Bundeswehr: Pläne für Flugabwehrsystem auf Gebrauchtrechner von eBay
Für 90 Euro kauften Sicherheitsforscher einen ausgemusterten Bundeswehr-Rechner. Darauf lag kaum geschützt die Dokumentation des Flugabwehrsystems "Ozelot".
Nichts gelöscht, kaum gesichert: ein Laptop aus Bundeswehr-Bestand.
(Bild: G Data)
Mitarbeiter der Sicherheitsfirma G Data haben auf einem gebrauchten Laptop aus Bundeswehrbeständen vertrauliche Pläne für ein Flugabwehr-System entdeckt. Laut einem Bericht des Spiegels hatten die Sicherheitsforscher das Gerät für 90 Euro via eBay erworben und waren dann auf eine ungelöschte Festplatte und praktisch nicht geschützte Daten gestoßen.
Dabei handelte es sich um das Modell Rocky II+ RT686 des deutschen Herstellers Roda, dessen Windows-2000-System sich ohne Kennwort-Abfrage starten ließ. Auf die darauf installierte Verwaltungssoftware Modis konnte die Sicherheits-Experten auch recht schnell zugreifen – Nutzername "guest“ und Passwort "guest" waren leicht zu erraten. Das eröffnete Zugriff auf die "Technische Dienstvorschrift“, also eine umfassende Dokumentation, des Leichten Flugabwehrsystems (LeFlaSys) "Ozelot“. Das Panzerfahrzeug wird derzeit auch noch von der Bundeswehr eingesetzt.
Bundeswehr-Laptop mit vertraulichen Daten (6 Bilder)
"Fahrzeug mit vorhandenem Sprengmittel sprengen"
Versuche, Daten zu löschen seien nicht erkennbar gewesen, erklärte G-Data-Mitarbeiter Tim Berghoff, der das Gerät gemeinsam mit seiner Kollegin Alexandra Stehr untersucht hatte. Weitere Daten enthielt der Laptop nicht, Outlook sei zwar noch installiert, aber nicht eingerichtet gewesen. Dafür fanden sich in der Dokumentation des Ozelot Informationen, wie man das Militärgerät lahmlegen kann. So habe es Erklärungen zu Themen gegeben wie "Fahrzeug mit vorhandenem Sprengmittel sprengen" und "Kraftstoffleitungen im Triebwerksraum zerstören und austretenden Treibstoff entzünden".
Das Verteidigungsministerium nahm auf Anfrage von heise online bislang noch keine Stellung zu dem Fall. Gegenüber dem Spiegel erklärte eine Sprecherin, dass auf dem Rechner keine Information lägen, "durch die ein Dritter kritische Erkenntnisse gewinnen könnte". Das gelte auch für die Anleitung für das "Unbrauchbarmachen des Systems". Diese sei nur für den Fall gedacht, dass Soldaten das Fahrzeug aufgeben müssen und Dritte an der Nutzung hindern wollen.
"Bei der Verwertung ein Fehler passiert"
"Die alten Rechner für das LeFlaSys wurden alle ausgesondert und mit der Anordnung zum Löschen oder Unbrauchbarmachen vorhandener Speichermedien der Verwertung zugeführt", zitiert der Spiegel weiter. Es sei davon auszugehen, "dass bei der Verwertung des angesprochenen Rechners ein Fehler passiert ist". Prinzipiell sei seit 2019 vorgeschrieben, dass vor einem IT-Verkauf sämtlich nicht-flüchtigen Speicher ausgebaut und vernichtet werden.
Interesse, das Gerät wieder in Besitz zu nehmen, zeigte das Ministerium offenbar nicht. Der Laptop befinde sich noch bei G Data und werde demnächst seiner neuen Bestimmung als Retro-Spielerechner zugeführt, sagte Tim Berghoff. Angedacht seien die Klassiker "Ballerburg" oder "Missile Command".
Bürgerdaten und Raketenwerfer-Pläne
Gebrauchthardware aus Behördenbeständen erweist sich immer wieder mal als Quell ungewollten Datenreichtums: So fanden sich etwa auf einer SSD, die ein c‘t-Leser über eBay erworben hatte, Zehntausende Bürgerdaten aus der Kfz-Zulassungsstelle und dem Jugendamt des Landratsamtes Coburg.
Ebenfalls entdeckte c‘t auch den Fall eines Systemtelefons, das die Stadtwerke Norderstedt mit ungelöschtem Speicher in den Verkauf gegeben hatte. Vergangenes Jahr wiederum berichtete die Süddeutsche Zeitung über einen Förster, der auf Gebrauchtlaptops der Bundeswehr Pläne für den Raketenwerfer "Mars" gefunden hatte.
(axk)
