Thread zur aktuellen Recherche (€): @ReneReh1 und ich haben den Unis und Hochschulen auf den Zahn gefühlt. Das Ergebnis ist erschreckend: Wir haben viele kritische Sicherheitslücken gefunden. Und Daten, die wirklich niemand zu Gesicht bekommen sollte. zeit.de/2023/04/it-sic…
Wir haben 73 Hochschulen getestet - die Wikipedia-Liste aller dt Hochschulen, sortiert nach Größe. Eine erste kühne Idee war, alle 421 zu testen. Aber die Recherche lief völlig aus dem Ruder, weil 15 der ersten 73 (jede fünfte Uni!) schon teils massive Sicherheitslücken aufwiesen
Bei mindestens drei Unis fanden wir potentielle Einfallstore für #Ransomware-Banden mit teils unverschlüsselt abgelegten Passwörtern etc. Viele Unis hatten massive Datenlecks. Die Daten zu sichten und vor allem die Lücken zu melden, war extrem zeitaufwendig. Und schockierend.
Nicht nur wegen der vielen sensiblen Dokumente, die Unis offen ins Netz gestellt hatten - vom Psychotherapie-Attest über geheime Forschungsdokumente bis hin zu Noten etc. Sondern auch, weil es teils kaum möglich war, Ansprechpartner:innen zu erreichen. #cybersecurity
An der Uni Düsseldorf zb war die E-Mail-Adresse, an die man IT-Sicherheitsprobleme melden kann, nicht erreichbar. Das hat uns Nerven gekostet, weil es eine gefährliche Lücke war und wir Angst hatten, dass sie womöglich noch von Kriminellen gefunden wird.
Auch bei der Uni Tübingen fanden wir eine massive Lücke, durch die es möglich war, ein eigenes Programm auf dem Server laufen zu lassen (Remote Code Execution) und weitere Zugänge auszuspionieren. Diese Lücke bestand seit 8 (!) Jahren,
weil ein Installationstool auf einer Webseite vergessen worden war - die dann ihrerseits "völlig vergessen" wurde, wie mir der CIO sagte. Er könne nicht ausschließen, dass wir durch diese Lücke Zugang zu zentralen Systemen hätten bekommen können. #cybersecurity
Das Thema der "dezentralen Server" zog sich durch diese Recherche. Viele Unis fanden es weniger problematisch, weil: sind ja keine zentralen Server. Allerdings starten #Ransomware-Banden meis genau dort - bei der HAW Hamburg bot auch ein dezentraler Server den Einstieg.
Es gibt natürlich Verbindungen zu zentralen Servern - und seien es nur User, die das gleiche Passwort für mehrere Dienste verwenden. (Und das machen nach wie vor viele Leute!) Dank unverschüsselt abgelegter Passwörter wären wir da vermutlich fündig geworden. #itsicherheit
Die Reaktionen der Unis waren...interessant. Eine drohte uns mit dem Hackerparagrafen, eine andere mit dem Presserecht. Manche schlossen die Sicherheitslücken nur langsam, andere nahmen sofort die betroffenen Server vom Netz.
Besonders beeindruckt hat mich die Hochschule Trier, die Sonntags innerhalb von 2 Stunden reagierte, die Lücke schloss und den Vorfall sofort mit ausführlicher Erklärung veröffentlichte: hochschule-trier.de/rzht/it-dienst…
Update: Mindestens zwei Unis haben in Interviews mit Lokalzeitungen Dinge anders dargestellt, als wir sie in Erinnerung hatten. Beim Nachschauen haben wir bei der einen eine weitere kritische Lücke gefunden. Und die andere hatte die erste Lücke noch nicht geschlossen. 🤨#cyber
"...haben wir versehentlich eine weitere Sicherheitslücke bei Ihnen entdeckt..." Ansprechpartner:innen kenne ich ja zum Glück jetzt schon.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Die Vonovia nötigt ihren Mieter:innen smarte Rauchmelder auf. Das Gerät einer in China ansässigen Firma sammelt völlig unnötige Daten. Und wer seine eigenen Daten nutzen will, muss zustimmen, sie mit der Vonovia zu teilen. Über eine US-Cloud. Klingt absurd? Fand ich auch.
🧵
Diesen Spion müssen die Mieter:innen selbst bezahlen. Ablehnen dürfen sie ihn nicht. Die Vonovia wirbt damit, dass der Rauchmelder auch die Raumtemperatur, Luftfeuchtigkeit und den Kohlenmonoxid-Gehalt misst. "Lüftungsempfehlung- und Raumklima-Monitoring direkt in der App!"
Ich habe selten unsinnigere Smarthome-Ideen gesehen. Dabei bin ich durchaus Automatisierungsfan. Aber wer sich ein paar Gedanken macht, merkt schnell, dass man die meisten Sensordaten über das eigene Zuhause nicht im Internet haben will. Auch auch nicht braucht.
#teamdatenschutz
Ich habe mich SCHON WIEDER in fremde #Webex-Konferenzen eingeklinkt, diesmal bei einer deutschen Behörde (dem BAMF) und einer Krankenkasse. Und wenn ihr jetzt denkt, das hier ist "Und täglich grüßt das Murmeltier" kann ich nur sagen: Es ist noch schlimmer. 1/
#cybersecurity
Diesmal waren vermutlich alle Webex-Kund:innen betroffen (also nicht mehr nur OnPremise), wir haben zehntausende Meetings europäischer Behörden - von Bundeskanzleramt bis BSI - und Unternehmen offen im Netz gefunden und viele waren ohne Passwort-Schutz. 2/
Nach der Bundeswehr und der SPD mit ihrer On-Premise-Lösung hat es nun die Bundesregierung, das BSI und viele andere getroffen, die Webex in der Cloud nutzen und sich in falscher Sicherheit gewogen haben.
Frage ans #TeamDatenschutz: Darf mir ein Gericht einfach so Namen, Adressen und jede Menge anderer Daten von indirekt Beteiligten eines Verfahrens zuschicken? Diese alle (und ich) sind nur "Objekte" eines Streits zweier Parteien (nämlich der Rentenversicherung und eines Verlags).
(ich habe nicht danach gefragt, ich wusste nicht einmal, dass dieses Verfahren überhaupt läuft - bis ich ein Paket des Sozialgerichts erhielt mit den privaten Daten zig anderer freier Journalist:innen und Details zu deren Arbeits(nicht)verhältnis beim betreffenden Verlag.)
Als eine, die ihre Privatadresse schützen will, finde ich das keine besonders gute Nachricht, wenn die an x Journalist:innen verschickt wird.
Ich verrate die normalerweise niemandem, auch keinen Verlagen (manchmal muss ich dafür behaupten, ich würde im Coworking-Space wohnen 🤪)
Hatte übrigens gerade Kontakt mit einer #OZG-Leistung und kann nur sagen: Die macht alles sehr viel komplizierter als es vorher war. Usability: Zero. Nutzen für andere außer der Verwaltung: minus 10.
Haha ok, ich sehe schon, ihr wollt es genauer wissen. Ich musste eine Rechnung an eine Behörde stellen (für eine Moderation). Dafür drei Seiten Formular, Millionen Felder, teilweise unklar, was da rein muss. Alle nötigen Angaben habe ich natürlich auf meinem Rechnungsformular -
aber ich darf mein Rechnungsformular hier nicht verwenden, ich muss alle Angaben in diese Usability-Wüste eintragen. Nicht alle meine Ausgaben wurden angenommen - zb meine Fahrtkosten (obwohl ich sie eingetragen habe, erschienen sie einfach nicht in der Zusammenfassung). Dann
Sonntag! Zeit für die langen nachdenklicheren Texte. Dieser ist mir heute hängen geblieben, kann ich empfehlen: "Ziviler Ungehorsam ist also schon Klima-Terrorismus", schreibt @berndulrich - und warnt vor der Aggressivität der Vertreter solcher Argumente. zeit.de/2022/45/klimab…
"Zunächst mal müsste man sich von der Rechtsbruch-ist-Rechtsbruch-Apodiktik verabschieden und von dem Wort kriminell. Habermas hat schon vor vier Jahrzehnten die Redeweise, wie sie jetzt von Söder, Buschmann und vielen anderen wieder geübt wird, "autoritären Legalismus" genannt."
"Tatsächlich geht es bei der Klimakrise um eine potenzielle Menschheitskatastrophe, die die Mehrheitsregel ganz gefährlich an den Grenzen ihres eigenen Geltungsbereichs jonglieren lässt. Mehrheitsentscheidungen müssen nämlich im Prinzip reversibel sein,
Mich würde ernsthaft interessieren, wieso so viele seriöse Unternehmen in einem dubiosen #Cyber-Verein mit offenbar schon länger gut belegten Kontakten zum russischen Geheimdienst sind. Was übersehe ich? (vertrauliche Hinweise gerne auch per Threema oder Signal). #cyberclown
Ich habe inzwischen knapp 20 dieser Mitglieder gefragt - und teils interessante Antworten erhalten (demnächst auf @zeitonline). Eine Strategie des #Cybersicherheitsrat scheint auch zu sein, möglichst "große Namen" auf der Webseite zu zeigen, um seriöser zu wirken. Dabei ist es
dann zweitrangig, ob das aktive Mitglieder sind. Manche hatten ganz vergessen, dass sie beigetreten sind. Der Verein hat die Mitgliederliste inzwischen von der Website gelöscht - zum Glück habe ich heute früh noch ein paar Screenshots gemacht. #cyberclown