- Registriert
- Jan. 2018
- Beiträge
- 18.876
Irgendwie fehlt mir der Glaube darandev/random schrieb:Bleibt zu hoffen, dass durch diesen Vorfall zumindest ein Lerneffekt einsetzt.
Folge dem Video um zu sehen, wie unsere Website als Web-App auf dem Startbildschirm installiert werden kann.
Anmerkung: Diese Funktion ist in einigen Browsern möglicherweise nicht verfügbar.
Irgendwie fehlt mir der Glaube darandev/random schrieb:Bleibt zu hoffen, dass durch diesen Vorfall zumindest ein Lerneffekt einsetzt.
Sorry, wer für das Meldung von gefundenen Sicherheitslücken verklagt wird, statt wie bei anderen Unternehmen stattlich belohnt zu werden, muss sich nicht wundern, wenn man genau wegen einer solchen nicht mehr gemeldeten Lücke selbst Opfer wird.Silencium schrieb:Ich lese die Kommentare und kann nur sagen: reflektiert euch und spart euch die Häme.
Ich verstehe das, aber die Lage ist m.E. inzwischen viel zu Ernst, um jetzt auf vergangene Verfehlungen rumzuhacken.Duran schrieb:Wer hat die 16 Jahre zuvor regiert? Genau, es war die CDU.
Wer hat digitale Verwaltungsgänge so lange aufgeschoben?
Tamron schrieb:Schön, dass du darüber so lachen kannst; das ist genau mein Job. Ich muss 45-60 jährigen erklären, dass ihre Arbeitsweise aus 2005 nicht mehr in 2024 richtig i
Sehe ich nicht so als "Ziel" des Angreifers, da:Muntermacher schrieb:was vielleicht an Staatsgeheimnissen
+1. Und wenn die politischen Entscheidungen getroffen sind, fällt es schwerer diese wieder zu korrigieren.Piktogramm schrieb:Das Problem ist, dass etwaige Akteure eben kein Full Disclosure fahren und etwaiges Wissen für Erpressung nutzen können um auf Entscheidungen durch etwaige Personen einzuwirken.
Richtig und wichtig. Und zwar zu dem Zeitpunkt, bevor der Politiker-Name auf irgendeiner Ankreuzliste erscheint.Piktogramm schrieb:So ein Ding, bei dem alle privaten Vorteile die aus politischen Ämtern resultieren offengelegt würden würde ich ja durchaus begrüßen.
Das ist wie bei einer Herde Kühen. Es wird kurz aufgeschaut und danach einfach weiter gegrast.scryed schrieb:Seit wann gibt es auf Politiker Seite einen Lerneffekt ?
Man stelle sich vor man findet im Supermarkt einen "gammligen" Pfirsich und wird dazu verdonnert die ganze O&G-Abteilung zu kaufen, plus Gebühr, plus Hausverbot...Nebula123 schrieb:wer für das Meldung von gefundenen Sicherheitslücken verklagt wird
Selbst ich muss für das "poplige" Mail-Programm am Desktop mich mit User+PW anmelden und muss dann über mein Handy ein Token anfordern, der gerätegebunden ist (Niemand kann für mich anfordern, ich kann für niemand anders anfordern) und nur 15 Sekunden gültig ist. Es ist zwar umständlich, aber vermittelt Sicherheit.Termy schrieb:BSI und Hersteller auf Password-only gesetzt wird
Und selbst wenn 2FA für die Unionsclowns zu umständlich gewesen wäre, so hätte der ganze Angriff schon mit ganz simplen Device-Zertifikaten verhindert werden können...Slim.Shady schrieb:Es ist zwar umständlich
Das hat man sich komplett selbst eingebrockt, das war Totalversagen. Sich über Konsequenzen eigener Entscheidungen zu beschweren ist halt maximal lächerlich, freundlich formuliert.Robert. schrieb:Für Aufarbeitung wird später Zeit sein. Wenn es brennt, versucht man auch erstmal zu löschen und zu retten, und arbeitet den Fall dann auf.
Whistl0r schrieb:Hand auf Herz: Ist das bei eurem Arbeitgeber der Fall? Ich kenne nur ganz wenige Firmen, wo das der Fall ist. In der Regel sind die VPN-Zugangsdaten die E-Mailadresse und damit AD-Login womit man sich auch bei OWA anmelden kann. Ohne weiteren Faktor (bei O365 mag dann der 2FA Zwang aktiviert sein, wenn man nicht aus dem VPN zugreift -- hilft dem VPN aber nicht).
Theoretisch sollten sich auf den Geräten einer Partei genau keine Staatsgeheimnisse befinden, da diese die Regierungs- bzw. Verwaltungs-Infrastruktur nicht verlassen sollten.Muntermacher schrieb:Die ganzen Schadenfreudler sollten sich mal fragen, was vielleicht an Staatsgeheimnissen dadurch in falsche Hände geriet.
Sie wird aber nie erwähnt, es heißt immer nur pöse CDU. Ebensowenig wird gesagt, daß nach Wechsel zur Ampel die SPD unverändert weitermachte, z.B. bei VDS. Also war sie nicht einmal dagegen. Das ist Scheuklappendenken.Duran schrieb:Die SPD wurde nicht "vergessen". Sie war ja dabei und hat nichts eingewendet und nichts an Vorschlägen abgelehnt oder besser gemacht.
gustlegga schrieb:Ich freu mich schon auf den Tag wenn du mal 55+ bist (vermutlich geh ich da schon auf die 90 zu), und dir dann irgendwelche +/-20-jährigen Hosenscheißer erklären wollen, dass so alte Säcke wie du ja keine Ahnung von PC & Internet haben.... ^^
YouTubeAn dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.
Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personenbezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
Generalsekretär Carsten Linnemann nannte den Angriff elegant
Wie das BSI in einer Sicherheitswarnung mitteilt, sind nach aktuellem Kenntnisstand derzeit nur Nutzer durch die Schwachstelle gefährdet, bei denen der VPN-Zugang ausschließlich über lokale Benutzernamen-/Passwort-Kombinationen erfolgt. Check Point und das BSI empfehlen jedoch grundsätzliche, zusätzliche Authentisierungsmechanismen wie etwa Zertifikate zu verwenden. Das war bei der CDU offenbar nicht der Fall
Bedenke aber auch, dass eine Partei eine Art Verein ist. Da wird in der Regel jeder sein eigenes Gerät (BYOD) haben und keine zentral verwalteten Geräte. Da kann man auch nicht als Chef Dinge durchdrücken die man für richtig erachtet. Zudem muss man dafür sorgen, dass jemand ohne wirkliche IT-Kenntnisse aus irgendeinem Dorf-Verband sich einloggen kann.GR Supra schrieb:Ja. Also Domain-Zugangsdaten in die Firewall von außen einzugeben, um das Netzwerk zu betreten, ist sehr unsicher.
Sowas wird leider viel zu oft gemacht.
Die CDU soll zusätzlich ohne Zertifikate gearbeitet haben.
Wenn das so ist, dann können die nichts wichtiges zu schützen gehabt haben.
Ich sprach von O365. Hybride Konfigurationen sind bei fast allen Mittelständlern anzutreffen. D.h. der Login für outlook.microsoft.com ist gleichzeitig der AD Login. Hier kann man dann zwar MFA erzwingen und Microsoft erkennt, dass der Zugriff nicht via VPN erfolgt und fordert dann MFA an -- es ändert aber nichts an dem Umstand, dass die gleichen Credentials eben auch beim VPN zum Einsatz kommen.Tamron schrieb:Wer hat 2024 noch OWA im Einsatz und seinen Exchange nach außen veröffentlicht?
Das AD ist mit Entra ID synchronisiert und du hast auf deinem VPN Login einfach die Conditional Access Policies aktiviert. Anmeldung ist dann über SAML. Das ist jetzt nichts weltbewegendes, aber genug schrott Firewalls können sowas nicht wie bspw. Sophos.
In der Praxis die ich täglich erlebe, trifft man auf SSL-VPN via Cisco ASA und Co. und da braucht es kein Pre-Shared-Secret oder ähnliches. Klar, könnte man konfigurieren. Aber am Ende ist ein Pre-Shared-Secret meiner Meinung nach keine Hürde. Zumindest nicht in Firmen mit 120+ Mitarbeitern. Diese Secrets tauchen in Self-Service-Portalen auf und wurden seit Jahren nicht mehr geändert.Benji21 schrieb:Kommt ja auf die VPN an. In der Regel brauche ich da ja noch mindestens ein Shared Secret damit das Gateway überhaupt die Verbindung zulässt bevor ich mich mit den AD-Nutzerdaten anmelde. 2FA wäre natürlich noch sicherer, es gibt aber auch da genug Firmen denen das dann zu umständlich wird da ja dann jeder ein Mobiltelefon bräuchte.
Hier gibt's aber nur ein entweder oder. Entweder meine Verschlüsselung funktioniert, oder sie ist nutzlos.GR Supra schrieb:die nicht an chats scheitern können.
Technisch ein Argument, aber nicht rechtlich. Es geht aber um eine primär rechtliche Fragestellung.Xiaolong schrieb:Hier gibt's aber nur ein entweder oder. Entweder meine Verschlüsselung funktioniert, oder sie ist nutzlos.
Sobald irgendwo ein "MasterKey" oder ähnliches existiert ist das System kompromitiert und das by Design. Interessenausgleich ist zwar eine schöne politische Phrase, aber technische Probleme kann man nicht politisch lösen, auch wenn das viele Leute gerne hätten.
@I'llbeback unter mir: Du meintest aber jetzt nicht mich sondern über mir denke ich doch?