So haben sich CDU und SPD hacken lassen

[DMW007]

Vor wenigen Tagen wurde bekannt, dass die CDU gehackt wurde. Es wird vom schwersten Angriff auf eine politische Partei gesprochen. Einige Informationen sind dazu bereits bekannt - aber auch unabhängig davon hat die Partei bereits mehr oder weniger freiwillig in den letzten Jahren bewiesen, wie gut sie mit IT und Sicherheit umgehen kann. Neben dem großen aktuellen Angriff ist sie alleine in den letzten Wochen mit einer Umfrage peinlich aufgefallen: Nachdem diese komplett ungeschützt war und nicht das gewünschte Ergebnis lieferte, nennt die CDU das "Manipulation" und zwar "mit Krimineller Energie". Auch in den Monaten davor hat die Partei bewiesen, dass sie grundlegende Kompetenzen vermissen lässt. 2023 musste die SPD ebenfalls einen Angriff eingestehen, hier war eine Mischung aus offensichtlich spätem Aktualisieren und schlecht von Microsoft gepatchtem Exchange der Auslöser. Was passiert ist, erfährst du zusammengefasst in diesem Beitrag: Zum kompletten Beitrag im U-Labs Portal

[U-Labs YouTube]

Kommentar von @WitzigLustigKomisch_TG:
Das ist ja echt der Hammer wie nachlässig die im Umgang mit IT-sicherheit sind. Top video.

[U-Labs YouTube]

Kommentar von @thekey6153:
"Wir wurden gehackt". - "Ok, hacken ist jetzt verboten. Problem gelöst." (Die Verbotsparteien)

[U-Labs YouTube]

Kommentar von @Dampferfrosch:
Ich höre AC/DC und wähle Volt - die Volt Partei ist Starkstrom ...... CDU und SPD haben ja nicht zu verbergen - also ist es Ihnen ja auch egal wenn man deren Daten einsieht - Konservativ eben ......

[DMW007]

Stimmt. So oft wie die schon Vorratsdatenspeicherung und ähnlich fragwürdige Dinge umsetzen wollten, dürften die nichts gegen eine Transparenzoffensive haben. Ich bin gespannt, ob in nächster Zeit Material daraus veröffentlicht wird. Um die EU-Wahl scheint es den Angreifern zumindest durch Beeinflussung mit Leaks nicht zu gehen, dafür sind sie zu spät dran. Das Einzige was dafür noch Relevanz haben kann, ist die Tatsache des Angriffs. Wobei das wenig Unterschied machen dürfte. Offensichtlich gibt es keine Digitalkompetenz, für die man diese Partei wählen könnte. Die Wähler dürften sich eher ein wenig Trump-Mäßig bestätigt sehen und ein Verbot von diesen bösen Hackern fordern, damit keiner die arme CDU angreift

[U-Labs YouTube]

Kommentar von @Volker-Dirr:
Das hat wenig mit der CDU zu tun, sondern viel mehr mit der Firma, die sie für die IT beauftragt haben.
Du hättest viel mehr auf die Wahlprogramme eingehen sollen und dort mal die Vor- bzw. Nachteile zeigen sollen/können.
Wäre ja ansonsten in etwa so, als wenn du die Grünen "angezeigt" hättest, wenn Sie damals für möglichst umweltfreundliche Verbrennungsmotoren eingesetzt hätten (möglichst strenge Vorgaben für Schadstoffe) und man dann festgestellt hätte, dass ein Grüner Politiker mit einem vom Abgasskandal betroffenen VW fährt. Das ist dann ja nicht Schuld des Grünen, sondern von VW.
Ob da Linux immer viel besser ist wage ich zu bezweifeln. Wenn die jetzt ein veraltetes Linux eingesetzt hätten, dann wäre es auch nicht besser gewesen. Und selbst aktuelle Linuxversionen haben zum Teil unnötige Sicherheitslücken.
Mach doch einmal ein Video über das Unding, dass viele Linux-Distributionen eine Libreoffice Version benutzten, von der bekannt ist, dass sie ein Sicherheitsproblem mit Makros hat. Schon am 14. Mai hat LibreOffice über die kritische Sicherheitslücke CVE-2024-3044 berichtet und das diese nur in 7.6.7/24.2.3 und höher berichtigt wurden. Und heute, über 3 Wochen später, sehe ich, dass die meisten Distributionen noch immer mit einer älteren Version ausgeliefert werden und keine Updates bereitstellen. Inkompetent und unverantwortlich?!

[DMW007]

Nein, genau das sind billige Ausreden, mit denen sich viele gerne aus der Verantwortung nehmen: "Wir haben das ja gar nicht verkackt, sondern der Cloudanbieter/Dienstleister/Subunternehmer/die Putzfrau hat den Stecker gezogen" usw. Wenn die CDU etwas outsourct, müssen sie sich vergewissern, dass der etwas taugt. Sie stehen dafür gerade, wie jeder andere auch. Es kann nicht sein, dass jeder mit dem Finger auf einen anderen zeigt und wir am Ende eine Verantwortungsdiffusion haben. Mit Betonung auf "Wenn", die Partei macht das nämlich als "Union Betriebs-GmbH" selbst. Der hatte mindestens bei dem Jobportal seine Finger im Spiel. Laut der Webseite betreiben die weitere IT Dienste: E-Mail, MS Sachen, Cloud usw. Grundsätzlich macht das auch Sinn, vor allem bei der Größe. Offenkundig hat die CDU diesen Laden allerdings auch nicht im Griff.

Der Vergleich mit VW hinkt. Spätestens ab dem Zeitpunkt, wo z.B. bei der CDU Connect App jemand das meldet, hätte man professionell Handeln müssen. Stattdessen hat man lediglich einen Teil der Probleme gelöst und die Botin angezeigt. Das ist nicht nur unprofessionell, sondern auch Menschlich ziemlich daneben. Man stelle sich das mal in der Nachbarschaft vor: Der Nachbar betritt dein Grundstück, um auf die offen stehende Tür hinzuweisen. Als Danke kriegt der eine Anzeige wegen unerlaubten Betretens des Privatgrundstücks... so wünscht man sich doch behandelt zu werden, wenn man helfen möchte.

Diese Wenns "wenn es eine veraltetes Linux ist", sind Nebelkerzen. Natürlich kannst du mit groben Fahrsatz jede Software vergammeln lassen. Das sollte klar sein und ist hier nicht der Punkt. Eben so wenig, dass es unter OSS auch mal Schwachstellen gibt. Maßgeblich sind die Masse, "Qualität" und Umgang damit. Bei MS ist es üblich geworden, kritische Sicherheitslücken über Monate offen stehen zu lassen. Oder noch geiler gerade bei Azure: Man kümmert sich gar nicht darum. Für derartige Qualität zahlen wir (auch du, das sind Steuermittel!) einen Berg an Geld an MS. Der wird auch noch jedes Jahr größer, weil die Abhängigkeit wächst. Das ist kein Zufall sondern von MS so beabsichtigt. Als Konzern ist dein einziges Ziel Wachstum und davon möglichst viel. Ein LibreOffice hingegen gängelt dich zu gar nichts, wie der Name schon sagt.

Abgesehen davon sind Makros in Office-Dokumenten grundsätzlich ein Sicherheits-GAU. Das kann man gar nicht sicher umsetzen, weil die viel zu mächtig sind, vergleichbar mit einer Skriptsprache. Schon alleine die Shell-Funktion ist ein Unding. Unter Windows kann man dann mit Excel noch VBSkript Schweinereien machen, um Dateien abzulegen... Das ist eine Fehlkonstruktion in einer Tabellenkalkulation, wer erwartet da so was? Jedes Makro-Dokument ist damit vergleichbar gefährlich, wie eine Binärdatei. Die Formeln sind wesentlich sinnvoller. Und das ist "nur" der Sicherheits-Aspekt. In der Praxis entstehen damit in Unternehmen regelmäßig Schweinereien, weil die Tabellenkalkulation damit als Anwendungsplattform und Datenbank missbraucht wird - unkontrolliert und in der Regel von Leuten, die sich mit beidem nicht auskennen. Da MS Excel & co. aber beides nicht sind, geht das früher oder später kaputt. Am Besten ist es daher, diesen ganzen Mist abzuschalten, am besten Ausnahmslos. Das hat auch weitere positive Effekte. Zum Beispiel trainiert man die Leute nicht dazu, Warnungen wegzuklicken, damit das was sie machen wollen geht.

[U-Labs YouTube]

Kommentar von @The_Java_Niemand-vw6ln:
Wen man eine Partei im Bundestag ist, lohnt es sich, Linux zu nutzen, und alle restlichen Lücken zu schließen... aber wahrscheinlich hat der Kanzler den Vorfall bald wieder vergessen.

[DMW007]

"Restliche Lücken" finde ich schwierig. Software ist ja keine Pyramide, die man einmal baut und dann für die Ewigkeit steht. Software wird - zumindest ein Stück weit - weiterentwickelt. Gerade bei einem ganzen Betriebssystem wird man niemals alle Sicherheitslücken finden können, das ist zu umfangreich. Sicherheit muss daher als Prozess gedacht und umgesetzt werden, z.B. durch regelmäßige Audits/Prüfungen. Vom Grundgedanke her finde ich deine Idee allerdings sinnvoll, lieber Ressourcen in freie Software zu stecken. Das würde GNU/Linux natürlich sicherer machen, wenn große Parteien Ressourcen darin investieren, Sicherheitsmängel zu finden und am besten auch zu korrigieren. Ich würde einen Schritt weiter gehen und das auf Landesebene tun. Es fließen sehr viele Steuergelder in proprietäre Software von u.a. Microsoft. Unter anderem in ein angepasstes Windows 10, damit das halbwegs sicher und datenschutzkonform nutzbar ist. Die könnte man in ein Betriebssystem auf Basis freier Software investieren - ähnlich wie LiMux, aber am besten frei verfügbar für alle.

Bei Herrn Scholz ist dieser Vorfall wohl tatsächlich längst vergessen...

[U-Labs YouTube]

Kommentar von @ralfbohnke3499:
Das hat nur mit der CDU zu tun, der ganze Verein strotz doch vor Unfähigkeit -ignorier Taktik - und Ja nichts tun Mentalität, Hauptsache ich beziehe meine Rente nach 8 Jahren. Die sind schlimmer als die alle Politiker im Takatuka Land