sonntag geworden. Donnerwetter, hätte ich mir als junger Student auch nicht träumen lassen, dass ich mal kurz vor Ruhestand die Geschicke in Sachen Cybersicherheit in Deutschland maßgeblich beeinflusse – schönen Sonntag euch das draußen – schaltet den Rechner aus und geht raus. Sonne ist hier zu weg – aber wer draußen spazieren geht, kommt Cyber-mäßig vielleicht nicht auf dumme Gedanken.
2015
Das gefällt mir ;)
Dumm gelaufen.
Irgendwie habe ich ein schlechtes Gefühl, wenn uns Politiker diktieren wollen, wie wir das Netz nach ihren Vorstellungen nutzen sollten.
Gibt es bei der EU eventuell einen Administrator, welcher einmal eine Weiterbildung für die EU-Angestellten in Bezug Nutzung der EU eigenen Tools + Datenschutz anbietet. Ich glaube, hier herrscht großer Nachhilfebedarf.
So naiv kann ja nun wirklich keiner sein, dass man da sich nicht einloggen kann. Das Ganze egal ob mit "offiziellem" getürktem Account oder ohne.
Noch mal für Alle:
Im Internet hört jeder mit:
# der die technischen Möglichkeiten hat,
# der es will,
# der sich daraus ein Vorteil für sein Ego oder seinem Auftragageber verspricht.
(dass das Ganze sowieso überwacht ist, spare ich mir. Die Vergesslichkeitsquote Einiger liegt bei 100%, das ist aber bewußt so angelegt.)
Es dauerte nur etwas, dass das mal nun herausgekommen ist. Irgendwie bekommt der Journalist einen Preis umgehängt und kann sich damit irgend ein Produkt aus seiner Heimat gönnen.
Ich habe mich aus dieser Welt schon abgemeldet. Der Journalist bestätigt das nur.
Ich stelle fest: Wenn kritische Infrastrukturen 6stellige Zugangscodes benutzen, dann ist das im Falle eines Datenschutzvorfalls eine grobe EU-Dsgvo-Fahrlässigkeit inklusive Mitschuld. Wenn sich Eu-verteidigungsminister mit einem 6telligen Code einloggen, dann ist das egal?
Bloed, dieses Neuland. :-)
Was bei den ganzen News über das Thema leider untergeht: Die PIN stand in der URL… Das wäre, zumindest meiner Erfahrung nach, selbst den meisten "IT-Pros" nicht aufgefallen (Gruß an den Admin des Systems übrigens)! Ein "normaler" Anwender sollte auf so etwas schon gar nicht achten müssen.
https://mobile.twitter.com/MartinSonneborn/status/1329811664624099328/photo/1
MFG und Dank an den Sonnengeborenen (Die PARTEI) und ans Heise Forum!
Ah danke für die Ergänzung. Kommentar eines Twitter-Nutzer: Aha ja alles klar. Der Minister heisst Bielefeld. Das glaubt doch keiner, dass es den gibt.. Recht hat er.
Ja, den Bielefeld Witz wollte ich eigentlich selbst machen habe aber leider nicht mehr daran gedacht. Kommt davon wenn man nachts nicht schläft sondern im Internet Kommentare pustet (Autokorrektur! (Ein Wort, das die autokorrigierende Tastatur übrigens nicht kennt…)) Dafür gibt es stattdessen eine halbe Scherzfrage: Wenn man den Namen "Bijleveld" (übrigens eine Dame – https://de.m.wikipedia.org/wiki/Ank_Bijleveld-Schouten) startpaged findet man die Schlagzeile "SIE TWITTERTE EINEN Top-secret-Code – Das ist Europas leichtsinnigste Ministerin" welcher deutschen Tages"zeitung"?
Haben sie bei dem EU-Vertiedigungsministerium von Zwei-Faktor Authentifizierung noch nicht gehört? Ein Schelm wer böses dabei denkt.