Lustige Newsletter vom Bundesinnenministerium

Unser cholerischer Innenminister (seine cholerischen Anfälle ("Aktenschmeißer") und die verängstigten Mitarbeiter sind in der Presse immer mal wieder thematisert worden, zur Zeit gibts "Spannungen" mit dem Minsterium von Fischer) dürfte wahrscheinlich am Montag einen Tobsuchtanfall bekommen und seine Listadmins verprügeln. Die tun mir jetzt schon leid.

Noch eine kleine Annektdote: Schily sagte kürzlich über sich selbst in einem Interview mit der Zeit: "Ich bin eine Mischung, ein liberaler Grüner in der Sozialdemokratie." ( http://zeus.zeit.de/text/2005/03/matinee_schily)

Am Freitag wurde das Email-System vom FBI abgeschaltet, weil ein Einbruch in selbiges vermutet wird.

Aber lest selber:
--- schnipp ---
"The FBI said Friday it has shut down an e-mail system that it uses to communicate with the public because of a possible security breach. The bureau is investigating whether someone hacked into the www.fbi.gov e-mail system, which is run by a private company, officials said. 'We use these accounts to communicate with you folks, view internet sites, and conduct other non-sensitive bureau business such as sending out press releases,' Special Agent Steve Lazarus, the FBI's media coordinator in Atlanta, said in an e-mail describing the problem."
--- schnapp ---

Mehr bei:
 http://story.news.yahoo.com/news?tmpl=story&cid=562&ncid=738&e=1&u=/ap/20050204/ap_on_hi_te/fbi_computers
oder bei:
 http://slashdot.org/articles/05/02/04/1924246.shtml?tid=103&tid=172
(inclusive Diskussionforum)

GEGEN DIE TOTALÜBERWACHUNG!

AUFWACHEN UND MITMACHEN

 http://www.stop1984.org/index.php?lang=de&text=aktuelles.txt

Die Ziele von STOP1984
Was wir mit dieser Web-Seite zu allererst erreichen wollen, lässt sich mit einem Begriff klären:
Bewusstsein.
Wir möchten bei den Menschen Bewusstsein wecken für
den Wert ihrer eigenen Privatsphäre
den Wert ihrer eigenen Daten
die Gefahren des Missbrauches von Daten
die Folgen des Verlustes der Privatsphäre
die politischen, sozialen und persönlichen Folgen einer zunehmenden Überwachung
die Gefahren des politischen Desinteresses
Während unsere politischen Ziele darin bestehen, dass
die TKÜV in ihrer jetzigen Form zurückgenommen wird
auch bisher nicht veröffentlichte Zahlen über die Erfolge und Misserfolge von Überwachung publiziert werden
Datenschutz und das Recht auf informationelle Selbstbestimmung ihren Weg in das Grundgesetz und das EU-Recht finden
ist uns bewusst, dass diese politischen Ziele nur durch interessierte und engagierte Menschen zu erreichen sind - ohne dass ein Bewusstsein für diese Dinge geweckt wird, ohne dass nicht gegen die Politikverdrossenheit und Lethargie vieler Menschen mit Aufklärung und Engagement entgegen getreten wird, ist die Erreichbarkeit dieser politischen Ziele eine pure Vision ohne jegliche Möglichkeit der Verwirklichung.
Daher ist das Ziel dieser Seite, mit Aufklärung und Engagement Interesse und Bewusstsein zu fördern, durch Diskussionen im Forum zum Nachdenken anzuregen und somit die Basis für den "letzten Ausweg vor der Totalüberwachung" zu schaffen.

ja, ich bin's, christian müller mein name ;-)

und der betreff "Meine E-Mailadresse hat sich geändert" war der beginn eines fröhlichen freitagabends, der schwer lustig war. aber der ablauf war ein wenig anders wie das hier und bei telepolis dargestellt wurde. das mag auch sicherlich daran liegen, daß nicht alle 10.000 abonnementInnen des BMI-verteilers live dabei waren, es betraf nur einen bestimmten adress-bereich warum auch immer. so haben manche von anfang an gar nichts bekommen, anderen mehr und aber verschieden.

damit ihr auch ein wenig spaß nachträglich habt und für die geschichte der vorfall dokumentiert ist, ein paar auszüge. zuerst der mailverkehr, der über die bmi-liste ging, irgendwann kippte es dann und ich habe keine ahnung, was dann noch über die liste ging bzw. wo das noch ankam. offensichtlich aber kam da und hier noch was an. die mails dann bekam ich ansonsten durch CC-mails oder weil direkt adressiert. am ende dann ein paar auszüge von den abwesenheitsnotizen. zuletzt noch eine zusammenfassung, wie sich das technisch/inhaltlich verhält von einem ebenfalls freudigen teilnehmer, seines zeichnes sicherheitstechniker, der sein geld verdient hat. selten so eine gute zusammenfassung gelesen, die in der schnelle produziert wurde.

da man mails in der regel als persönliche mails ansehen soll, also eine veröffentlichung meistens als nicht erwünscht betrachtet werden kann und die personen in der geschichte auch egal sind, sind namen etc. abgekürzt.

insgesamt sind 206 mails aufgelaufen, davon etwa 160 abwesenheitsnotizen oder server-meldungen, daß adresse xy nicht existiert. dabei habe ich gezählt, daß 19 BMI-email-adresse nicht mehr existieren und 12 anderswo. die mailingliste ist also echt schlecht konfiguriert, da mailman soetwas automatisch verarbeiten kann. bei den abwesenheitsnotizen war ein hoher anteil von BKA- und IM-beamtInnen dabei, ebenfalls eine herbe aussage über die fähigkeiten hinsichtlich sicherheit, da solche automaten in der lage sind, mailinglisten zu erkennen und auf soetwas nicht reagieren. das BSI hat noch viel zu tun, aber wir sind nicht nachtragend über die informationsdichte von internes, die einem überflüssigerweise zugesendet wurde :-)



nun gut, der chronologische ablauf:

gegen 20:52:52 beginnt der fröhlicher abend. ein klaus k. aus moers "Die Deutsche Post AG stellt ihren E-Mail-Dienst (www.epost.de) zum 28.02.2005 ein... Ich bitte Sie daher meine E-Mail-Adresse alt  XXX@epost.de durch die E-Mail-Adresse Neu:  YYYY@gmx.de zu ersetzen"

gegen 21:00 sehe ich verwirrt auf diese mail, schau mir den kompletten mailheader an und stelle fest, das ding ist tatsächlich über die mailingliste des bundesinnenministeriums gegangen, unglaublich! hektisches flackern in den augen, kribbeln in den fingern und schnelles atmen machen sich bei mir breit. offensichtlich ist der server miserabel installiert, denn so steht z.b. im header "List-Subscribe: " und jedes kind weiss, daß 192.168.*.* adressen nichts in der weltgeschichte zu suchen haben. ich versuche, dem mailinglisten-programm mehr infos über meine möglichkeiten abzufragen, was leider nur per email geschehen muss. das bin ich nicht mehr gewohnt und ich kriege es leider nicht hin, den befehl WHO auszuführen. na ja, was hätte ich auch mit 10.000 namen und email-adressen anfangen sollen?

gegen 21:28, immer noch ungläubig über die möglichkeiten, entschliesse ich mich zu einem einfachen test mit einer mail an die bmi-liste wie folgt: "es geht doch nichts über einen server der schlecht konfiguriert ist, wobei es sich noch nicht mal um ein Microsoft-Produkt in diesem Fall handelt. Aber Schadenfreude ist immer noch die beste Freude, insbesondere am Freitag abend, wo alle Techniker mit Job das Wochenende fröhnen..." unter dem subject "gute morgen deutschland". (das fehlende 'n' gehörte so). ich gestehe, dass das inhaltlich nicht grad vielsagend ist, aber durch die überraschend ungeahnten möglichkeiten und andererseits der prinzipielle nachvollziehbarkeit meiner selbst war ich eher gelähmt, ausserdem viel mir absolut nicht ein, welches flugblatt oder so ich da hätte hinschicken und hätte vertreten können. dafür habe ich wohl zuviel kritik an den uns-schilly-betonkopf und seiner helfershelfer...

gegen 21:29, die mail geht tatsächlich über die BMI-liste und kommt an.
ich bin echt schwer irritiert. wie oft hat uns-schilly doch das 'digitale amt' immer wieder hoch gelobt und das das alles narrensicher sei? doch hinsichtlich der überlegung, was ich nun inhaltliches da endlich reintue, komme ich nicht mehr. im schnellen takt trudeln ab 21:30 mails bei mir ein, genauer gesagt 'abwesenheitsnotizen' und mailserver-meldungen über nicht zustellbare mail. und ich komme aus dem lachen nicht mehr raus, denn das, was in diesen abwesenheitsnotizen drinne steht, ist realsatire. doch dazu später mehr. auch andere fangen an, die neuen möglichkeiten auszuloten oder antworten auf mein mail.

gegen 21:37 die erste persönliche 'echte' rückantwort: "hi doktor,
kennen wir uns, falls ja, woher"

gegen 21:45 MEZ aus Palmeira, das liegt in Brasilien kam schwer entspannt: "Was für ein Schwachsinn !
Wisst Ihr nicht mehr wie ein Server/Pc funktioniert ...
alle Mail aus dem Trash kommen nach Brasilien"

gegen 21:47 der volker l., auch irgendwo anders und bloss nicht in deutschland, seite ortszeit war 15:47: "wat soll die spam mail, und dann bmi zubenutzen, die solche mails nicht versendet."

gegen 21:57 dann: "Komisch, dass Ihre Mail an das BMI bei mir gelandet ist!"

gegen 22:07 dann von einem sozialarchiv: "Hallo, ich verstehe den Sinn Deiner Mail nicht! Habe ich etwas nicht mitbekommen?"

gegen 22:14 die erste 'kommerzielle' abhilfe: "ich habe keine Ahnung wie das bei mir gelandet ist, ich bin Abonnent des BMI NL!!!
aber, wir können gerne helfen.... www.pmwarehouse.de"

gegen 22:16 und auch nicht schlecht, stefan m. aus berlin: "Von wem bekomme ich diese ganzen e-mails? Ich kenne weder Müller noch Kalau.
Kann man das abstellen?"

kann man nicht, war die antwort ;-)

gegen 22:22 bringt sich darauf hin hadmut d. ein, der auch den text am ende verfasst hat. wie gesagt, der mann ist echt schwer tauglich und gehört eingestellt: "Naja, es sollte bei einem ordentlich konfigurierten Newsletter eigentlich nicht möglich sein, daß Hinz und Kunz drauf
posten. Eigentlich sollte die moderiert sein bzw. nur Mails des
Listenowners verteilen." und: "Der Mailverteiler scheint sehr 'experimentell' zu sein. Und das, wo doch unserem Innenminister die Sicherheit so wichtig ist...
Hihi"

gegen 22:26 wirft fons w. ein: "vielleicht ein kleiner Faschingsscherz?"
umd gleich darauf noch mal in einer weiteren mail zu erfrischen: "Oder ein Wurm??? Ich hoffe doch, dass es ein schlechter Faschingsscherz ist!"

gegen 22:27 eine präsize zusammenfassung von phillipp s. aus stuttgart: "So?"

gegen 22:40 muss ich noch mal ein wenig ergänzen: "Ja, mein reden, aber der Tipp mit dem Fasching scheint nicht schlecht. und wie es im Buche steht, hat ein Techniker wohl noch mal kurz was gemacht und ist dann gegangen. und da überall gespart werden muss, gibt es auch keinen
Nachtdienst.
Ein echtes Armutszeugnis für die moderne elektronische Behörde, ohne 24
Stunden Support wird das nichts. Wenn hier nun alle Bürger anfangen offen zu diskutieren, über Hart7 oder so?
was ich aber noch schrecklicher finde, und da haben _alle_ Polizeibehörden
mal wieder geschlampt, sind die unsäglichen Abwesenheitsnotizen von
irgendwelchen BKA-Beamten. Wenn das Al Quaida mitbekommt: Namen, interne
Telefonummern, interne email-Adressen.
aber wahrscheinlich ist das wirklich nur ein Faschingsscherz
warum das BSI eigentlich nicht reagiert oder irgendeine andere TAskfORCE?
vielleicht wirklich die Polizei anrufen ;-)"

gegen 22:57 ein konstruktiver beitrag von volker r. :"
Ist das BSI nicht eine nachgeordnete Behörde des BMI? Dann sollte man
vielleicht mal die Leute vom BSI an den Server lassen, damit SOWAS hier
nicht wieder passiert ..."

gegen 23:05 erwidert dr.manfred s.: "
Guten Tag Hadmut D.,
...
Wie muss man jetzt diese Emails verstehen? Bin ratlos!
Habe ich da etwas nicht mitbekommen?"

gegen 23:18 wirft maik r. ein: "... aber kommt dadurch nicht etwas mehr Bürgernähe auf? Oder kennt Ihr Euch alle schon?"

gegen 23:20 verwundert der herr herbert c. aus krefeld: "mit dieser nachricht kann ich keinerlei bezug herstellen"

gegen 23:21 stellt fons w. fest: "Ich habe auch alle Mails erhalten, kann aber nicht schreiben. Mein Beitrag erschien nicht.
Wer macht das?"

gegen 23:28 nochmal herbert c.: " bitte -email adr ändern bekomme hier laufend falsche e-mails"

gegen 23:30:32 war echt cool die johanna: "Geilo!" als antwort auf die feststellung, daß alle schreiben und somit verteilen dürfen.

von schwarz-braun-rechtsaussen einzelkämpfer haste nicht gesehen wird die change auch genutzt, den frust über DIE abzuladen und ein wenig hirnschmalz zu verschmieren: "Sehr geehrte Damen und Herren,
Danke, daß ich serienweise diese Mails bekomme ---
Ja, das ist schon mal nicht schlecht, wenn ich nun alles erfahre, was mich
bestenfalls nur dadurch interessiert, als unsere großartigen Macher - ich
meine damit jene, die unser Land gemeinsam seit mehr als 30 Jahren (erst
schwarzGelb, dann RotGrün) herunterwirtschaften - wieder mal nix zuwege
bringen, außer monatlich fünstellige Beträge zu kassieren." der herr alfred d. kriegt aber auch nicht viel hin und verschickt diesen brei daher auch gleich fünf oder sechsmal an die selben adressen. da habe ich mich dann auch gleich 'bedankt' und seit dem nichts mehr gehört von ihm.

gegen 00:06 ziemlich schwer gelangweilt und inhaltsschwer ein alexander s. von Atomkraft-nein-danke.de: "Es geht doch nichts über Leute, die der deutschen Sprache mächtig sind."

gegen 00:31 die nachtfraktion in person jens e.: "Guten Abend,
das ist ja wirklich der Hammer. Aber es funktioniert:-)
Wenn die auch mit den kommenden biometrischen Daten so umgehen, dann
Mahlzeit.."

am samstag, der spaß geht immer noch weiter (und ich glaube montag wird auch noch spannend, wenn die alle wieder in ihrem büro sitzen :-)

gegen 09:22 ein don-k-w, frisch aufgewacht und schwer böse:
"dubioses wird vernichtet und ggf. an die polizei weitergeleitet"

gegen 09:29 schwer irritiert am frühstückstisch familie b. aus lohmar: "Hallo Fremder,
da läuft wohl mit dem BMI newsletter etwas völlig aus der Spur, auch ich
erhalte plötzlich seltsame E-Mails, so auch Ihre. Ich habe versucht, das BMI (Redaktion) zu informieren, damit dieser Fehler abgestellt wird."

gegen 09:40, ich weiss auch nicht, vielleicht ist der expresso zu stark oder so, ein michael van l.: "Es wird nicht mehr lang dauern, "Dr. Kosiek". Spürst Du schon meine Atem im Nacken? Wenn Du nicht vorbestraft bist, sagen wir mal, ein Jahr auf Bewährung. cu" vielleicht zuviel horror am vorabend gesehen oder schlecht geträumt ...

gegen 09:58, den ersten kaffee offensichtlich besser überstanden joachim k. aus koblenz: "Leute ihr seid gut drauf. Koblenz grüsst. Olau!"

gegen 10:27 dann der verschlafenen H.-J. Z: "Schönen guten Morgen Kollegen!!!!
Was machen Eure Mail auf meinem PC?
Jetzt wird aber wirklich Zeit, dass die Techniker den Mist beheben!!!!!
Wünsche Dir ein schönes Wochenende!!"

gegen 10:59 der erfreute albert V.: "selten hat mir das Lesen von Mails soviel Spass bereitet wie heute morgen.......ach ja, Berliner haben mit Karneval nichts am Hut, die brauchen den nicht, denn sie sind offensichtlich im politischen Bereich schon jeck genug"

gegen 11:16 anonym: "Ich glaube da haben Sie den falschen angemailt!"

gegen 13:50 dann wieder mehr theorie und analyse, der felix j.h.: "
Hallo,
die Abwesenheitsnotizen werden allerdings eher nicht in öffentlichen
Verteilern diskutiert... über die Sicherheit von Emails könnte dann sicher
diskutiert werden.
Da ich seit gestern Abend, nichts mehr über den BMI-Verteiler bekommen habe, gehe ich davon aus, dass die Reaktionszeit nun doch nicht so lange war...
aber eine lustige Geschichte ist es allemal!

> vielleicht wirklich die Polizei anrufen ;-)

hat das jemand getan?"


gegen 15:34, jemand der wohl eher noch nicht die polilei rief, der alexander j.: "
Sehr geehrte Damen und Herren,
ich bin Abonnent des BMI-Newsletters.
Ist Ihnen da ein kleiner Fehler unterlaufen ?"

-----------------

so, nun ein paar auszüge von den abwesenheitsnotizen, die mich häufig heftigst zum lachen brachten, insbesondere, wenn man davon knapp 160 hat und die hintereinander wegliest. einige sind echt süss geschrieben oder haben nuancen wie die erste: "werden weder gelesen noch weitergeleitet", wo im kontext der offensichtliche blödsinn solcher aussage sichtbar wird.
überhaupt finde ich es beeindruckend. wie massiv diese funktion benutzt wird und welcher zeitlicher druck existiert, auf emails reagiern zu müssen. vielleicht sollte ich die 160 stück noch mal aufbereiten und alle veröffentlichen, weil das kommt dann wirklich als real-satire, folgend ein paar, sicherlich nicht immer die besten:

"Sehr geehrte Damen und Herren,
ich befinde mich vom 03.02.2005 bis 08.02.2005 in Urlaub. Die von Ihnen geschickten Mails werden weder gelesen noch weitergeleitet.
Sobald ich wieder im Haus bin werden alle Mails zügig gelesen und bearbeitet." von sabine k. Projektbüro WM 2006.

"Ich bin einschl. 04.02.05 nicht im Hause.
Ihre Emails werden NICHT weitergeleitet.
Bitte wenden Sie sich an Herrn M." von carsten h. at siemens.com

bei einer war folgende signatur:
"Diese E-Mail und die eventuellen Anlagen gelten als
vertraulich oder besitzen einen rechtlichen
Status. Wenn Sie diese Nachricht irrtuemlich erhalten haben oder nicht zu
deren Erhalt befugt sind, vernichten Sie diese sowie eventuelle Anlagen oder Kopien. Somit sind Sie vom Zurueckbehalten, Verteilen, Abschliessen oder Verwenden irgendwelcher darin enthaltener Informationen befreit. Bitte informieren Sie uns ueber die irrtuemlich erfolgte Zusendung
anhand Ihrer Rueckantwort per E-Mail.
Vielen Dank fuer Ihre Zusammenarbeit."

"Sehr geehrte Damen und Herren,
ich bin im Urlaub und erst wieder am 14.02. im Büro.
Die mails werden nicht ausgewertet.
In dringenden Fällen bitte ich,
...
bei Verwaltungsproblemen Gerhard Z.,
bei Fachproblemen IT-Sicherheit E.-G. G.,
bei Fachproblemen Biometrie H.-J. G. zu kontaktieren." der firma t-systems.com


"Vielen Dank für Ihre Nachricht.
Ich bin ich aus dienstlichen Gründen nicht im Haus. Ihre E-Mail kann ich daher erst am 07.02.2005 persönlich empfangen. Eine Weiterleitung erfolgt nicht. In dringenden Angelegenheiten erreichen Sie mich unter der Rufnummer (0173) XXXXXXX." jemand von der bahn bkk.

"Sehr geehrte Damen und Herren, sehr geehrte Kollegin, sehr geehrter Kollege,
zur Zeit befinde ich mich nicht im Hause.
Mit freundlichen Grüßen
C. W." der stadt köln

"Ich bin auf Dienstreise. In dringenden Fällen können Sie mich telefonisch
unter 0160/xxxxxxxx erreichen." von andres h. beim BAMF

"Hallo, ich bin zur Zeit nicht im Hause und erst ab Freitag, 4. Februar 2005, wieder erreichbar." von hubert f. aus bayern. es war freitag der 4.

"Ich bin bis voraussichtlich 24.01.2005 nicht im Hause." von gerhard m. beim BAMF.

"Vielen Dank für Ihre Nachricht.
Ich werde Ihnen schnellstmöglich antworten.
Mit freundlichen Grüssen
Fritz Rudolf K., MdB
Parl. Staatssekretär beim
Bundesminister des Innern"

die KRÖNUNG:
"Ich bin bis 09.02.05 (09.00 Uhr) nicht an meinem Arbeitsplatz in Eschborn
und kann deshalb auch die Nachrichten, die ich empfange nicht lesen, nicht
verarbeiten, nicht beantworten etc." von Jan-Joerg.B. von der regulierungsbehörde für telekommunikation

"Wegen meiner teilzeitbedingten Abwesenheit kann Ihre E-Mail nicht bearbeitet werden.
Am 08.02.2005 bin ich wieder erreichbar." von e.m beim BMZ

"Ich bin vom 17.03.2003-07.04.2003 wegen einer Fortbildung nicht im Hause." von petra g. beim BAMF.

"Ich bin vom 04. - 07.02.2005 nicht im Hause. Herr R., NSt. 3004, macht Vertretung. Die Mail werden an ihn weitergeleitet." von e.w. bei der telekom.


"Sehr geehrte Damen und Herren,
vielen Dank für Ihre Nachricht. In der Zeit vom 03. bis 13.02.2005 bin ich
nicht erreichbar. Meine Vertreterin ist Frau Damm, die Ihre Nachricht soeben
erhalten hat.
Diesen Hinweis erhalten Sie nur einmal während meiner Abwesenheit." von c.g. ebenfalls regulierungsbehörde, hört sich doch schon gleich netter an

zackig geredet wird beim niedersächsischen ministerium für inneres:
"Ihre Nachricht wurde nicht weitergeleitet. In dringenden Fällen wenden Sie sich bitte an Klaus E. (0511/XXXXX) oder Frank R. (- XXXX).
Sie erreichen mich wieder am 7. Februar.
Gruß,
Michael K."

gleich und noch besser beim BKA:
"Ich befinde mich außer Haus. Ihre Nachricht wird nicht gespeichert.
Dringende dienstliche Post bitte an KD V.
Hartwig M."

die beamten vom bundesministerium für finanzen sind bekanntermassen schlicht und trocken knapp:
"Ich habe am 04.02.2005 und 08.02.2005 frei. Bin ab dem 09.02.2005 wieder im Amt." von ralf r.

dagegen so richtig freundlich beim BKA die abteilung ChangeOffice (aber wieso wechselstube?!?? vielleicht geldwäsche ..., na die verdienen dann ja auch genug ;-):
"Guten Tag!
Vielen Dank für Ihre Nachricht.
Ich bin erst ab 08.02.05 wieder im Büro erreichbar. Die Kollegen aus
dem ChangeOffice helfen Ihnen aber bestimmt gerne weiter. Bitte wenden
Sie sich an den Koll. B., HR.: XXXXXX; S, HR: XXXXXX oder
G., HR:XXXXXX.
>>> diese mail wird nicht weitergeleitet Wie muss man jetzt diese Emails verstehen? Bin ratlos!
> Habe ich da etwas nicht mitbekommen?

Nun, da ich jetzt mehrfach die Frage bekommen habe, was das
soll, ein paar Worte für die, die sich jetzt darüber wundern, was
hier vor sich geht.

Jeder, der hier diese seltsame Diskussion bekommt, hat sich
(vermutlich freiwillig) auf der Mailingliste des BMI für
Pressemitteilungen usw. eingetragen. Zunächst harmlos und nicht
weiter bedenklich.


Vorhin nun ist eher durch Zufall etwas passiert, was dem geübten
Nutzer mit etwas Hintergrundwissen zur Netzwerksicherheit sofort
auffallen mußte und ja nun auch tatsächlich ein paar Leuten hier
aufgefallen ist. Um 20:52 hat jemand die Bitte, seine Mail-Adresse zu
ändern, direkt an die Mailinglistenadresse geschickt. Das ist
eigentlich falsch, weil hinter einer Liste normalerweise kein Mensch,
sondern ein Programm steht, was solche Anweisungen nicht versteht.
Normalerweise schickt man da einen entsprechenden Befehl an die
..-request@ Adresse oder an majordomo@ oder listserv@ , denn der
Prozessor weiß ja sonst nicht, ob man ihm Befehle oder eine Mail an
alle schicken will. Das kann aber nun nicht jeder hier wissen, daraus
ist dem Absender kein persönlicher Vorwurf zu machen. Kommt halt vor.

Durch dieses Versehen wurde aber etwas erkennbar, was normalerweise
nicht passieren sollte, und was bisher hier auch noch keiner
ausprobiert hat, nämlich Mails direkt an die Adresse
 bmi@newsletter.bund.de zu schicken.

Bei vielen Mailinglisten, die der Diskussion dienen, ist das so
gewollt und normal, weshalb die Programme für Mailinglisten
(sog. "Listenprozessoren") dies in der Standardkonfiguration erlauben.
Da können dann viele Leute über irgendetwas diskutieren.

Bei Listen wie dieser, bei der es nur um Mitteilungen geht, sollte das
eigentlich abgeschaltete sein, also niemand anderes als das
Ministerium Mails über die Liste verschicken können. Das man das
nicht getan hat, sehen Sie hier. Auch ich kann ja nun offensichtlich
Mails verschicken. Das ist sehr unschön, denn ich könnte ja auch
Spam, Würmer usw. verschicken. Der erste Minus-Punkt.


Dann stellte sich durch Analyse des Verhaltens heraus, daß hinter der
Liste ein gewöhnlicher Listenprozessor steht, dem man die üblichen
Befehle schicken kann. Er bietet einem sogar die Konfiguration über
ein Web-Interface an, aber mit einer RFC-1918-Adresse. Kein direktes
Sicherheitsloch, aber Schlamperei.

Der Prozessor bietet einem ebenfalls einen Befehl an, mit dem man sich
- wie bei solchen Prozessoren üblich - als Teilnehmer eine Liste aller
anderen Teilnehmer zusenden lassen kann. Das habe ich mal ausprobiert,

das scheint aber nicht zu funktionieren (es wäre schlimm, wenn es
funktionierte). Man muß dazu ein Paßwort angeben, daß man sich
zuschicken lassen kann. In der Mail steht dann als Paßwort aber nur
"DEBUG". Ob das das Paßwort ist oder nur eine Meldung stattdessen,
weil das System noch nicht fertig konfiguriert ist, sei
dahingestellt. Zumindest konnte ich mir damit noch nicht die Liste der
Teilnehmer schicken lassen. Trotzdem unschön. Warum das hier nicht
funktioniort hat, ob es ein Fehler war oder absichtlich abgeschaltet
wurde, weiß ich (noch) nicht.

Insgesamt erweckt die Liste den Eindruck einer ziemlichen
Bastellösung. Das ist insofern doppelt pikant, weil es sich um ein
Bundesministerium handelt und dann um das Ministerium eines Ministers,
der beim Thema "Sicherheit" normalerweise ziemlich zulangt, wenn
es um andere geht.



Das war es aber noch nicht. Aus diesem Konfigurationsmangel ergibt
sich im Zusammenspiel mit anderen Fehlern ein besonders delikates
Phänomen, das die passiven Teilnehmer an dieser Liste nicht beobachten
können, das sich einem erst zeigt, wenn man selbst etwas an diese
Liste schickt:

Viele Leute auf dieser Liste haben sich nämlich über Fasching wohl
einen oder mehrere Tage freigenommen. Und dazu dann ihr Mailprogramm
(Outlook oder was auch immer) so eingestellt, daß es jedem
Mailabsender automatisch eine Antwort schickt, die einem genau
erläutert, wer bis wann und warum nicht da ist.

Wenn man an diese Liste schreibt, bekommt man postwendend so ca.
30-40 von diesen Antworten. Ein doppelter Mangel: Die Liste sollte
so konfiguriert werden, daß solche Bounces nicht an den Autor der
Mail, sondern den Listenprozessor gesandt werden. Und ein
Mailprogramm, das einfach unkontrolliert jedem, der mailt, sofort ein
solches Reply schickt, taugt nichts, sondern ist ein
Sicherheitsproblem (Gruß an Bill Gates). Und bei vielen Leuten, die
auf dieser Liste sind, ist das eben so eingestellt. Schlampige
Mailingliste trifft auf unzulängliche Mailsoftware.

Warum das brisant ist?

Nun, wegen der Zusammensetzung der Teilnehmer dieser Liste. Ein
Großteil dieser Mails kommt von Ministerien, Justizvollzugsanstalten,
Polizeibehörden, Gerichten, der Feuerwehr und sogar vom
Bundeskriminalamt.

Wer also eine Mail an diese Liste schickt, erhält gratis eine
ganze Menge an Informationen darüber, wer da wo sitzt, welche
Telefonnummer hat, bis wann weg ist und durch wen vertreten wird.
Damit kann man ne Menge Unsinn treiben.



Wer sich darüber wundert, warum ich mich mit sowas befasse und
so etwas für gefährlich halte:


Ich bin Informatiker und Spezialist für Kommunikationssicherheit.

Ein Schwerpunkt meiner Arbeit ist die Sicherheit von E-Mail,
technisch (auch kryptographisch), datenschutzrechtlich und
strafrechtlich. Dazu gehören beispielsweise die Entwicklung des
Anti-Spam-Verfahrens RMX oder die Klärung der Frage, wann
§ 206 StGB auf E-Mail anwendbar ist. Deshalb sehe ich solche
Vorgänge wie diesen hier "von Berufs wegen" als gefährlich an
und betrachte es auch als meine Aufgabe, auf solche Sachen
aufmerksam zu machen.


Mal sehen, wann das Minsterium was dagegen unternimmt.

Viele Grüße und schönes Wochenende allerseits

Hadmut D.

Nach einer Reihe von Anfragen kamen aus dem BMI nur zögerliche und undetaillierte Infos zu der Newsletteraktion. Die Öffentlichkeitsarbeit zum Thema wurde einfach an das Bundesverwaltungsamt übertragen, unter dessen Haupttelefonnummer am Wochenende aber niemand zu erreichen ist.

Am Samstag flatterte dann doch wieder ein regulärer Newsletter vom BMI ein.
Der erste Artiekl lautete wei folgt:

"Sehr geehrte Damen und Herren,
gestern Abend haben einige von Ihnen durch eine fehlerhafte Konfiguration in einer Newsletter-Komponente irrtümlich mehrere Newsletter und einige E-Mails erhalten, die zwischen 20.00 Uhr und 23.00 Uhr versandt wurden. Der Fehler konnte noch um ca. 23.00 Uhr behoben werden. In der Nacht wurde die Konfiguration so geändert, dass dieser Fehler sich nicht wiederholt. Wir bitten die Unannehmlichkeiten, die Sie damit hatten, zu entschuldigen.
Mit freundlichen Grüßen
Ihre Newsletter-Redaktion im Bundesverwaltungsamt"

...für deine köstliche Dokumentation dieser bizarren Vorgänge.
Wenn sowas öfter mal versucht würde, könnte man sich alle Satire-Magazine sparen ;-))
LG *Heinz-Fred*