Mastodawn

Sabine Grützmacher

Da finden sich laut Recherche von Proton in dreistelliger Zahl Passwörter von Landtagsbgeordneten im Darknet und besonders häufig wird wohl die offizielle Mandatsadresse benutzt - und ein digitalpolitischer Sprecher der CDU empfiehlt häufiges Ändern der Passwörter.
Hoffen wir mal, dass im Wahlkampf nicht allzu viele Fotos mit den eigenen Haustieren auf Social Media gepostet wurden 🙄.
https://www.security-insider.de/daten-von-landtagsabgeordneten-im-darknet-entdeckt-a-92fd831dd58934cd1d7a91d8af231fab/

Daten von Landtagsabgeordneten im Darknet entdeckt

Ein Schweizer IT-Unternehmen hat im Darknet Login-Daten von 241 deutschen Landtagsabgeordneten gefunden. Teilweise mit offen lesbaren Passwörtern.

Security-Insider

kleiner Jedi May 13

@carlamelee Gibt es eigentlich für Abgeordnete Schulungen für IT-Security & Datenschutz von ihrem "Arbeitgeber", die den Anforderungen BSI/ISO 27001ff/DSGVO etc. entsprechen? Gibt es weiterhin Anforderungen durch Leit-/Richtlinien an Abgeordnete, nur Dienstgeräte (die hoffentlich von der Haus-IT entsprechend administriert sind, z.B. Erzwingung Passwort-Wechsel etc) für den Dienstgebrauch zu verwenden oder lebe ich als "Industrie-IT'ler" auf einem anderen Planeten 😉?

@kleinerJedi @carlamelee Das finde ich eine sehr gute berechtige Frage

kleiner Jedi May 13

@jthomi @carlamelee ... Berufskrankheit - war halt durch und durch nicht nur DSB, sondern genoss halt auch jahrelamg die Freuden von IT-Sec.-Audits in ISO27001 und IT-Revion durch Wirtschaftsprüfer für ISAE3402 & Co. bei Finanzdienstleistern & Telekommunikation 😅

Sabine Grützmacher May 14

@kleinerJedi @jthomi meine Berichterstattung in der letzten WP war irgendwann inoffiziell "die Spaßbremse" und mein Zweitname wäre bei noch ner Runde wahrscheinlich Kassandra geworden. Es gibt natürlich Schulungen, aber das Mandat ist ein freies Mandat. Ich hatte es so interpretiert, dass ich zwar gut 80 Mio Arbeitgeber*innen habe, aber trotzdem nicht mit allen Daten teilen wollte und deswegen an sowas teilgenommen und mich selber gekümmert habe.

Sabine Grützmacher May 14

@kleinerJedi @jthomi Es gibt Angebote, ich hatte nur den Eindruck, die die sie wahrgenommen haben, waren nicht unbedingt die, die Geburtsjahr+Vorname der Mutter für eine gute Idee hielten. Es wird natürlich von der IT auf einiges geschaut, aber ich persönlich würde es vorsichtig als "Luft nach oben" bezeichnen. Büroausstattung wird selbst gewählt, da kann dann die Funktastatur stehen...
Aber das betrifft nicht nur BT direkt, Fahrt im ICE auf bekannten Strecken lässt mich immer noch verzweifeln.

kleiner Jedi May 14

@carlamelee @jthomi Die Grundproblematik ist mir vertraut: Awareness bei Führungskräften: Während Mitarbeiter sich schon aus Sorge vor disziplinatischen Maßnahmen oftmals an Leit- und Richtlinien halten, glauben Führungskräfte gerne, dass sie über ihnen stehen. Vielleicht sollten auch Abgeordnete lernen, dass sie nicht über Vorgaben aus der IT-Sec stehen ... es gibt doch solche Vorgaben, oder 😎?

Sabine Grützmacher May 14

@kleinerJedi @jthomi fasst es gut zusammen, hab jetzt nicht nur ein Meme im Kopf ;). Es ist halt auch ne Frage von Kultur. Ist es eine Vorgabe, ist es ein "Angebot", ist es eine Leitlinie? BYOD heißt ja auch, einiges geht nur mit Zertifikat, bestimmten Freigaben. D.h. Zugriff gibt's halt nicht, wird das nicht eingehalten.
Aber die Ausstattung können MdB halt selber wählen. Auch im Wahlkreisbüro. Die Funktastatur, das WLAN im Wahlkreisbüro usw. Und ich sag jetzt besser nichts zu "WIFIonICE" 🙄.

kleiner Jedi May 14

@carlamelee @jthomi Deshalb plädiere ich dafür, dass auch für Abgeordnete wie MdB/MdL, die mit sensiblen Informationen des Gemeinwesens umgehen, verpflichtende Compliance-Regeln, aber auch entsprechende Unterstützung, eingeführt werden sollten. Wird wohl so manchem Abgeordneten nicht gefallen, aber Cybercrime ist zu gefährlich für "Eigenverantwortung".
Nach ITIL rede ich ausdrücklich erstmal von Diskussionen zum "Service-Design" und noch nicht Implementierung zukünftiger Maßnahmen.

Sabine Grützmacher May 14

@kleinerJedi @jthomi naja und dazu kommt, leider sitzt das größte Sicherheitsrisiko immer noch im Parlament.
Aus meinem Wahlkreis kommt Eugen Schmidt, wenn man sowas liest wie den Vorgang hier, müsste eigentlich jedem klar sein, dass es da mehr Sensibilisierung braucht:
https://www.zdf.de/nachrichten/politik/afd-sergijenko-agent-fsb-100.html

Der Angriff auf Hannah Neumann im EP, bei dem die DG Itec zum Glück schnell war, hat ja eigentlich deutlich gezeigt, wie hoch die Relevanz ist.

Kontakte zum FSB: AfD-Mitarbeiter ist wohl russischer Agent

Ein Mitarbeiter des AfD-Bundestagsabgeordneten Eugen Schmidt hat wohl Kontakte zum russischen Geheimdienst. Völlig skurril: Sein mutmaßlicher Verbindungsmann beim FSB ist Rapper.

ZDFheute

kleiner Jedi May 14

@carlamelee @jthomi "Doloses Handeln" geht natürlich erst recht nicht und muss entsprechend verfolgt werden. Der Auditor in mir würde allerdings auch hier fragen, ob die einstellende Instanz ihrer (gesetztlichen?) Verantwortung gerecht geworden ist...
P.S. zur re:publica kann ich übrigens leider wg. privater Feier nicht kommen - würde ich die platzen lassen, würden wiederum gegen mich schwerwiegende Maßnahmen von weiblichen Familienmitgliedern getroffen 😅

kleiner Jedi May 14

@carlamelee @jthomi ... oder private Geräte mit vertraulichen Inhalten nach Aserbaidschan schleppen - der musste noch sein 🤣

Sabine Grützmacher May 14

@kleinerJedi @jthomi die Bingokarte kann ich hier leider nicht öffentlich Posten 😅

kleiner Jedi May 14

@carlamelee @jthomi Danke für die Antwort, sowas hatte ich befürchtet....
Abgeordnete sind nach meiner Kenntnis per se Geheimnisträger - da ein sehr liberales Bring Your Own Device (BYOD) überhaupt zuzulassen, würde ich als Spaßbremse (😅) im Bericht als Major Finding einordnen...

Jan Kruse May 14

@kleinerJedi
Die Erzwingung des Passwortwechsels führt i. d. R. zu leichter knackbaren Passwörtern.
@carlamelee

Sabine Grützmacher May 14

@jkruse_de @kleinerJedi deswegen schrieb ich das. Mir war nicht bewusst, dass 2FA/Passkeys/ sich immer noch nicht Rum gesprochen hat. Es geht nur leider nicht nur um Passwörter, für mich fasst das den Stand der Digitalkompetenz zusammen (und ich bin da bestimmt auch nicht perfekt). Aber Proton hatte z.B
auch gezeigt, dass für vieles die Mandatsadresse genutzt wird, teilweise anscheinend wirklich ohne jede Reflektion.

kleiner Jedi May 14

@carlamelee @jkruse_de jetzt haben sich unsere Antworten überschritten: mir ging es nicht um PW-Krempel sondern um die Frage, ob und wie Abgeordnete unterstützt werden.

kleiner Jedi May 14

@jkruse_de @carlamelee bin auch kein allzu großer Freund von sowas, sollte auch nur ein Beispiel für die Frage sein - man könnte natürlich genauso nach voreingestellten Passwortkonventionen, Multi-Faktor-Zeugs, Mobile Device Management usw. fragen.
Also nochmals: Inwieweit werden Abgeordnete hier nach Security-Standards incl. Schulungen unterstützt?

Sabine Grützmacher May 14

@kleinerJedi @jkruse_de Unterstützung gibt es, Schulungen zur Sicherheit sind teilweise gut, direkte Beratungen abhängig davon, wer gerade kommt. Es sind aber halt Angebote, keine Pflicht. Pflicht ist bei ausgegebener IT, aber kann hier nicht alles episch ausbreiten. Bleibe bei Luft nach oben, aber das liegt daran, dass das keine Einbahnstraße ist, sondern beide Seiten (auch MdB) wollen müssen, da ist das Spektrum breit. Solltest du auf der re:publica oder nem nPA sein, meld dich gern mal.

kleiner Jedi May 14

@carlamelee @jkruse_de 👋👋👋