b0rn 2 l33t: Pistorius-Statement zu Taurusaffäre mit Passwort 1234 zum Download
Eine Audiodatei zum Taurus-Abhörvorfall lässt sich mit dem dümmsten Passwort aller Zeiten herunterladen. Der Fachmann lacht und der Zivilist wundert sich.
Bundeswehr / Beabeitung: heise online
Die unzureichend verschlüsselte Webex-Verbindung zwischen verschiedenen Luftwaffen-Offizieren ist kaum erkaltet, da sorgt eine Pressemitteilung zur Causa "Taurus-Leak" für Grinsen in den Redaktionen. Sie wurde nicht nur mit einem sehr beliebten Passwort geschützt – auch die Entwickler der Softwareplattform scheinen einem interessanten Humor zu frönen.
Bei aller aktuellen Schelte zu unverschlüsselten Webex-Sitzungen hochbrisanten Inhalts aus asiatischen Hotelzimmern – ein paar Sachen macht die Bundeswehr im Hinblick auf IT-Sicherheit durchaus vorbildlich. So findet sich direkt unter der Hauptdomäne "bundeswehr.de" eine offenbar korrekt gepflegte security.txt mit Hinweisen für Sicherheitsforscher und Melder von Lücken. Diese finden eine ausführliche und verständliche Security-Policy vor, nebst klarer Aussagen zu Strafbarkeiten und Erwartungen an (Whitehat-)Hacker. Jene können sich auf ewigen Ruhm in der Bundeswehr-Dankesseite freuen. Schritte, die das Melden von Sicherheitslücken erleichtern und von denen sich manches Großunternehmen eine Scheibe abschneiden sollte.
1234 muss für die Presse reichen
Aber warum, WARUM sichert die Pressestelle des BMVg dann ausgerechnet ein Audio-Statement des Verteidigungsministers zur Taurus-Abhöraffäre mit dem Passwort "1234"? Ist das eine Art Insider-Witz oder hatte da jemand einfach keine Lust, nach dem verdorbenen Wochenende am Montag den Nextcloud-eigenen Passwortgenerator ungestört seine Arbeit machen zu lassen? Der schlägt nämlich automatisch richtlinienkonforme Passwörter vor – wenn man ihn lässt. Andere Pressemitteilung aus Pistorius' Haus tragen dann auch durchaus sinnvolle Passwörter, die bei den ohnehin öffentlich freigegebenen Informationen vermutlich nur dem Schutz vor automatisierten Abrufen dienen.
Und klickt der geneigte Redakteur dann den Link – halb in Erwartung, unfreiwilliger Teilnehmer eines bundesweiten Phishing-Tests für Journalisten zu sein oder rickrolled zu werden – prangt ihm am unteren Rand der Downloadseite der vielsagende Hinweis "s6 dev gru ⚔ b0rn 2 l33t" entgegen. Beim munteren Akronymeraten fällt beim ersten Teil das "GRU" ins Auge – die geläufige Abkürzung für den Главное разведывательное управление, vulgo den russischen Militärgeheimdienst. "b0rn 2 l33t" hieß hingegen in den späten Neunzigern gefühlt jeder zweite CounterStrike-Spieler; offenbar verbirgt sich hinter dem Pseudonym ein eSport-begeisterter Soldat oder eine Soldatin.
Der Fachmann staunt, der Laie wundert sich: Was mag hinter der seltsamen Bezeichnung stecken – ein Insider zwischen Softwareentwicklern, der es bis zur Live-Umgebung geschafft hat? Oder stecken gar finstere Mächte dahinter? Letzteres scheint unwahrscheinlich: Die Nextcloud-Plattform der Bundeswehr ist nur wenige Wochen hinter dem aktuellen Versionsstand und hat laut Nextcloud-Scanner keine möglichen Sicherheitslücken. Wenigstens das bleibt den Leidgeprüften im Bendlerblock erspart.
(cku)
