CDU erneut gerettet – deren NextCloud-Server ist wieder online und gepatcht

Es hat sich was getan – und ich kann irgendwie "ein gutes Werk" vermelden (auch wenn nicht jeder das so sehen mag). Von der Christlich Demokratischen Union (CDU) wird ein NextCloud-Server betrieben, der noch vor gut zwei Wochen vor Sicherheitslücken nur so strotzte. Was mit Digital ist halt schwierig, in diesem Neuland. Ich hatte es nach einem Leserhinweis der CDU gemeldet und binnen Stunden war der Server offline. Jetzt ist dieser NextCloud-Server wieder online und wohl auf aktuellem Stand.


Anzeige

Ob wir (Tomas Jakobs und meine Wenigkeit) jetzt den großen Verdienst- oder Mütterorden am Band in Blau bekommen? Jedenfalls haben wir die CDU mal wieder gerettet (auch wenn bei denen irgendwelche Nasen schon mal auf die Idee gekommen sind, eine Sicherheitsforscherin anzuzeigen, weil sie auf eine Schwachstelle in der CDU-App hingewiesen hat, siehe CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein).

Darum geht es

Denn die Digital-Spezialisten von der CDU haben eine NextCloud-Server in diesem Neuland – ich meine Internet – betrieben, der hoffnungslos veraltet war. Ich hatte im Blog-Beitrag Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen auf diesen Sachverhalt hingewiesen.

Sicherheit der CDU-Nextcloud-Instanz

Es war ein Leserkommentar von Tomas Jakobs, der auf diesen Sachverhalt hingewiesen hatte. Sowohl Tomas Jakobs als auch die CDU sind in dieser Causa Wiederholungstäter. Denn Jakobs hatte die CDU bereits vor Jahren auf eine veraltete NextCloud-Instanz hingewiesen (siehe auch diesen Leserkommentar). Jetzt war also wieder eine total veraltete Software am Start und es gab schon Spekulationen, ob das nicht doch ein Honeypot für Hacker sein könne.

Reaktionen der Parteien

Lange Rede kurzer Sinn, ich hatte der CDU-Presseabteilung diesbezüglich des Sachverhalts eine E-Mail geschickt und auf den Blog-Beitrag hingewiesen – verbunden mit der Möglichkeit einer Stellungnahme. Da es im Beitrag auch um einen offenen Jitsi-Server von BÜNDNIS 90/DIE Grünen ging, bekam deren Presseabteilung ebenfalls eine Mail von mir. Am Ende des Tages ergibt sich folgende Bilanz:

  • BÜNDNIS 90/DIE Grünen hat innerhalb der eingeräumten Frist geantwortet und ich hatte ein Telefonat mit deren Pressesprecher. Ergebnis: Die betreiben wissentlich und willentlich die offene Jitsi-Instanz, haben aber andere Quellen für geschlossene Meetings.
  • Die CDU hat innerhalb der eingeräumten Frist nicht geantwortet und bis heute "toter Mann" gespielt, aber reagiert. Kurz nach meiner Mail war der NextCloud-Server im Maintenance-Mode und damit funktional abgeschaltet.

Jetzt hat mich Tomas Jakobs per Mail informiert (danke für den Hinweis), dass der CDU NextCloud-Server wieder online sei – dieses Mal mit aktueller NextCloud-Version. Die CDU betreibt unter *ttp://mycloud.cdu.de jetzt einen Nextcloud Server in der Version 29.0.0.19. Der Server erhält nun von scan.nextcloud.com ein A+ und einen aktuellen Patchstand bescheinigt.

CDU-Nextcloud-Instanz

Ich fürchte, Tomas und meine Wenigkeit werden weiter auf den großen Verdienstorden warten müssen. Na ja, wenigstens hat es keine "Anzeige" gegeben. Wer Spuren von Satire in obigem Text findet darf diese behalten. Ich selbst habe nichts gegen oder für eine der beiden oben genannten Parteien – aber es ist schon frappierend, wie unterschiedlich diese auf einen Sicherheitshinweis reagieren.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

34 Antworten zu CDU erneut gerettet – deren NextCloud-Server ist wieder online und gepatcht

  1. J. sagt:

    Na dann… bis zum nächsten Mal. Schauen wir mal, wie es in einem halben Jahr aussieht.

    "Na ja, wenigstens hat es keine "Anzeige" gegeben. "

    Was nicht ist, kann noch werden – oder: Man soll den Tag nicht vor dem Abend loben. Verjährt ist die "Tat" noch lange nicht ;)

  2. Tomas Jakobs sagt:

    "Mütterorden am Band" wider Willen! :-)
    Ich befürchte, in wenigen Jahren lesen wir uns wieder…

  3. D sagt:

    Ja, mit Fehlerkultur kommt man oberhalb des Kreisverbands bei der Union weiterhin nicht weit. Das ist m.E. auch der Grund, warum viele ehemals aktive Unionsmitglieder mit einem beruflichen Schwerpunkt in IT nur noch unter Schmerzen Mitglied sind und / oder wenn überhaupt fast ausschließlich auf Kommunalebene aktiv scheinen.

  4. Tomas Jakobs sagt:

    … aber, wir sollten uns auf unserem wohlverdienten Band nicht ausruhen.
    Was hältst Du von dem nachfolgenden Host?

    https://owa2010.cdu.de/

    ;-)

    • Anonymous sagt:

      https://www.ssllabs.com/ssltest/analyze.html?d=owa2010.cdu.de
      "TLS_RSA_WITH_RC4_128_SHA (0x5) INSECURE" *ROFL*

      • R.S. sagt:

        Nicht nur das.
        Die haben auch noch die unsicheren TLS 1.0 und 1.1 aktiv.
        Und TLS 1.3 nützt da auch nichts, denn das wird vom Exchange 2010 gar nicht unterstützt.
        TLS 1.3 kann erst der Exchange 2019 nach dem letzten Update.

      • Holger sagt:

        Weia, Exchange 2010! Und dann auch noch ein Kemp Loadbalancer davor, der vermutlich nicht mehr im Support ist!

        TLS 1.0 und 1.1 werden auch noch akzeptiert. Das nenne ich mal konservativ!

        Sind die denn des Wahnsinns!

    • Niels sagt:

      Unter https://zmdcloud.cdu.de/ läuft noch ein NextCloud

      Running Nextcloud 28.0.4.1
      NOT on latest patch level
      Major version still supported

      • Tomas Jakobs sagt:

        diese scheint mittlerweile auch auf 29 hoch gepatcht worden zu sein, war ja auch nichts Unwesentliches außer Mitgliederdaten drauf gewesen zu sein…

        Ich frage mich gerade, ob die vorher genauso vergammelt war? Sind da Daten vielleicht schon die ganze Zeit rausgetragen worden, ach neee… garantiert gibt's da keine Logdaten… dann kann man ja behaupten: Es fand kein Abfluss statt…

    • R.S. sagt:

      Wow, ein Exchange 2010 in freier Wildbahn!
      Das Ding ist doch sicherheitstechnisch löchrig wie ein Schweizer Käse.
      Das letzte Sicherheitsupdate (wahrscheinlich ist der EX 2010 nicht einmal auf dem Stand) stammt von Oktober 2020 (wurde von Januar 2020 auf Oktober 2020 verlängert).
      D.H., der ist mindestens seit 3,5 Jahren ungepatcht!
      Ja, die CDU kann Datensicherheit!
      Und so eine Partei fordert die Digitalisierung, obwohl die ihren eigenen Laden nicht im Griff haben!

      Wundert mich, das die noch nicht gehackt wurden.
      Oder evtl. wurden die das ja schon und der Hobby-Admin hat das noch gar nicht bemerkt.
      Würde mich nicht wundern.
      Wahrscheinlich ist deren gesamte IT auf so einem Uraltstand.

      • Tomas Jakobs sagt:

        nein nein nein, da hängt ein Reverse- Load- Proxy- Sicherheits-Schlangenöl- Gedöns davor, voll vertrauenswürdig, bestimmt mit dem letzten Schrei an NTF, Blockchain, KI, Cloud Zeugs in der Version… Moment… Papierraschel… 2014

        Wo bleibt der Russe, wenn man diesen einmal braucht?

  5. Hanz Dampf sagt:

    Lel, eine OWA 2010 habe ich ja schon lange nicht mehr gesehen, da bekomm ich ja Nostalgische Gefühle.

    Das der noch nicht weg gehackt wurde….

  6. Dat Bundesferkel sagt:

    Oha… welcher Turnschuh-Admin ist denn bei der CDU tätig?

    Installieren wir mal eben das "latest Release" von Nextcloud. Ok. Löblich. Ich habe die 29 noch in den Queue geschoben, weil nicht wenige "Apps" inkompatibel sind und auf eine Aktualisierung warten. :-D

    Aber hey, immerhin… dieses mal wurden sogar Best Practices umgesetzt. Respekt! Also kann da doch jemand lesen. Und das Gelesene auch noch umsetzen!

    Ok, IPv6 ist noch immer #Neuland für die CDU. Wen wundert's… wurde ja auch jahrzehntelang vorgebetet.

    Und der halbe Globus darf unter dem Namen E-Mails versenden "v=spf1 ip4:193.219.105.0/24 include:spf.protection.outlook.com include:inxserver.com include:spf.mailjet.com include:spf.sendinblue.com mx -all"

    Aber wenn man es nicht besser kann, dann macht man dies eben so.

    Aus lauter Dankbarkeit gehen wir denn auch mal shoppen:
    https://cdushop-preprod.ubgnet.de/Test-Contentseite-2-oxid/

    … ich ziehe mich wieder in den Keller zurück. Ob zum lachen oder weinen… ich weiß es noch nicht.

    https://www.shodan.io/domain/mycloud.cdu.de

  7. Patrick sagt:

    Die schaffen das:

    "Geht es nach der CDU/CSU-Bundestagsfraktion, sollen digitale Identitäten bis 2030 'das Rückgrat einer vernetzten und digitalen Gesellschaft bilden, die den einzelnen Bürger in den Mittelpunkt stellt und gleichzeitig Sicherheit und Privatsphäre gewährleistet'."
    https://www.heise.de/news/Online-Ausweis-CDU-CSU-will-die-eID-in-die-Cloud-bringen-9718306.html

    Ganz sicher! Oder?

    • Dat Bundesferkel sagt:

      "Daten sind die Rohstoffe des 21. Jahrhunderts!"
      "Hier müssen wir jetzt aufpassen, daß der Datenschutz nicht die Oberhand über die wirtschaftliche Verarbeitung gewinnt".

      Zitat von Angela Merkel, ehemals Bundeskanzler:innininininin der Bundesrepublik Deutschland auf dem Verlegerkongress Publischers' Summit des Branchenverbandes VDZ am 02.11.2015.

      Auch wenn Politiker dafür bekannt sind zu lügen, wenn sie den Mund aufmachen… das sollte man so für voll nehmen.

  8. Luzifer sagt:

    bis zum nächsten Patchday ;-P

  9. Erwin Wecker sagt:

    Neuland ist Chefsache.

    Wie können Menschen (Wähler) so viel Vertrauen in so wenig Kompetenz haben und entsprechend wählen?
    Ich antworte gleich mal selbst:
    Stimmt: Dem Bürger (Wähler) ist es in überwiegender Zahl vollkommen egal. Hauptsache die Transferleistung fließt zu Monatsbeginn. Egal welche.

    • Günter Born sagt:

      Sehe ich differenzierter. a) Wer von den normalen Menschen steckt so im Thema drin, wie die Leserschaft dieses Blogs? b) Wo ist die wählbare Alternative mit Kompetenz? Die Piratenpartei kann wenig bewegen …

      • Erwin Wecker sagt:

        Bei den Parteien handelt es sich ja nicht um kritische Infrastruktur. Das kann weg. /Ironie off

        Dann lassen wir halt alles beim Alten. Bis eine Alternative kommt.

      • Roman sagt:

        Organisationen dieser Größe und Exponiertheit sollen sich der Gefahren dieses Neulands durchaus bewusst sein und dementsprechend verantwortungsvoll handeln (lassen). Später einfach die Schuld auf den bösen russischen Hacker zu schieben, halte ich keine vertrauenswürdige Verteidigungsstrategie.

  10. Wil Ballerstedt sagt:

    Jaja Leute, lästert mal ordentlich. Wenn eine CxU Partei wieder regiert, und das noch mit ausreichender Mehrheit, müssen wir beim Eintritt ins Neu… Internet den Perso zücken. Wenn es richtig gut läuft, werden unsere Bandbreiten auf 10 MBit beschränkt, damit alle einen I-Anschluss haben können und je langsamer die Daten fluppen, umso besser kann mitgelesen werden.

    • Bernd B. sagt:

      Jetzt tun Sie mal nicht so, als sei das bei der Verräterpartei (in Tradition seit 1914!) anders, z.B. Genossin Faeser lechzt geradezu nach Deanonymisierung (und Zensur) des Internets.

      jüngster Vorstoss:
      sueddeutsche. de/politik/vorratsdatenspeicherung-nancy-faeser-spd-ip-adresse-kompromiss-ampel-1.6550964

      • FredvomJupiter sagt:

        Lieber Bernd B.

        Ja ja, die Dolchstoßlegende ist war und bleibt eine Geschichtsverfälschung.
        Übrigens entstand diese erst ab 1918 und nicht 1914.

        Aber grundsätzlich gehört dieses Thema auch nicht hierhin.

        • Bernd B. sagt:

          Geschichte 6, setzen.
          Das hat mit der Dolchstosslegende absolut nichts zu tun: Seit 1914 verrät die vorgebliche "Arbeiterpartei" die Interessen der Arbeiterklasse an das Kapital, seinerzeit durch Zustimmung zu den Kriegskrediten, die einen Krieg, in dem hunderttausende Arbeiter für die Interessen des Kapitals verheizt wurden, erst ermöglichten.

  11. Roland Golf sagt:

    Achja, immer wieder dieses „Neuland".. es ist einfach zu schön um wahr zu sein 😅 und ist das Satire oder Sakasmus? 😄😊

  12. NC20 sagt:

    Es gibt auch gründe die Nextcloud NICHT zu aktualisieren, beispielsweise, weil das die AD Anbindung schreddert, was sie seit x Versionen nicht gefixt bekommen,:

    https://help.nextcloud.com/t/upgrade-25-0-0-to-25-0-1-ldap-error-maybe-the-ldap-entry-has-no-set-display-name-attribute/149327/14

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.