Awareness für IT Security – Worst Practice ever

Die Bundeswehr ist gerade in den Schlagzeilen, weil ein Gespräch zwischen mehreren hochrangigen Teilnehmern über WebEx von russischen Teilnehmern mit verfolgt wurde.

Die Medien berichten dementsprechend auch darüber.

Das ganze dürfte jeden, der ein bißchen IT Erfahrung hat, seelische Schmerzen bereiten. Und bundesweit viele Tischkanten und Tastaturen durch Facepalms beschädigen.

Es liegt definitiv ein mehrfacher Fail vor, der nicht nur vor dem eigentlichen Vorfall begann, sondern danach noch weiterging:

Part 1: Verkacken durch die Wahl von WebEx

Part 2: Regelwidrig darüber Gespräche hoher Geheimhaltungssstufe führen, obwohl es nur für VS zugelassen ist.

Part 3: Die Gäste im Raum nicht kontrollieren, bevor losgeplappert wird

Part 4: In der Tagesschau wird von „Cyberattacke“ gesprochen (Aua, diese Schmerzen!)

Part 5a) Pressestatement des Ministeriums. Klar, sollte öffentlich sein… Wird als MP3 Datei verfasst. Und in der Presseseite des Bundesministeriums unter der URL veröffentlicht: https://www.bmvg.de/de/presse/statement-minister-zur-abgehoerten-luftwaffen-kommunikation-5751952

Screenshot der Website des Bundesministeriums de vertediigung mit der Pressemeldung, die auf einen LInk bei der Bundeswehr zeigt und darunter ein Passwort 1234 angibt.

Part 5b) Diese MP3 wird auf einer Nextcloud-Installation unter der Bundeswehr-Domain abgelegt. Konkret auf der „Pilotumgebung Link and Learn“.

Screenshot der Nextcloud testumgebung der Bundeswehr in der die Datei mit dem Statement als MP3 zu sehen ist.

Part 5b) Mit einem Passwort 1234.

Es tut so weh…

Dass angeblich die Website des Bundesministeriums keine 13 MB große MP3 vorhalten kann und deswegen eine Testinstallation von Netxcloud bei der Bundeswehr genutzt werden soll… lässt fragen ob das ein praktischer Joke ist.

 

Auf alle Fälle zeigt das ganze: IT Security Awareness ist hier ein Fremdwort. Oder wird bewusst verkackeiert.