Fragen? Antworten! Siehe auch: Alternativlos
Auf eine experimentelle Nextcloud-Instanz der Bundeswehr, "(c) 2024 Pilotumgebung Link and More". Gestern stand da auch noch "s6 dev gru" und "b0rn 2 l33t". Nein, wirklich. Das stand da.
Und aus Sicherheitsgründen ist das passwortgesichert. Mit dem Passwort "1234".
Wer jetzt ein PDF erwartet, sieht sich getäuscht. Da kommt ein MP3. Mit einer Audioqualität, bei der jeder Podcaster oder Youtuber staunt, dass sich jemand damit ans Internet traut.
Bei allem Gelächter über die Bundeswehr ist das eher ein Zeichen dafür, was für eine Compliance-Hölle die Bundeswehr ist, und spricht eher dafür, dass das per Telefon einwählen Absicht war, damit die Russen das mitschneiden.
Dass die 1234 als Passwort setzen, zeigt, dass sie aus Compliance-Gründen die Plattform so eingerichtet haben, dass alles mit Passwort geschützt werden muss.
Dass sie uns die Plattform überhaupt zeigen, zeigt, dass sie die schon vorher hatten. So unseriös dieses "b0rn 2 l33t" auch aussieht: Die Bundeswehr ist eine lahmarschige, träge Bundesbehörde. Die setzt nicht über Nacht ein Nextcloud auf. Dem ging wahrscheinlich ein monatelanges Beschaffungsverfahren voraus.
Dass das unter bundeswehr.de liegt statt unter bund.de oder bmvg.de ist ein Zeichen, dass sie uns Handlungsfähigkeit demonstrieren wollen, und uns versichern wollen, dass das wirklich von ihnen ist und kein russisches Deepfake.
Unter dem Strich wirkt das alles wie "gut gemeint, schlecht gemacht". Besser wäre gewesen, wenn sie auf ihrer Webseite den Text als HTML gehabt hätten, anstatt auf ein mp3 zu linken. Das wäre barrierefrei gewesen, hätte die Leute nicht mit diesem l33t-Scheiß verunsichert, und da wäre auch niemand auf die Idee gekommen, dass die Russen die Bundeswehr-Webseite manipuliert haben.
Ist ein Nextcloud denn jetzt sicher? Nun ja. Kommt auf die Perspektive an. Auf der einen Seite ist das natürlich besser, wenn man Kram in seiner eigenen Infrastruktur hostet, anstatt in einer amerikanischen Cloud. Auf der anderen Seite hat man dann Verantwortung, der man auch nachkommen muss. Genau wie alle anderen Cloudumgebungen ist Nextcloud viel zu komplex, um eine Fehlerfreiheit anzunehmen. Da muss man dann ordentlich patchen und monitoren. Wer weiß, wie viele Nextcloud-Anwender das auch tatsächlich tun. Ich bin nicht optimistisch.
Wenn jemand einen Link auf eine Nextcloud-Umgebung mit dem Internet teilt, ist das jedenfalls grundsätzlich ein schlechtes Zeichen. Solche Dateien gehören auf den Webserver. Nextcloud hat eine riesige Angriffsoberfläche. Die sollte man so wenig wie möglich in Richtung Internet exponieren.