Politische Leaks: Parteien schlampen bei Sicherheit der Cloud-Server

Groß ist die Angst bei den Parteien, dass Angreifer ihre Systeme kapern und dann vertrauliche Informationen erbeuten, die dann als politischer Leak an die Öffentlichkeit gelangen. Dennoch setzen die Parteien bisweilen auf veraltete Cloud-Dienste, selbst nach Hinweisen des BSI wurde nicht reagiert, berichtet der Spiegel.

Demnach sind vor allem Cloud-Dienste wie ownCloud und Nextcloud betroffen, die es den Nutzern zwar ermöglichen, private Server zu betreiben und damit unabhängig von großen Anbietern wie Amazon und Dropbox zu sein. Dafür muss man sich aber auch selbst um die Updates kümmern. Und da haben laut dem Spiegel-Bericht sowohl Parteien als auch Ministerien und Organisationen wie die Uno versagt.

„Eklatante Sicherheitslücken“

Im Fall der AfD geht es etwa um einen Server, dessen Software aus dem Jahr 2013 ist – also dem Gründungsjahr der Partei. Mit „wenigen Tricks“ könnten Hacker diesen nun übernehmen. Zusätzlich wäre es zudem noch möglich, darüber weitere Server der Partei zu infiltrieren. Vor der kritischen Sicherheitslücke habe das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits gewarnt. Doch weder auf Anfrage des BSI, noch auf eine des Spiegels habe die AfD reagiert.

Ein ähnliches Problem besteht bei einem Server der Grünen. Auf den Hinweis des BSI soll die Partei ebenfalls nicht reagiert haben, gegenüber dem Spiegel erklärte man allerdings, dass der Server bald abgeschaltet werde. Zudem sei ein externer Dienstleister für den Betrieb verantwortlich, die IT-Sicherheit falle daher in dessen Aufgabenbereich.

Solche „teils kritischen Schwachstellen“ beschreibt das BSI gegenüber dem Spiegel als heikel, weil eben nicht nur die Daten auf einem bestimmten Server gefährdet sind. Angreifer können zudem noch Schadcode einschleusen, um weitere Systeme zu kompromittieren.

Veraltete Server-Software in Zeiten politischer Leaks

Besonders brisant ist die Meldung, weil es zuletzt oft die Vertreter der Parteien waren, die vor politischen Leaks warnen. Selbst verschärfte Gesetze wurden gefordert. Als mahnendes Beispiel gelten die Vorfälle bei der US-Demokratischen Partei während des Präsidentschaftswahlkampfs.

Damit sich so etwas nicht bei der Bundestagswahl in diesem Jahr wiederholt, hatte zuletzt etwa BSI-Präsident Arne Schönbohm erklärt, die Parteien müssten ihre Systeme auf dem aktuellen Stand halten, um sich vor Angreifern zu schützen. Das sei aber nicht ohne weiteres möglich, da es sich bei den Parteien von der Organisation her um mittelständische Unternehmen handelt, bei denen die Ressourcen knapp sind.

Nun betrifft das Problem nicht nur Parteien. Auch beim Genfer Büro der Vereinten Nationen (UNO) soll ein veralteter Server im Einsatz sein. Mittlerweile wurde aber angekündigt, alsbald Updates einzuspielen. Ebenso sollen das Bundesinnenministerium, die Konrad-Adenauer-Stiftung und die Landesregierung Nordrhein-Westfalen ihre Server erst dann wieder auf den neuesten Stand gebracht haben, als ein Hinweis vom BSI erfolgte.

Nextcloud: Privatsphäre erfordert aktuelle Software

Zu Wort gemeldet hat sich auch Nextcloud infolge des Spiegel-Berichts. In einer Stellungnahme erklärt der Anbieter, dass Nutzer ihre Cloud-Server auf dem aktuellen Stand halten müssen. „Leider bedeutet Privatsphäre nicht viel ohne Sicherheit und es ist nicht trivial, einen Server sicher zu betreiben.“ Um Administratoren den Job zu erleichtern, hat Nextcloud daher etwa den Update-Prozess vereinfacht.