News Check-Point-Lücke: Hacker-Angriff auf CDU gravierender als erwartet

dev/random schrieb:
Bleibt zu hoffen, dass durch diesen Vorfall zumindest ein Lerneffekt einsetzt.
Irgendwie fehlt mir der Glaube daran
 
  • Gefällt mir
Reaktionen: Piktogramm
Silencium schrieb:
Ich lese die Kommentare und kann nur sagen: reflektiert euch und spart euch die Häme.
Sorry, wer für das Meldung von gefundenen Sicherheitslücken verklagt wird, statt wie bei anderen Unternehmen stattlich belohnt zu werden, muss sich nicht wundern, wenn man genau wegen einer solchen nicht mehr gemeldeten Lücke selbst Opfer wird.

Die haben die Auswirkungen ihrer eigenen Politik hautnah zu spüren bekommen und haben damit zurecht jeden Spott verdient!
 
  • Gefällt mir
Reaktionen: coldBug, Veitograf, tritratrullala und eine weitere Person
Duran schrieb:
Wer hat die 16 Jahre zuvor regiert? Genau, es war die CDU.
Wer hat digitale Verwaltungsgänge so lange aufgeschoben?
Ich verstehe das, aber die Lage ist m.E. inzwischen viel zu Ernst, um jetzt auf vergangene Verfehlungen rumzuhacken.

Das ist ein militärischer Angriff im Cyberraum auf eine demokratische Partei in Deutschland. Und somit ein Angriff auf uns.
Für Aufarbeitung wird später Zeit sein. Wenn es brennt, versucht man auch erstmal zu löschen und zu retten, und arbeitet den Fall dann auf.
 
Tamron schrieb:
Schön, dass du darüber so lachen kannst; das ist genau mein Job. Ich muss 45-60 jährigen erklären, dass ihre Arbeitsweise aus 2005 nicht mehr in 2024 richtig i

Ja das mag sein aber genauso wie du meinst die alten haben keine Ahnung kann man aber auch gegen argumentieren das es da genug gibt die Ahnung haben , sind in den 90er mit dem aufkommenden allgemeinen Internet aufgewachsen und haben sich an Passwort , Datensicherheit , doppelte Abfrage gewohnt ...

Ich kenne genug 20 jährige die gar nichts mit einem PC anfangen können , können gerade Mal an und ausschalten .... Seit es die Smartphone Generation gibt wo im Prinzip alles Pluginplay ist und gegebenfalls Passwortgeneratoren eingebaut sind verlernt man das umgehen mit Datensicherheit heutzutage auch immer mehr
 
  • Gefällt mir
Reaktionen: ro///M3o, tritratrullala und areiland
Muntermacher schrieb:
was vielleicht an Staatsgeheimnissen
Sehe ich nicht so als "Ziel" des Angreifers, da:
Piktogramm schrieb:
Das Problem ist, dass etwaige Akteure eben kein Full Disclosure fahren und etwaiges Wissen für Erpressung nutzen können um auf Entscheidungen durch etwaige Personen einzuwirken.
+1. Und wenn die politischen Entscheidungen getroffen sind, fällt es schwerer diese wieder zu korrigieren.
Wie im Fall Glyphosat. Auf DE-Ebene ist das Verbot ab 2024 entschieden worden. Bei der EU-Abstimmung wird sich enthalten und schwups, da es auf EU-Ebene erlaubt ist, ist es automatisch unzulässig es auf DE-Ebene zu verbieten.
https://www.bpb.de/kurz-knapp/hinte...die Umsetzung dieses Beschlusses rechtswidrig.

Piktogramm schrieb:
So ein Ding, bei dem alle privaten Vorteile die aus politischen Ämtern resultieren offengelegt würden würde ich ja durchaus begrüßen.
Richtig und wichtig. Und zwar zu dem Zeitpunkt, bevor der Politiker-Name auf irgendeiner Ankreuzliste erscheint.
scryed schrieb:
Seit wann gibt es auf Politiker Seite einen Lerneffekt ?
Das ist wie bei einer Herde Kühen. Es wird kurz aufgeschaut und danach einfach weiter gegrast.
Nebula123 schrieb:
wer für das Meldung von gefundenen Sicherheitslücken verklagt wird
Man stelle sich vor man findet im Supermarkt einen "gammligen" Pfirsich und wird dazu verdonnert die ganze O&G-Abteilung zu kaufen, plus Gebühr, plus Hausverbot...
Termy schrieb:
BSI und Hersteller auf Password-only gesetzt wird
Selbst ich muss für das "poplige" Mail-Programm am Desktop mich mit User+PW anmelden und muss dann über mein Handy ein Token anfordern, der gerätegebunden ist (Niemand kann für mich anfordern, ich kann für niemand anders anfordern) und nur 15 Sekunden gültig ist. Es ist zwar umständlich, aber vermittelt Sicherheit.
 
  • Gefällt mir
Reaktionen: ro///M3o
Slim.Shady schrieb:
Es ist zwar umständlich
Und selbst wenn 2FA für die Unionsclowns zu umständlich gewesen wäre, so hätte der ganze Angriff schon mit ganz simplen Device-Zertifikaten verhindert werden können...
 
  • Gefällt mir
Reaktionen: ro///M3o, M@tze, tritratrullala und eine weitere Person
Robert. schrieb:
Für Aufarbeitung wird später Zeit sein. Wenn es brennt, versucht man auch erstmal zu löschen und zu retten, und arbeitet den Fall dann auf.
Das hat man sich komplett selbst eingebrockt, das war Totalversagen. Sich über Konsequenzen eigener Entscheidungen zu beschweren ist halt maximal lächerlich, freundlich formuliert.
 
  • Gefällt mir
Reaktionen: tritratrullala und Termy
Whistl0r schrieb:
Hand auf Herz: Ist das bei eurem Arbeitgeber der Fall? Ich kenne nur ganz wenige Firmen, wo das der Fall ist. In der Regel sind die VPN-Zugangsdaten die E-Mailadresse und damit AD-Login womit man sich auch bei OWA anmelden kann. Ohne weiteren Faktor (bei O365 mag dann der 2FA Zwang aktiviert sein, wenn man nicht aus dem VPN zugreift -- hilft dem VPN aber nicht).

Kommt ja auf die VPN an. In der Regel brauche ich da ja noch mindestens ein Shared Secret damit das Gateway überhaupt die Verbindung zulässt bevor ich mich mit den AD-Nutzerdaten anmelde. 2FA wäre natürlich noch sicherer, es gibt aber auch da genug Firmen denen das dann zu umständlich wird da ja dann jeder ein Mobiltelefon bräuchte.

Ist halt noch nicht wirklich in den Geschäftsführungen angekommen dass Angriffe auf die IT Infrastruktur horrende Summen kostet selbst wenn man nur ein paar Tage nicht arbeiten kann (auch wenn keine Betriebsinterna abgeflossen ist).
 
  • Gefällt mir
Reaktionen: dahkenny
Was wurde an Daten genommen?
Der Bierverbrauch der Cdu pro Jahr?
Oder wie lange ein Kupferkabel sein kann?
In meiner Jugend, da hatten alle Parteien und Politiker sog. Hinterzimmer.
Und man rauchte und so weiter.
Waren die der Zeit vor raus? Ich denk nur an die Tschatverläufe der Oevp
bei uns in Wien, und so weiter.. Basti se short long man.. oder Pony Herbert..

ich würde das als echt alter weißer Sagg nur mit Digitaler Kalter Krieg 0,0 bezeichne.

Tip: Plinius der Jünger: AUS DEM SENAT..

do kannst no was lernen.. Tango Kurrupti :)
 
  • Gefällt mir
Reaktionen: ro///M3o
Muntermacher schrieb:
Die ganzen Schadenfreudler sollten sich mal fragen, was vielleicht an Staatsgeheimnissen dadurch in falsche Hände geriet.
Theoretisch sollten sich auf den Geräten einer Partei genau keine Staatsgeheimnisse befinden, da diese die Regierungs- bzw. Verwaltungs-Infrastruktur nicht verlassen sollten.
 
  • Gefällt mir
Reaktionen: ro///M3o
@dev/random
Stimme Dir zu, aber Unterschied Theorie/Praxis kennst Du, sonst hättest,Du nicht extra Theorie geschrieben. Leider steigt das Risiko mit der Anzahl der Nutzer.
Ergänzung ()

Duran schrieb:
Die SPD wurde nicht "vergessen". Sie war ja dabei und hat nichts eingewendet und nichts an Vorschlägen abgelehnt oder besser gemacht.
Sie wird aber nie erwähnt, es heißt immer nur pöse CDU. Ebensowenig wird gesagt, daß nach Wechsel zur Ampel die SPD unverändert weitermachte, z.B. bei VDS. Also war sie nicht einmal dagegen. Das ist Scheuklappendenken.
 
gustlegga schrieb:
Ich freu mich schon auf den Tag wenn du mal 55+ bist (vermutlich geh ich da schon auf die 90 zu), und dir dann irgendwelche +/-20-jährigen Hosenscheißer erklären wollen, dass so alte Säcke wie du ja keine Ahnung von PC & Internet haben.... ^^


Problem ist, dass diese Menschen auf ihrem hohen Ross sitzen und es nicht (mehr) im Griff haben und meinen die Weisheit mit den Löffeln gefressen zu haben. In Wahrheit versagen sie aber auf ganzer Linie. Ist meistens so mit alten Leuten, dass sie die Zeichen der Zeit nicht mehr lesen können und sich nicht anpassen, aber vor allem überschätzen sie sich, gerade im IT Sektor!
 
  • Gefällt mir
Reaktionen: ghecko, ro///M3o und Tamron
Generalsekretär Carsten Linnemann nannte den Angriff elegant

Ich bezweifle an der Stelle einfach mal äußerst stark dass ein Carsten Linnemann in der Lage ist, diesen Angriff einzuordnen oder zu bewerten...

Wie das BSI in einer Sicherheitswarnung mitteilt, sind nach aktuellem Kenntnisstand derzeit nur Nutzer durch die Schwachstelle gefährdet, bei denen der VPN-Zugang ausschließlich über lokale Benutzernamen-/Passwort-Kombinationen erfolgt. Check Point und das BSI empfehlen jedoch grundsätzliche, zusätzliche Authentisierungsmechanismen wie etwa Zertifikate zu verwenden. Das war bei der CDU offenbar nicht der Fall

Mit diesem Hintergrundwissen frage ich mich, was genau die "Eleganz" im Vorgehen der Hacker sein soll - das einzige, was ich hier erkennen kann, ist ein peinlich schlechtes Sicherheitsverständnis seitens der CDU. In dem Unternehmen (DAX Konzern) in dem ich arbeite, sind einfache user/password Kombinationen nach außen hin schon seit mehr als einem Jahrzehnt verboten (außer es wird 2FA verwendet)...
 
  • Gefällt mir
Reaktionen: ro///M3o
GR Supra schrieb:
Ja. Also Domain-Zugangsdaten in die Firewall von außen einzugeben, um das Netzwerk zu betreten, ist sehr unsicher.
Sowas wird leider viel zu oft gemacht.

Die CDU soll zusätzlich ohne Zertifikate gearbeitet haben.

Wenn das so ist, dann können die nichts wichtiges zu schützen gehabt haben.
Bedenke aber auch, dass eine Partei eine Art Verein ist. Da wird in der Regel jeder sein eigenes Gerät (BYOD) haben und keine zentral verwalteten Geräte. Da kann man auch nicht als Chef Dinge durchdrücken die man für richtig erachtet. Zudem muss man dafür sorgen, dass jemand ohne wirkliche IT-Kenntnisse aus irgendeinem Dorf-Verband sich einloggen kann.
Tamron schrieb:
Wer hat 2024 noch OWA im Einsatz und seinen Exchange nach außen veröffentlicht? :freak:
Das AD ist mit Entra ID synchronisiert und du hast auf deinem VPN Login einfach die Conditional Access Policies aktiviert. Anmeldung ist dann über SAML. Das ist jetzt nichts weltbewegendes, aber genug schrott Firewalls können sowas nicht wie bspw. Sophos.
Ich sprach von O365. Hybride Konfigurationen sind bei fast allen Mittelständlern anzutreffen. D.h. der Login für outlook.microsoft.com ist gleichzeitig der AD Login. Hier kann man dann zwar MFA erzwingen und Microsoft erkennt, dass der Zugriff nicht via VPN erfolgt und fordert dann MFA an -- es ändert aber nichts an dem Umstand, dass die gleichen Credentials eben auch beim VPN zum Einsatz kommen.
Benji21 schrieb:
Kommt ja auf die VPN an. In der Regel brauche ich da ja noch mindestens ein Shared Secret damit das Gateway überhaupt die Verbindung zulässt bevor ich mich mit den AD-Nutzerdaten anmelde. 2FA wäre natürlich noch sicherer, es gibt aber auch da genug Firmen denen das dann zu umständlich wird da ja dann jeder ein Mobiltelefon bräuchte.
In der Praxis die ich täglich erlebe, trifft man auf SSL-VPN via Cisco ASA und Co. und da braucht es kein Pre-Shared-Secret oder ähnliches. Klar, könnte man konfigurieren. Aber am Ende ist ein Pre-Shared-Secret meiner Meinung nach keine Hürde. Zumindest nicht in Firmen mit 120+ Mitarbeitern. Diese Secrets tauchen in Self-Service-Portalen auf und wurden seit Jahren nicht mehr geändert.


Man sollte sich anschauen wie solche Angriffe erfolgen. Ohne MFA/Zertifikat sind Brute-Force Angriffe mögliche. Aber wenn hier die VPN Appliance gegen AD authentifiziert, sollte zumindest die normale Sperre greifen -- d.h. nach x fehlerhaften Versuchen ist Schluss. Das ist zu meiner Überraschung ein sehr effektiver Schutz.

Das Problem ist nur: In der Regel erfolgt der Angriff über einen kompromittierten Rechner. Und spätestens dann wenn ich eben BYOD zulasse, habe ich keine Chance mehr. Hier hilft dann auch kein MFA mehr -- der Angreifer muss einfach nur warten bis der legitime Nutzer die Verbindung herstellt.

Versteht mich nicht falsch: Ich bin ein Freund von Zertifikat-basierten VPN Lösungen (sogar von Maschinen-Zertifikaten, denn diese können nicht einmal exportiert und auf einem anderen Rechner verwendet werden) und halte MFA über TOTP prinzipiell auch für eine sinnvolle Sache. Aber MFA ist auch nicht DIE Lösung.

Und ich bleibe dabei: Wenn die CDU wirklilch einem Angriff zum Opfer gefallen ist, der erst <14 Tagen zuvor durch den Hersteller disclosed wurde, dann fällt es mir schwer ihnen große Vorwürfe zu machen. Spotten ist immer sehr einfach. Auch so Aussagen wie von @Tamron, dass Firewalls noch am selben Tag aktualisiert gehören hat meiner Meinung nach nichts mit der Realität zutun. Kaum ein Hersteller bringt noch reine Sicherheitsupdates. Und zu oft geht irgendetwas schief. Als Verantwortliche Person muss man in der Praxis eben mehrere Dinge abwägen, dies ist keine binäre Entscheidung. Wer behauptet das sei anders, dem spreche ich ganz ehrlich jegliche Erfahrung ab.

Nur um ein Beispiel zu nennen: Seit 2024 kann man eigentlich keinen Windows Server problemfrei mehr aktualisieren. Es begann im Januar mit dem Update das scheitert, weil die Recovery Partition zu klein ist. Die Februar-Updates beinhalten einen Fix der WSUS und Exchange Server lahmlegt. Im März Update wurde NTML Authentifizierung kaputt gemacht sowie einen Memory Leak in LSASS eingeführt. Im April hat Microsoft bestimmte VPN-Konfigurationen (u.a. waren Verbindungen die auf Zertifikate angewiesen sind betroffen) kaputt gemacht. Der Versuch das LSASS Problem zu lösen, scheiterte und führte zu zusätzlichen Problemen. Die Mai-Updates liesen sich auf Servern je nach installierten Language Packs gar nicht erst anwenden. Trotzdem wird es Besserwisser geben die einem IT-Verantwortlichen Versäumnisse vorwerfen würden, wenn das Unternehmen durch eine Lücke die in diesen Patchen gefixt wurde, angegriffen wurde. Es bleibt also nur die Option das eigene Unternehmen durch Updates selber lahmzulegen, bevor es ein Angreifer tut. Ja ne, ist klar.

Nicht anders verhält es sich leider mit Updates für Cisco, FortiGate und Co.


PS: Das Adivsory https://support.checkpoint.com/results/sk/sk182336 wurde erst am 26.05 (Sonntag). veröffentlicht. Am 01.06 berichtete die tagesschau von dem Vorfall. 5 Tage. Und wer weiß: Vielleicht hat der Hack ja schon vor dem 26.05 stattgefunden und wurde nur durch die Prüfung im Rahmen der Mitigation letzte Woche festgestellt. So sehr ich auch spotten würde -- nach allen bislang bekannten Fakten finde ich, hat man leider keinen Grund dazu.
 
  • Gefällt mir
Reaktionen: n8mahr
Ich finde, das mehr deutsche Parteien israelischen Sicherheitsunternehmen ihre IT Sicherheit anvertrauen...
 
Naja nicht gleich kriminalisieren.
Jeden wird klar sein, dass die Polizei ein paar Werkzeuge braucht, die nicht an chats scheitern können.
die Politik muss den Ausgleich der Interessen schaffen.
 
GR Supra schrieb:
die nicht an chats scheitern können.
Hier gibt's aber nur ein entweder oder. Entweder meine Verschlüsselung funktioniert, oder sie ist nutzlos.

Sobald irgendwo ein "MasterKey" oder ähnliches existiert ist das System kompromitiert und das by Design. Interessenausgleich ist zwar eine schöne politische Phrase, aber technische Probleme kann man nicht politisch lösen, auch wenn das viele Leute gerne hätten.

@I'llbeback unter mir: Du meintest aber jetzt nicht mich sondern über mir denke ich doch? :)
 
Zuletzt bearbeitet: (Grammatik, Autokorektur berichtigen)
  • Gefällt mir
Reaktionen: ropf
Lies dir mal das von Mullvad durch, denke nicht das du die links gelesen hast bzw das prob mit sicherer Verschlüsselung verstehst.
Abgesehen davon erhält die Exekutive keinen Echtzeit Zugang zu Briefen oder Gesprächen, was da in der EU vorangetrieben wird ist übler als die Stasi.
 
  • Gefällt mir
Reaktionen: ropf und Xiaolong
Xiaolong schrieb:
Hier gibt's aber nur ein entweder oder. Entweder meine Verschlüsselung funktioniert, oder sie ist nutzlos.

Sobald irgendwo ein "MasterKey" oder ähnliches existiert ist das System kompromitiert und das by Design. Interessenausgleich ist zwar eine schöne politische Phrase, aber technische Probleme kann man nicht politisch lösen, auch wenn das viele Leute gerne hätten.

@I'llbeback unter mir: Du meintest aber jetzt nicht mich sondern über mir denke ich doch? :)
Technisch ein Argument, aber nicht rechtlich. Es geht aber um eine primär rechtliche Fragestellung.
Es wird und muss rechtlichen Ausgleich geben.

Und denke mal an die analoge Welt, ob es da einen Briefkasten oder Terseor gebe, den die StPO nicht öffnen würde.
 
Zurück
Oben