Neues Problem bei Bundeswehr-Chats
Cybertruppe schließt Abfluss von Informationen nicht aus
Nachdem russische Medien Anfang März die »Taurus-Leaks« aus einer vertraulichen Webex-Schalte veröffentlicht hatten, versprach das Verteidigungsministerium Besserung. Das Einfallstor für die Hacker der Telefonkonferenz sei eine nicht geschützte Verbindung eines Bundeswehrgenerals in Singapur gewesen, hieß es damals, darauf sollten alle Mitarbeiter hingewiesen werden. Personelle Konsequenzen gebe es zunächst nicht, so Verteidigungsminister Boris Pistorius (SPD).
Eine Recherche des grünnennahen Vereins »Netzbegrünung« wirft nun abermals ein schlechtes Licht auf die Cyberfähigkeiten der Bundeswehr. Demnach standen bis Freitagabend mehr als 6000 Links zu früheren und künftigen WebexVideomeetings offen im Internet, davon viele als »vertraulich« eingestufte Treffen. Dabei seien Titel, Zeiten und Eingeladende wichtiger Treffen einsehbar gewesen – allerdings keine Inhalte dieser Meetings. Auch soll es nicht möglich gewesen sein, sich von außen einzuwählen.
Über die Sicherheitslücke berichtete zuerst die auf Cybersicherheit spezialisierte »Zeit Online«-Redakteurin Eva Wolfangel. Die Links zu Videomeetings seien demnach durch Hoch- oder Herunterzählen zu erraten gewesen, Ähnliches galt für feste persönliche Meetingräume. Diese seien nicht durch ein Passwort geschützt worden. So sei die Journalistin auf ein Treffen namens »Review Meilensteinplan Taurus und Finalisierung« gestoßen und habe auch den Meetingraum des Luftwaffen-Chefs Ingo Gerhartz gefunden. Eine Sitzung mit Gerhartz und anderen hochrangigen Bundeswehrangehörigen war bei den »Taurus-Leaks« Anfang März gehackt worden.
Erst durch Nachfragen der »Zeit« sei die Bundeswehr auf das neue Sicherheitsproblem aufmerksam geworden und habe das Webex-System vorsorglich komplett vom Internet getrennt, schreibt Wolfangel. Das Kommando »Cyberund Informationsraum« (CIR) will die »Schwachstelle« innerhalb von 24 Stunden beseitigt haben, hieß es auf Anfrage der Deutschen Presse-Agentur. Dass vertrauliche Informationen an Unbefugte abgeflossen sind, kann die Bundeswehr nicht ausschließen, so die »Zeit«.
Die Kommunikationsplattform Webex ist ein Angebot des US-Anbieters Cisco und wird von der Bundesregierung, ihren Sicherheitsbehörden und dem Parlament genutzt. Nach eigenen Angaben hält allein die Bundeswehr darüber jeden Tag rund 1500 Meetings ab. Das Militär nutzt Webex als sogenannte On-Premises-Lösung, die auf eigenen Servern installiert und in einem internen Netz betrieben werden kann.
Der Einsatz eines kommerziellen USProdukts wäre aber gar nicht nötig, kritisiert der Verein »Netzbegrünung« und verweist auf Open-Source-Videokonferenz-Lösungen, die in Standard-Einstellungen eine extrem hohe Datensparsamkeit praktizieren.