Auf den Offenen FTP Server bei Swisscom und Cablecom Kunden waren auch Dokumente des Eidgenössischen Nuklearsicherheitsinspektorat (ENSI) zu finden, auf welche ich in diesem Artikel separat eingehe.
Einigen Nutzern mag es sicherlich egal sein, was mit ihren Daten im Internet passiert. Ist ja «nichts wichtiges». Deshalb habe ich mir erlaubt, neben den Dateitypen auch einige Dokumente inhaltlich zu analysieren. Ich möchte damit bestimmt nicht die Privatsphäre der betroffenen Kunden verletzten, jedoch waren die Dokumente vorher schon monatelang online und wurden daher bestimmt schon von diversen Bots abgegrast.
Terminkalender und Dokumente des ENSI
Eine Datei sticht dabei besonders heraus: In einer .ics
Datei finden sich Termine und Dokumente des Eidgenössischen Nuklearsicherheitsinspektorat (ENSI). Offenbar hat ein Mitarbeiter ein Backup seines Terminkalenders auf seinen Server geladen. Die Daten stammen überwiegend aus den Jahren 2011-2013. Der Terminkalender wurde gemäss der Signatur in der Datei vom OS X 10.9 Kalender Programm generiert. In der Datei sind nicht nur Termine gespeichert, sondern auch ganze Mails mit samt den Anhängen enthalten. Dieses verhalten ist bereits sehr bedenklich. Apple Systeme sind immer mehr mit der iCloud verknüpft, welche auch nicht gerade einen guten Ruf in Punkto Sicherheit hat.
Berichte über Vorfälle in Schweizer AKWs
Die in der Kalenderdatei eingebetteten Dokumente sind weder Geheim noch sonderlich umfangreich, halten jedoch einige reale Vorfälle in den Schweizer AKWs fest. Weiter finden sich Übungsszenarien und Sitzungsprotokolle.
Warum ich die Dokumente veröffentliche
In der Schweiz werden derzeit fünf Atomkraftwerke betrieben. Ausserdem fallen radioaktive Stoffe in der Medizin und Forschung an. Das ENSI steht im regen Austausch mit diesen Institutionen und ist über die Störfälle, Transport und Lagerung informiert.
Trotz des Öffentlichkeitsprinzip sind nicht alle Informationen immer sofort für die Veröffentlichung geeignet. So enthalten bspw. die Mails Kontaktdaten zu einzelnen Mitarbeitern.
Gerade in solch einem sensiblen Bereich wäre deshalb zu erwarten, dass das ENSI ausschliesslich verschlüsselt kommuniziert. Auch wäre vom ENSI zu erwarten, dass die Mitarbeiter über Schutzmechanismen und Gefahren aufgeklärt werden. Dass Kontaktdaten, Termine, Mails und Dokumente in einen Kalender synchronisiert werden, der dann auch noch auf einem offenen Server eines Mitarbeiters landet, darf nicht passieren.
Mit der Veröffentlichung möchte ich auf den allgemeinen Missstand in der Informationssicherheit hinweisen. Unternehmen, Mitarbeiter und Privatpersonen müssen sich zwingend mit dem Thema auseinandersetzten. Statt immer mehr in Überwachung und Kontrolle zu investieren muss ein Verantwortungsvoller Umgang mit Daten angestrebt werden.
Download
Vorerst veröffentliche ich nur PDFs, aus denen ich nach bestem Wissen und Gewissen einige Namen und Metadaten entfernt habe. Die ursprünglichen Dokumente folgen bei Interesse allenfalls später. Von der Veröffentlichung der originalen Kalender Datei sehe ich derzeit ab, da dort noch viele sensible Daten (bspw. Kontaktdaten) vorhanden sind. Hier jedoch die Prüfsummen, falls jemand auf die selbe Datei stossen sollte:
md5sum 1dde3f12b877b90427dc72b9c43f6fa0 Kalender.ics sha256sum 7c2055503f1a2fbe21c5bddeaa14ac0be93886a531f57d5bca0a8a2be317b3a9 Kalender.ics sha512sum e2eb875ffc207124a06e61c194d40252c6453ffed0d2195a6da79fc7b849f73d8850689a7876db6fa0938d203a07d4841c9eefde102f831b5d5a4618e8b90ec3 Kalender.ics
Die aus dem Kalender extrahierten Dokumente stehen hier als Archiv zum Download bereit, mit den folgenden Prüfsummen:
md5sum 06190855e3dc910a4f997c277b065708 ensi.tar.xz sha256sum 826f71791ec206d160b455688f2a31a339e936df753accd1f2a25443c8ba9ae3 ensi.tar.xz sha512sum b485a99f2b2ecf0a9f2145ada4cb5598c3dc79cd8dfc99ce365f871c7ba857923538703dd96faa5df2885f6697a5da2564d32bfa923b70026c5939b64b27d849 ensi.tar.xz
Falls darin noch sensible Daten enthalten sind oder versehentlich zu viel anonymisiert wurde finden sich hier meine Kontaktdaten.
Ich möchte jedoch nochmal ausdrücklich darauf hinweisen, dass genau diese Daten bereits seit geraumer Zeit öffentlich im Netz zugänglich sind.