Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsNachlässigkeiten in der Verwaltung: Wie ehemalige Behörden-Domains zu Sicherheitsrisiken werden
Behörden und Verwaltungen verwenden eine Vielzahl an Domains. Wenn diese aber nicht mehr benötigt und aufgegeben werden, können diese sich zu einer Schwachstelle entwickeln. Von einem Fall beim Bundesamt für Migration und Flüchtlinge (BAMF) berichten Netzpolitik.org und das im Bereich Cybersicherheit tätige Start-up Mint Secure.
Es wäre schlauer gewesen von Anfang an eine .de Subdomain gänzlich für Behörden zu reservieren und dann darunter die einzelnen Behörden-Domains zu registrieren, wie z.B. in UK wo .gov.uk verwendet wird.
Ein Dauerproblem auch im nicht öffentlichen Sektor. Dank Diensten wie AWS die teilweise munter IPs switchen dann noch einmal extra problematisch.
Im öffentlichen Sektor aber natürlich durch den Schutzwert gewisser Daten noch einmal kritischer…
Es wäre schlauer gewesen von Anfang an eine .de Subdomain gänzlich für Behörden zu reservieren und dann darunter die einzelnen Behörden-Domains zu registrieren, wie z.B. in UK wo .gov.uk verwendet wird.
Auch im privaten Bereich eindeutig ein Problem. Ich habe auch mal 3 Domains aufgegeben, nicht gleichzeitig, die wurden danach sofort neuregistriert und mir zum rückkauf für 1000-5000 USD angeboten. Kann man freigewordene Domains nicht einfach 6 oder 12 Monate sperren?
Behörden sollten alte Domains bestensfalls mindestens 25 Jahre nach abschaltung halten, dann wäre schonmal ein guter Schritt getan oder so wie in anderen ländern spezielle TLDs haben, die dann für nicht-Behörden einfach gesperrt sind.
Anstatt alle Behörden unter "bundes-behörden.de" oder sowas zu bündeln.
Aber das wäre für die Bürger ja zu logisch, und damit zu einfach.😏
Das ist nur ein weiters Beispiel das die über Bürokratie diesem Land immer mehr schadet.
Aber keine Partei in diesem Land traut sich ja ernsthaft daran das zu ändern.🙄
Man muss halt auch sagen, da fehlt auch vielfach das Know-How.
Das sieht man ja schon allein daran, wie mit der Computerwelt umgegangen wird. Da wird halt mit Verboten gearbeitet (z.B: Hackerparagraph) oder inszenatorisch irgendwie ein Cyber-Abwehrzentrum nach vorne gestellt, anstatt halt wirklich mal die Basis-Arbeit zu machen.
Und wenn dann mal was passiert, wars dann auch nicht die eigene Unfähigkeit, sondern "der Russe".
Das ist einfach das Mindset, was da vorherrscht. Und das wundert ja auch nicht. Ich meine, wie attraktiv ist der Staat als Arbeitgeber?
Aber auch die Leute die in der Spitzen-Politik sind halt vielfach schon etwas betagt. Klar das die dann nicht mit so in dem drin stecken, was da so an neumodischen Krams läuft. Und muss man dann ja vielleicht auch gar nicht, weil man dafür ja Berater hat. Aber wenn man dann am Ende doch vielfach das macht, was irgendwelche Lobbyisten sagen (also: Wirtschaftsförderung), dann kommt halt genau das raus, was wir hier bestaunen können.
Und dann schmückt man sich hier und da mal mit (überteuerten) Leuchtturm-Projekten, aber die ganze Basis-Arbeit die nicht so ruhmreich ist, die aber auf lange Sicht viel mehr bringen würde, bleibt dann liegen.
Ergänzung ()
MonteDrago schrieb:
Aber das wäre für die Bürger ja zu logisch, und damit zu einfach
Dass da noch Anfragen an eine alte Domain gehen ist unschön, aber kann ich mit zwei zugekniffenen Augen unter "jeder macht Fehler" verbuchen.
Was ich erschreckender finde: seit September wissen die davon und konnten das Problem bis heute nicht komplett eindämmen??? Was wäre, wenn da jetzt tatsächlich ein böswilliger Akteur die Domain hätte? Sowas hat noch in der gleichen Woche gefixt zu sein über alle Behörden hinweg und das ist noch wohlwollend finde ich.
Darüber muss ich auch immer lachen. Unfähig, die eigene IT abzusichern, aber nach erfolgreichem Angriff weiss man nach zwei Tagen, dass es "der Russe" war.
Nicht, dass ich es den Russen nicht zutrauen würde. Aber ich traue es eben den hiesigen Verantwortlichen nicht zu, das mit Bestimmtheit herausgefunden haben zu können. Mit einer Geolokation einer IP ist es bei weitem nicht getan. Als ob Angreifer direkt von ihrem Desktop aus "loshacken" würden. Nicht ohne Grund sind auch "uninteressante" (im Sinne von "beinhalten keine interessanten Daten") IT-Systeme für Hacker interessant: Als Relais zur Verschleierung der Herkunft.
Nicht ohne Grund sind auch "uninteressante" (im Sinne von "beinhalten keine interessanten Daten") IT-Systeme für Hacker interessant: Als Relais zur Verschleierung der Herkunft.
Jepp, deswegen kommt von mir auf so dumme Sprüche wie "Ich hab ja nichts zu verbergen" oder "bei mir gibt's nichts zu holen" nur immer nur die Antwort:
"Dann erkläre mal dem Einsatzkommando um halb 6 Uhr morgens, das du nicht der böse Hacker bist, der das Atomkraftwerk lahmgelegt hat!, viel Spaß dabei."🙄🤷♂️
Und das kostet wieder Geld und wenn es dann gemacht werden würde würden unsere ach so qualifizierten Medien wieder wegen Steuergeldverschwendung heulen.
Es wäre schlauer gewesen von Anfang an eine .de Subdomain gänzlich für Behörden zu reservieren und dann darunter die einzelnen Behörden-Domains zu registrieren, wie z.B. in UK wo .gov.uk verwendet wird.
