Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen

Sicherheit (Pexels, allgemeine Nutzung)Gerade haben ja zwei Sicherheitsmeldungen zu WebEx-Einladungen der Bundeswehr, die offen im Internet standen, und der Spionageangriff der russischen APT28-Gruppe auf Postfächer der SPD Wellen geschlagen. Allerortens hört man aus der Politik, dass man besser auf Cyberangriffe gerüstet sein müsse. Ein Blog-Leser hat mir dann auf Auftritte der Parteien CDU und Grüne verlinkt. Während die CDU einen veralteten Nextcloud-Server betreibt, hosten BÜNDNIS 90/DIE Grünen einen offenen Jitsi-Server für Konferenzen. Mal ein kurzer Blick auf in den IT-Sicherheitsabgrund ihrer Parteienlandschaft. Ergänzung: Es gab sowohl Reaktionen von der CDU als von BÜNDNIS 90/DIE Grünen, die ich nachgetragen habe.


Anzeige

Betroffenheit über SPD-Hack …

Deutschland kann keine Cybersicherheit. Nach der sogenannten Taurus-Affäre der Bundeswehr, bei der sich hochrangige Offiziere bei einer WebEx-Konferenz durch russischen Geheimdienste abhören ließen (siehe Sicherheitsmeldungen 1. März-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr) hätte man meinen können, dass bei der Bundeswehr die IT-Sicherheitsleute aufwachen. Aber dann wurde bekannt, dass Konferenzlinks der Bundeswehr monatelang offen im Internet abrufbar waren (siehe meinen Blog-Beitrag WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr).

Und dann schlug der "Angriff" auf das E-Mail-System der SPD die Tage hohe Wellen. Ich hatte es im Blog-Beitrag Rückblick: Cybervorfälle der letzten Tage (6. Mai 2024) angesprochen. In kurz: Im Januar 2023 fiel in der SPD-Parteizentrale in Berlin auf, dass Hacker in die IT eingedrungen waren – später ließ sich der Abfluss von E-Mails aus bestimmen Postfächern feststellen. Über eine erst im Mai 2023 in Microsoft Outlook geschlossene Schwachstelle CVE-2023-23397 war es den Angreifern möglich, auf Postfächer zuzugreifen.

Vor einigen Tagen wurde der Angriff dann der Cyberangriffe der beim russischen Geheimdienst angesiedelten Hackergruppe APT28 zugeordnet. Außenministerin Baerbock hat den russischen Botschafter einbestellt und Tacheles geredet. "Wir können diesen Angriff vom letzten Jahr heute eindeutig der Gruppe APT28 zuordnen, die vom russischen Geheimdienst GRU gesteuert wird. Das ist völlig inakzeptabel und wird nicht ohne Konsequenzen bleiben." wird ", Baerbock auf RDN zitiert.

Ich habe mal recherchiert, Geheimdienst-Experte Kiesewetter von der CDU und im Bundestag sitzend, weiß laut TAZ, was zu tun ist. "Wir müssen finanziell wie mental deutlich mehr in unsere Sicherheit investieren. Die Bedrohungslage durch russische Cyber-Angriffe ist gravierend ernst, auch für Deutschland, das leider einerseits naiv im Umgang mit hybrider Kriegsführung ist und andererseits besonders schlecht gewappnet ist im Bereich der Cyberabwehr und der Spionageabwehr." Auch im n-tv-Interview hier gibt es Hinweise von Herrn Kiesewetter, dass russische Hacker einen Angriff auf die CDU versucht hätten. Das ZDF schreibt hier, dass Parteien kaum gegen Angriffe geschützt seien. Und auf Deutschlandfunk mahnen Experten einen besseren Schutz der IT-Infrastruktur an.

Zum Gesamtlagebild und den Reaktionen der Politik auf den SPD-Spionageangriff gab es einen schönen Kommentar von heise Kommentar zur Debatte über IT-Sicherheit: "Die Empörten sind nackt​. Und die FAZ macht sich hier Gedanken die symbolische Reaktion der Politik. Gut, nachdem a bisserl Staub aufgewirbelt wurde, haben die IT-Leute der Parteien doch sicher sofort ihre Infrastruktur auf Vordermann gebracht? Die Ereignisse waren sozusagen der Wink mit dem Zaunpfahl. BSI-Präsidentin Plattner findet, es sei "Allerhöchste Eisenbahn für mehr Schutz", wie man bei heise nachlesen kann.

CDU betreibt veralteten Nextcloud-Server

Es war ein Leserkommentar von Tomas Jakobs (danke für den Hinweis) mit den Worten "Hallo lieber Russe, möchtest Du die vergammelte CDU Nextcloud nicht vielleicht auch hacken?" der mich dann doch etwas neugierig machte. Die CDU betreibt unter *ttp://mycloud.cdu.de einen Nextcloud Server. Für die Nicht-Insider: Nextcloud ist eine in PHP entwickelte freie Software für das Speichern von Daten auf einem privaten Server. Auf die Daten kann der Anwender sowohl über eine Weboberfläche als auch mit Client-Applikationen zugreifen. Server und Clients können sich dabei synchronisieren.

Sicherheit der CDU-Nextcloud-Instanz

Es ist ja schon mal löblich, dass die bei der CDU nicht auf OneDrive, SharePoint & Co. zugreifen, sondern eine eigene Nextcloud-Server-Instanz betreiben. Unter der Adresse scan.nextcloud.com hat man die Möglichkeit, seinen Nextcloud-Server auf Schwachstellen und Aktualität testen zu lassen. Tomas hat das versucht und kam ins Staunen. Gemäß obigem Screenshot meldet scan.nextcloud.com die Nexcloud-Version 20.0.14.2. Aktuell ist der Nextcloud-Server Version 29.0.0 (27.4.2024). Und der Vulnerability-Report des Scanners meint dazu:


Anzeige

Vulnerabilities

Your instance has known vulnerabilities, below you can see a list of them. Learn more about our security efforts.

High
    Your version is end-of-life and is very likely affected by many vulnerabilities. Unfortunately, security advisories are not available for a such outdated version, thus we cannot create an automated list of vulnerabilities. You should update as soon as possible.

Geht man auf diese Seite und sucht nach Nextcloud-Schwachstellen, listet diese eine ganze Latte an Problemen (bis CVSS 9.8) auf, die in aktuellen Software-Versionen geschlossen wurden. Die ranzige Nextcloud-Version, die die CDU betreibt, ist längst aus dem Support gefallen und mit Kenntnis der Schwachstellen wird es lustig. Der Hackback auf die russischen Hackergruppen dürfte so was in die Hose gehen – wenn die Parteien überall so aufgestellt sind, wird deren IT beim "Gegenschlag" regelrecht pulverisiert. Aktuell laufen die Angriffe aus Russland gegen Parteien doch weitgehend unter "die wollen nur spielen".

Aber hey, vielleicht habe ich alles auch nur falsch verstanden, und die Nextcloud der CDU ist nur ein riesiger Honeypot, um die pösen Angreifer zu fangen. Ich habe mal eine Anfrage an die CDU-Pressestelle gestellt, ob das mit dem Nextcloud-Server so sein soll. Eine security.txt unter .well-known (siehe) für eine Meldung scheint es nicht zu geben (gut, habe ich für meine Domain auch noch nicht eingestellt).

Ergänzung: Eine Rückmeldung der CDU habe ich bis zur gesetzten Frist nicht erhalten. Als Reaktion hat die CDU den Nextcloud-Server aber vom Netz genommen. Dort kommt aktuell die Meldung "Wartungsarbeiten: Dieser Service ist aktuell wegen Wartungsarbeiten vorübergehend nicht verfügbar." Tomas Jakobs hatte mir bereits gegen 1256 Uhr die Information zukommen lassen.

Offener Jitsi-Server bei den Grünen

Tomas hat mich in einer Mail noch darüber informiert, dass BÜNDNIS 90/DIE Grünen einen offenen Jitsi-Server für Konferenzen hier im Internet betreibt. Alles, was es zur Teilnahme an einem Meeting braucht, ist der Name des betreffenden Meeting-Raums.

Offener Jitsi-Server von BÜNDNIS 90/DIE Grünen

Ich gehe mal davon aus, dass sich die IT der Partei und die Teilnehmer der Meetings bewusst sind, dass das Onlinekonferenzsystem offen betrieben wird, d.h. jeder kann an diesen Meetings teilnehmen. Kann man so machen, darf dann aber nicht den Fehler machen, doch mal Vertrauliches über eine solche Plattform zu diskutieren.

Auch hier läuft, wie bei der CDU, eine Anfrage, ob das wirklich so beabsichtigt ist. Mal schauen, ob Antworten kommen.

Ergänzung: Auch von BÜNDNIS 90/DIE Grünen habe ich eine Reaktion – ich konnte mit dem stellvertretenden Pressesprecher Moritz Schott telefonieren. Die Jitsi-Instanz ist bewusst offen gehalten, wichtige Meetings der Partei werden über andere Kanäle gehostet. Einen Missbrauch, wie in den Kommentaren weiter unten angedeutet, habe es bisher nicht gegeben.

Ähnliche Artikel:
CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein
Cyberspionage: CDUCDU erneut gerettet – deren NextCloud-Server ist wieder online 
Cyberangriff auf das CDU-Netzwerk


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Sicherheit, Software abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

38 Antworten zu Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen

  1. Christian Krause sagt:

    Dabei kann man die Aktualisierung komplett automatisieren und muss nur 1 – 2 mal im Jahr draufgucken, falls mal etwas nicht geklappt hat.
    Der Wartungsaufwand inkl. Entstörung liegt bei ca. 2 Std. jährlich.
    Ich persönlich rechne dafür 30 € netto im Monat ab. Ja, viel Geld für kleine Soloselbstständige, die das Ding gelegentlich brauchen und als Alternative einen Sharepoint anmieten können.
    Aber für eine CDU oder einen Mittelständler gibts da keine Entschuldigung.

    • Ralph D. Kärner sagt:

      Ich betreibe sowohl privat, als auch beruflich jeweils eine nextcloud Instanz. Über die Jahre habe ich Dinge erlebt, bei denen Du besonders bei nextcloud von Automatismen abweichen willst. Zumindest die berufliche Instanz mit mehreren hundert Nutzern, angebunden über ldap, willst Du nicht automatisiert auf irgendeinen nächsten Level bringen.

      Das ist aber natürlich keine Ausrede, um nicht aktuell sein zu müssen! Und das laste ich allen Parteien an: sie sind keine Unternehmen und haben entsprechend keine Ahnung, wie teuer fehlende Sicherheit und Aktualität sein kann. Zudem wird bei den entsprechenden Fachkräften aus den eigenen Reihen, die nicht mit irgendwelchen Mandaten oder dergleichen "gesegnet" sind, dann auch eher vereinstypisch erwartet: ehrenamtlich.

      Ich denke ja gar nicht dran!

  2. R.S. sagt:

    Die Version 20 von nextcloud ist seit Oktober 2021 aus dem Support!
    I.d.R. hat jede Version nur ca. 1 Jahr Support, d.h. alles älter Version 27 ist aus dem Support gefallen!
    Anscheinend hat das da mal jemand aufgesetzt und seit dem kümmert sich niemand mehr drum.
    Schon erschreckend!
    Da reden die Politiker immer davon, das man bzgl. Cybersicherheit etwas machen muß und bei sich selbst schläft man tief und fest!

  3. J. sagt:

    Das mit der CDU und der Nextcloud ist doch ein uralter Hut… Tomas Jakobs hat die CDU schon vor etlichen Jahren (!) auf die vergammelte Nexcloud hingewiesen. CDU hat damals IIRC auch reagiert und gepacht – aber eben nur einmal, danach ist wieder nichts passiert. Offenbar kümmert sich bei der CDU niemand um das Ding, Support (und damit Updates) gibt es nur auf explizite Anforderung, wie Kleinstunternehmen das auch oft im IT-Bereich machen. Nur dass die CDU kein kleiner Handwerker mit zwei PC-Arbeitsplätzen ist…

  4. Björn sagt:

    Da weiß doch jeder von uns, wie das gelaufen ist. Die hatten entweder einen IT-affinen Angestellten oder Praktikanten, der das initial eingerichtet hat, dann aber zeitnah gegangen ist. Alle anderen haben keine Ahnung, keine Lust oder es ist kein Geld da für "das Computer Zeug" und seitdem läuft das halt einfach so weiter.

  5. Jackie sagt:

    Zu Jitsi, nur weil jeder auf dem Server eine Konferenz starten kann heißt es nicht das auch jeder an allen Konferenzen teilnehmen kann! Im Netz werden sich viele Jitsi Instanzen finden auf denen jeder eine Konferenz starten kann. Habe es gerade mal getestet. Man kann die Konferenz wie erwartet absichern in dem man die Lobby aktiviert, es kann auch ein Passwort für den Beitritt festgelegt werden. Die Datenschutzhinweise enhalten allerdings nichts zu Jitsi :)

    • Frank W. sagt:

      Genau richtig!
      Ich kann mir auch vorstellen, dass da ein grüner ITler die Idee dabei hatte einfach den findigen Bürger*Innen eine zusätzliche Jitsi-Instanz zur Verfügung zu stellen.

    • Tomas Jakobs sagt:

      Von politischen Parteien und öffentlicher Hand betriebene Server haben eine andere Relevanz hinsichtlich Phishing und politischer Kampagnen und Auswirkung. Was würdest Du sagen, wenn sich hypothetisch Terroristen auf dem Server einer Partei zu Anschlägen verabreden und darüber vernetzen?

      • Jackie sagt:

        Glaube nicht da diese Gefahr wirklich besteht aber nach dem Denkansatz müsste man einiges sein lassen bzw. sogar verbieten z.B. VPN weil es von Terroristen genzutzt werden könnte. Ich glaube das uns mehr Freiheit und Miteinander besser tun würde als Überwachung und Verbote. Vielleicht könnte man auf diesem Weg den einen oder anderen auch noch erreichen bevor er völlig in den Extremismus abrutscht.

        • Tomas Jakobs sagt:

          Das Problem ist nicht der frei nutzbare Jitsi, das Problem ist, dass dieser unter der offiziellen Domain (als Subdomain) der Grünen offen für jeden betrieben wird. Jeder kann Meetings starten, jeder kann sich als Funktionär ausgeben und zu Besprechunge einladen, die in Mails und Chats legitim erscheinen.

          Wäre ich hier Verantwortlicher, würde ich die Instanz dahingehend sofort dichtmachen, damit nicht AfD und Hammas damit Schindluder betreiben.

          • Ralph D. Kärner sagt:

            Die AfD hat ihre eigenen Kommunikationskanäle und benötigt die Jitsi Instanz der Grünen ganz sicher nicht. Gleiches gilt für die Hammas.

            Darf ich Dich in dem Zusammenhang bitten, dergleichen politisch belastete Aussagen zu unterlassen?

            • Luzifer sagt:

              Es geht da wohl kaum darum das dieser "Menschenschlag" sich darüber verabredet… du kannst dass aber nutzen um den Grünen zu Schaden indem du den Anschein erwegst das kommt aus offiziellen "Grünen Kanälen"!
              Und das ist gar nicht mal so abwegig. Aber Heh dafür sind sie selbst Verantwortlich.

            • Pau1 sagt:

              Es ging darum, das jeder Mensch eine Sitzung auf dem Server der Grünen einberufen könnte und das für den Unbedarften völlig seriös wie eine Aktion der Grünen aussähe.
              Es wäre also möglich, das die politische Gegenseite zu einer Konferenz auf dem Grünen Server einlädt um die arglosen Eingeladen auszuhören.
              Würden sie dafür ihren Eigenen Server nehmen wird das auch einem unbedarften schnell auffallen.
              Es ist zwar einmal um die Ecke gedacht, aber doch nicht so schwer zu verstehen?

      • ARC4 sagt:

        Ok fangen wir wieder so eine unsinnige Debatte an? Man kann alles missbrauchen, was wird als nächstes verboten: Auto und Messer, weil die können auch von "Terroristen" als Waffe benutzt werden. Oder man kann sich auch über Signal zu terroristischen Aktivitäten vernetzen, auch gleich verbieten?
        Die Relevanz ist die selbe, egal ob politische Partei oder ein Hobbygärtner so eine Infrastruktur betreibt. Den Aufreger über Jitsi verstehe ich auch nicht, Jackie hat ihr wenigstens richtig reagiert. Über Teams, Skype etc. kann ich auch gratis, sehr leicht und sehr schnell Konferenzen aufsetzen, Ersteres kann bei falschen Einstellungen auch dazu führen, dass man nur eine URL benötigt. Die Meldung von Thomas ist hier also falsch/unvollständig, da man bei Jitsi sehr wohl die Instanzen mit Pw schützen kann.

        • Tomas Jakobs sagt:

          … "bei Jitsi sehr wohl mit Pw schützen kann"

          Völlig richtig, nur leider ist das bei dieser Instanz nicht erfolgt. Jeder kann Meetings "im Namen der Grünen" starten.

          Ich wette um die symbolische Flasche Bier, dass das so nicht gewollt ist. Der politische Schaden, dar damit angerichtet werden kann ist viel zu hoch.

  6. Martin B sagt:

    es ist doch auch eigentlich egal, wo und wie das intellektuelle Niveau unserer politischen Landschaft zu Tage tritt. Ob in öffentlichen Bekundungen oder eigentlich privaten Meetings, das spielt keine Rolle.

  7. Pau1 sagt:

    na, mal abwarten wen die CDU mit einer Strafanzeige wg. cyber ausgucken wird…
    Das ist doch das in Deutschland übliche Vorgehen.

    • Tomas Jakobs sagt:

      Das ist leider auch Realität in Deutschland:
      Der CDU melde ich aus Prinzip nichts mehr (siehe auch
      Und selbst bei offiziell beauftragten Pentests von Kunden und dem nebenläufig Mitentdecken von Dingen bei Zulieferen oder deren Kunden, melde ich nichts mehr, da das Risiko unerwartet Anwaltspost und ggf. Strafanzeige zu bekommen nicht im Verhältnis zum Auftrag und den eigenen Anwaltskosten zur Abwehr steht.

      • Ralph D. Kärner sagt:

        Ja, der 202a StGB gehört definitiv abgeschafft. Ich gebe zu: das ist für mich der Hauptgrund, keine PenTests für Dritte mehr zu machen. Auch nicht gegen $viel_Geld.

  8. 1ST1 sagt:

    "Deutschland kann keine Cybersicherheit." Ich mag diese Aussage nicht. Ist es denn in anderen Ländern besser? Sind nur "wir Deutschen" so blöd? Oder ist die Aussage nicht etwas zu generalisierend, immerhin scheinen ja doch noch diverse Kommunen, Unternehmen usw. bisher noch nicht gehackt worden, weil sie einen enormen Aufwand für Sicherheit treiben.

    Wenn ich aktuell auf die Hauptseite von Bleepingcomputers schaue, sind da gerade Artikel, dass die Us-Stadt Wichita getroffen wurde und alles runterfährt, das 50.000 im Internet erreichbare TinyProxy für einen CVE empfänglich sind (alle in Deutschland? Bestimmt nicht!), dass es mal wieder eine Lücke in einem beliebten WordPress-Plugin gibt, dass das britische Verteidigungsministerium gehackt wurde, usw. Alles (nur) Deutschland?

    Ich würde sagen, das ist kein (rein) deutsches Problem. Nein, die IT ist einfach zu komplex geworden, niemand blickt mehr durch und außerdem tobt im Internet ein Krieg, der verlängerte Arm des Ukraine-Krieges, der verlängerte Arm Chinas, der verlängerte Arm Nordkoreas, usw. Sabotage durch Schurkenstaaten, Sabotage durch wahrscheinlich vielfach hervorragende IT-Spezialisten, die auch einem aus unserer Sicht legalen IT-Job gut bezahlt werden könnten.

    • Günter Born sagt:

      Im Artikel geht es um deutsche Parteien und nicht um Verwaltungen in den USA.

    • Dat Bundesferkel sagt:

      "Sind nur "wir Deutschen" so blöd?"
      "Nur"? Mitnichten. Aber sollen wir nicht als führendes Land des Planeten, welches allem und jedem seine Moral- und Wertevorstellungen andrehen möchte, sich selbst als leitende Exportnation, als fortschrittliches Land andere Maßstäbe setzen?

      Bei der Ausbildung kam unser Dozent immer mit: "Die Inder sind viele. Die Inder sind billig. Aber ihre Softwarequalität ist miserabel!".

      Ehm sorry… wenn man wirklich abartige schlechte Produktqualität haben will, greift man auf deutsche Anwendungen zurück.

      Selbst heute besteht das "ach so moderne" SAGE immer noch zu großen Teilen aus uraltem(!) KHK-Kaufmann Code. Die einzelnen Module und Bereiche sind aus einer Wald- und Wiesen-Sprachensammlung zusammengeschustert, mittlerweile mit (zumindest) löchrigen SSL-Verbindungen…

      "Netzwerk? Da muß Cisco her!" – ignorierend, daß kein Netzwerkausrüster mehr Hintertüren hat.
      "Prozessor? Da muß Intel her! HyperThreading MUSS aktiv bleiben – weil wurde ja bezahlt!" – danke für die Hintertür
      "Anwendungsentwickler? Wir können die Leistung gar nicht beurteilen, weil wir keine kompetenten Mitarbeiter haben. Aber die gekauften, bunten ebay-Zertifikate, die regeln das!" – willkommen in Deutschland
      "Sicherheit? Aber das kostet Geld… frag mal den Sohn von XYZ, der ist doch voll der Gamer-Crack!" – der Jüngling, der via Google-Suche irgendwelche Configs bearbeitet, in Foren sucht ohne auch nur einen Hauch von tiefergründige Hintergrundinformation zu haben, was was nun eigentlich bewirkt und was die Nebenwirkungen sein könnten.
      "Eigene Anwendungen? Oh nein! Bloß keine Souveränität eigener Daten. Microsoft Office ist ALTERNATIVLOS™" – Abhängigkeiten welcome. Schon genial, wenn die Frickelbude selbst im Heimatland als Sicherheitsrisiko eingestuft wird.

      Unsere "Bildungsoffensive" IT in Deutschland bedeutet (Hallo Frau Baerbock, da warten wir noch immer drauf… haben die Flug-Taxis Verspätung? Bringen sie die Bildungselite nicht rechtzeitig zum Unterricht?) wild auf bunte Buttons klicken, natürlich mit einem iPAD – weil… Apple muß sein. Office natürlich nur Microsoft. Ein Terminal/Eingabeaufforderung/DOS hat nie ein Mensch gesehen. Kennt also nicht mal im Ansatz die eigentlichen Grundlagen, die man kennen sollte.

      Deutschland ist am Ar… in so vielen Bereichen, überall hat man sich auf über 50 Jahre alte Lorbeeren ausgeruht. Und anstatt diesen Umstand zu beseitigen, verschärft man ihn immer weiter (Entgegenkommen bei Leistungsbewertungen, bei Frauen noch mehr Erleichterungen, um Quoten zu erfüllen – keine Herausforderungen mehr, kein Grund Leistung zu erbringen).
      Nächster Witz: Rechtschreibung wird obsolet. Gerade Deutsch, eine hochpräzise Sprache, die wie ein chirurgisches Skalpell verwendet werden kann… wenn nun jeder anfängt rum zu rotzen, wie ihm der Schnabel gewachsen ist, paßt nicht mal mehr eine eindeutige Kommunikation (Eindeutigkeit ist übrigens auch bei SQL-Servern erforderlich…).

      Deutschland und IT… der größte Witz. Zug ist abgefahren vor etwa 25-30 Jahren.

    • Luzifer sagt:

      naja wir sind hier wahrscheinlich die meisten Deutsch, also interessiert auch am ehesten was in D schief geht… ne Wasserwerk in USA, was gehackt worden ist macht mir hier nunmal kein Probleme mit dem Trinkwasser usw.
      Genausowenig wie mich juckt was NSA über mich weis, deutsche Versicherungen Firmen Politker und BND/MAD dagegen schon!
      Einfach ne einfache Schadenseinschätzung… was trifft mich, was nicht.

    • Pau1 sagt:

      Es tobt noch kein Krieg. Das sind nur Manöver.

      Ich glaube nicht, das wir hier noch schreiben könnten, wenn der militärische Krieg wirklich ins Netz gewandert wurde.

      (Denk an Stutnet, das war militärische Präzisionsarbeit und war effektiv gegen das Iranische Atomprogramm. Normalerweise hätten wir davon gar nichts mitbekommen. Den Iranern wären halt die reihenweisen Anreicherung Zentrifugen gestorben.)

  9. 1ST1 sagt:

    "Ich habe mal eine Anfrage an die CDU-Pressestelle gestellt, ob das mit dem Nextcloud-Server so sein soll. "

    Gut so, so geht Verantwortung!

    "Thomas hat mich in einer Mail noch darüber informiert, dass BÜNDNIS 90/DIE Grünen einen offenen Jitsi-Server für Konferenzen hier im Internet betreibt."

    Haben Sie auch die Pressestelle der Grünen befragt?

  10. 1ST1 sagt:

    "Außenministerin Baerbock hat den russischen Botschafter einbestellt und Tacheles geredet. "Wir können diesen Angriff vom letzten Jahr heute eindeutig der Gruppe APT28 zuordnen, die vom russischen Geheimdienst GRU gesteuert wird. Das ist völlig inakzeptabel und wird nicht ohne Konsequenzen bleiben." wird ", Baerbock auf RDN zitiert."

    Das ist der Politiker-Sprech. Eigentlich müsste die Nato mal wieder tagen und darüber diskutieren, ob Artikel 5 so noch zeitgemäß ist, oder ob man ihn mal auf den Cyberspace ausweitet.

    • Dat Bundesferkel sagt:

      Ja, ich bin auch dafür, daß der Bündnisfall gegen die USA eintritt, weil sie Merkel abgehört und via benachbarter Uni (Exchange-Server) gegen Hackerparagraphen verstiessen.

      Upps… DA ist das dann natürlich was Anderes. Wir sind ja "Freunde". Obwohl der US-Außenminister überdeutlich klarstellte, daß Amerika keine FREUNDE, sondern nur INTERESSEN hätte.

      Vielleicht auch noch den Bündnisfall gegen China ausrufen. Ach, so ein bisserl Krieg spielen gegen Rußland, USA, China… läuft. Macht Deutschland und der Rest der Bastel-EU mit Links. Ich denke mal, spätestens nach 2 Wochen sind wir atomisiert. Fruchtbares Ackerland, wenn die Strahlung verflogen ist, kann man immer gebrauchen.
      Greift man gleich zu den richtigen Waffen, werden auch nur biologische Lebewesen ausradiert – die Infrastruktur bleibt unversehrt erhalten.

      Ja, das war jetzt SEHR weit hergeholt. Aber Du siehst doch, wohin Deine Russen-Phobie führen "könnte". Man sollte wohl überlegen, was man wann zu welcher Zeit in Angriff nimmt.
      Nein, ich bin kein Russland-Freund. Aber auch kein Islam-Freund. Und auch kein USA-Freund. Ebenso kein China-Freund.
      Aber man kann auch ohne "Freundschaftserklärungen" seine Mitmenschen respektieren.

  11. Rooobat sagt:

    Das kommt davon wenn man auf diese ganzen "Experten" hört.

    Ich höre nur noch auf Profis und Spezialisten, Experten sind für mich
    nur sowas wie Marketing, Werbung, absolut sinnfrei.

    Unsere Politik ist noch nie wegen Kompetenz aufgefallen….

  12. Hobbyperte sagt:

    Das deckt sich doch wunderbar mit der generellen Haltung der "Elite" gegenüber dem Thema Sicherheit im Allgemeinen, in diesem Land.

    Wie steht es denn wirklich um das Thema Arbeitssicherheit? Ganz speziell im Hinblick auf die unfassbaren Ausnahmeregelungen im sog. ArbZG, das gerade all jene ausnimmt, die eigentlich geschützt werden müssten.

    Na, Lust auf eine Behandlung durch einen völlig übermüdeten Arzt in der Notaufnahme, der seit mehr als 24 Stunden im Dienst ist? Viel Spaß auch auf den Straßen und Schienen, wo überall total Ausgebranntes Personal hinterm Steuer sitzt. Ob LKW und Busfahrer, Lokführer, Kurrierfahrer … oder andere Jobs mit chaotischen Arbeitszeiten und Arbeitgebern die sich selbst um die paar noch geltenden Regeln einen Dreck scheren.

    Und Sicherheit – in einem Land, dessen Politiker über alle möglichen Details ganz offen im Fernsehen plaudern? Echt jetzt, im Ernst? Selbst diese Pseudo-Seriösen von der CDU können es ja nicht lassen manches Auszusprechen, über das man doch besser schweigen sollte.

    Warum sollte ein geistig primitiver Aggressor ein Land nicht Angreifen, das sich ständig unter Angabe aller möglichen Details zum Stand der Ausrüstung, Ausbildung, sogar mit genauen Mengenangaben wie viel wir wovon haben und was davon Einsatzbereit ist und was wir alles auf gar keinen Fall wollen und machen … usw. usw. wie blöd müssen Führungspersönlichkeiten eigentlich sein, öffentlich über das eigene Total-Versagen zu palavern?

    Und wen wundert es ernsthaft, wenn diese Leute natürlich nicht willens und fähig sind, ihre eigenen Plattformen zu schützen? Aber ist ja sowieso egal, China, die Russen und wer immer will, wissen doch sowieso längst alles das sie wissen möchten, dazu brauchen die ja bloß den Fernseher Einzuschalten …

    • 1ST1 sagt:

      Das sind durchaus interessante Gedanken, auch ich frage mich manchmal, was z.B. das Zugeben von militärischen Schwächen in (Kriegs-)Zeiten wie diesen in der Öffentlichkeit zu suchen hat, da reibt sich der Putin doch die Hände! Aber andererseits sehen wir ja, dass das russische Militär (glücklicherweise) offensichtlich auch nicht mehr das ist, was sein Ruf sein soll, außer dem Mangel an jeglicher Menschlichkeit hat dieser Haufen seine Stärken längst eingebüßt. Und dieser offene Umgang mit all diesen Details ist eben Demokratie, wo jeder jedes Detail wissen will und auch ein Anrecht darauf hat, mitreden will, jeder seine Meinung hat und diese mit wenigen Klicks ungefiltert aus seiner Blase heraus an ein Millionenpublikum senden kann.

      • J. sagt:

        "Und dieser offene Umgang mit all diesen Details ist eben Demokratie"

        So ist es – unsere Demokratie baut ganz wesentlich auf Transparenz gegenüber der eigenen Bevölkerung.

        Und ganz ehrlich: Was hier in der Öffentlichkeit erzählt wird, mag für den einfachen russischen Bürger (so er sich denn in den hiesigen Medien informiert) noch so neu sein wie für den deutschen Bürger, für den russischen Staat sind aber definitiv keine Erkenntnisgewinne zu erwarten. Im Gegenteil: Putin weis ziemlich sicher besser über das deutsche Militär Bescheid als 99 % der deutschen Bürger, deutsche Soldaten bis in die Offiziersränge eingeschlossen.

        Ist jetzt aber alles sehr OT…

      • R.S. sagt:

        Das russische Militär war noch nie das, was sein angeblicher Ruf war.
        Warum wohl hatten die im WW2 so extrem hohe Opferzahlen?
        Weil Stalin Menschenleben sch…. egal war, der hat einfach auf Menschenmassen gesetzt.
        Und so passiert es auch heute noch.
        Es wird versucht, die Ukrainer mit Masse an Menschen und Material zu überrollen. Und teilweise haben die damit Erfolg, weil deswegen den Ukrainern die Munition ausgeht.

        Was die Politiker hier angeht:
        Ja, da wundere ich mich auch immer, wenn da in aller Öffentlichkeit über die Defizite in der Bundeswehr etc. berichtet und debattiert wird.
        Diese Infos haben in der Öffentlichkeit absolut gar nichts zu suchen! Auch nicht in Friedenszeiten.

        Und bzgl. Cyberabwehr: Gibts die bei der Bundeswehr überhaupt? Wenn ja, dann merkt man davon nichts.
        Und auch in der Politik nicht.
        Bzgl. des Abhörens des Handys von Merkel 2013:
        Merkel sei nur verärgert gewesen, weil für sie "ein PR-Problem" in der deutschen Öffentlichkeit entstanden sei. "Nicht wegen des Abhörens selbst."
        Das zeigt doch schon die Kultur bzgl. Cybersicherheit in der deutschen Politik.
        Es ist ihnen im Grunde sch… egal!
        Nur sagen die das nicht öffentlich.

  13. Sven Fischer sagt:

    Sowas ist grob fahrlässig und verantwortungslos! Aber uns was von DSGVO erzählen wollen und mit horrenden Bußgeldern bei Verstößen drohen. Na, das habe ich gerne.

    Hier wird, wie üblich, mit zweierlei Maß gemessen. Jedem Admin in der freien Wirtschaft wird bei solchem offensichtlichem Vergehen, der Prozess gemacht. Der bekommt dann keinen Fuß mehr auf den Boden. Aber "die da oben" haben Narrenfreiheit, können tun und lassen wie es beliebt.

    Da hält sich auch beim Bedauern in Grenzen, wenn dann knallt.

    • Luzifer sagt:

      Ist doch so im Gesetz verankert… Politiker stehen drüber!
      Stell dir vor Politiker würden für ihre Vergehen haften… was hätten wir da auf einmal ordentliche Politik!
      Da gibt es Politiker die Gesetze durchgebracht haben, welche vom Bundesverfassungsgericht als Staats-/Demokratiefeindlich einkassiert wurden und? Was passiert? Nix, die Demokratiefeinde sind weiter in Amt und Würden! (Und nein das sind kein Afdler!)

      Da gibt es kein Straftat die da nicht vertreten ist… gekaufte gefälschte Diplome sind da noch das Harmloseste.

  14. Scheckbuch sagt:

    Zu erst wurde über das Thema hier berichtet:
    https://areac.de/index.php?topic=442.0
    Dort kann man auch nachlesen, dass die CDU keinen guten Trackrecord hat bei dieser NextCloud Instanz.
    Obs der Mailserver bringt ist zumindest fraglich……

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.