Abo
  • Services:

Alte Owncloud und Nextcloud-Versionen: Parteien und Ministerien nutzen unsichere Cloud-Dienste

Das BSI warnt Organisationen und Parteien vor Schwachstellen in ihren Cloud-Diensten. Viele haben bis heute nicht darauf reagiert. Golem.de konnte entsprechende Warnungen nachvollziehen: Die AfD nutzt ein abgelaufenes Zertifikat für ihre Subdomain, die Grünen sehen einen Dienstleister in der Pflicht.

Artikel von veröffentlicht am
Nextcloud warnte den Cert-Bund vor Schwachstellen in zahlreichen Installationen.
Nextcloud warnte den Cert-Bund vor Schwachstellen in zahlreichen Installationen. (Bild: Nextcloud)

Mehrere Parteien und Ministerien nutzen offenbar alte Versionen von Owncloud und dem inoffiziellen Nachfolger Netxtcloud, um vertrauliche Informationen zu speichern - betroffen sind unter anderem die AfD und die Grünen, auch das Büro der Vereinten Nationen in Genf ist betroffen. Das berichtet Spiegel Online unter Bezug auf Informationen des Bundesamtes für Sicherheit in der Informationstechnik, Nextcloud selbst hat ebenfalls einen Blogpost verfasst.

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. Bosch Gruppe, Berlin

Im Falle der AfD wurde nach Angaben des Spiegel ungepatchte Software aus dem Jahr 2013 genutzt, dem Gründungsjahr der Partei. Genauere Angaben macht der Spiegel nicht. Angreifer hätten sich "mit wenigen Tricks Zugang zu den Inhalten der Cloud und zu anderen Servern der Partei" verschaffen können. Golem.de konnte die Warnungen am Beispiel der AfD nachvollziehen, so war zum Beispiel das Sicherheitszertifikat der Partei abgelaufen.

"Stark veraltete Softwareversion"

Auch die Grünen sollen "eine stark veraltete Softwareversion" genutzt haben, die zahlreiche Angriffsflächen biete. Die Partei sieht die Verantwortung dafür bei einem Dienstleister. Denn die Plattform werde von "einem externen Dienstleister betrieben, der auch für die Sicherheit verantwortlich" sei. "Insofern war von unserer Seite keine Reaktion notwendig."

Auf Anfrage von Golem.de sagte Lukas Reschke, bei Nextcloud für den Bereich Security zuständig: "Wir haben Owncloud- und Nextcloud-Instanzen mit unserer Software gegen bekannte Sicherheitslücken getestet und diese Ergebnisse an das Computer Emergency Response Team des Bundes (Cert-Bund) weitergegeben. Wir freuen uns, dass die Behörde die notwendigen Schritte unternommen hat, um Nutzer über die Schwachstellen zu informieren." Bei den getesteten Fehlern handelt es sich also nicht um unbekannte Schwachstellen (0-Day-Exploits), daher empfiehlt Reschke:"Alle Kunden sollten auf die neueste verfügbare Version wechseln."

Das BSI warnt vor der weiteren Verwendung der unsicheren Instanzen, Angreifer könnten Informationen ausspionieren und für Erpressungen nutzen. Weiter heißt es: "Andere Schwachstellen ermöglichen Angreifern die Ausführung beliebigen Programmcodes auf dem Cloud-Server. Dies kann gegebenenfalls zu einer vollständigen Kompromittierung des Systems und dessen Missbrauch für weitere kriminelle Aktivitäten führen", sagte ein BSI-Sprecher Spiegel Online.



Anzeige
Hardware-Angebote
  1. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten
  2. 119,90€
  3. (reduzierte Überstände, Restposten & Co.)

tha_specializt 09. Mär 2017

Richtig. Man benötigt schon einen gewissen Intellekt um zu verstehen was ich damit...

mmarcel 07. Mär 2017

Ich hatte jetzt knapp 4 Jahre erst ownCloud und dann nextCloud für mich privat im...

dmark 07. Mär 2017

Passt zur Digitalpolitik der Parteien (bis auf vielleicht die der Piraten).

cpt.dirk 07. Mär 2017

Ob die Server der Pöbel-AfD unsicher sind, ist doch wohl völlig Banane. Passt aber zu...

ICH_DU 06. Mär 2017

Der Wartungsmodus aktiviert sich von alleine sobald du das Update startest... Ich mach...


Folgen Sie uns
       


God of War - Interview mit Cory Barlog (Gamescom 2018)

Cory Barlog spricht auf der Gamescom 2018 darüber, wie viel von seinem Privatleben in das Actionspiel geflossen ist.

God of War - Interview mit Cory Barlog (Gamescom 2018) Video aufrufen
Gesetzesvorschlag: Regierung fordert Duldung privater Ladesäulen
Gesetzesvorschlag
Regierung fordert Duldung privater Ladesäulen

Die Bundesregierung hat ihren Entwurf zur Förderung privater Ladestationen für Elektroautos vorgelegt. Sowohl Mieter als auch Eigentümer erhalten damit einen gesetzlichen Anspruch. Aber es kann sehr teuer werden.
Ein Bericht von Friedhelm Greis

  1. Sono Motors Elektroauto Sion für 16.000 Euro schon 7.000 Mal reserviert
  2. Elektromobilität iEV X ist ein Ausziehelektroauto
  3. Elektroautos Bundesrechnungshof hält Kaufprämie für unwirksam

Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. Threadripper 2990X AMDs 32-Kerner soll mit 4,2 GHz laufen
  2. AMD Threadripper v2 mit 32 Kernen erscheint im Sommer 2018
  3. Raven Ridge AMDs Athlon kehrt zurück

IT-Jobs: Achtung! Agiler Coach gesucht?
IT-Jobs
Achtung! Agiler Coach gesucht?

Überall werden sie gesucht, um den digitalen Wandel voranzutreiben: agile Coaches. In den Jobbeschreibungen warten spannende Aufgaben, jedoch müssen Bewerber aufpassen, dass sie die richtigen Fragen stellen, wenn sie etwas bewegen möchten.
Von Marvin Engel

  1. Wework Die Kaffeeautomatisierung des Lebens
  2. IT-Jobs Fünf neue Mitarbeiter in fünf Wochen?
  3. Frauen in IT-Berufen Programmierte Klischees

    •  /