Cybersicherheitsexperte: Die Bundeswehr hat ein strukturelles Sicherheitsproblem
Warum die Debatte über WebEx im Abhörskandal der Bundeswehr erneut zu nichts führen wird, erklärt Manuel Atug im Interview.
Während Verteidigungsminister Boris Pistorius und Bundeskanzler Olaf Scholz eine schonungslose Aufklärung des Taurus-Abhörskandals fordern, offenbart sich ein Problem der Bundeswehr, wenn es um Einhaltung von Geheimhaltungsstufen geht. Offiziere hatten über den Videokonferenzdienst WebEx kommuniziert, der lediglich bis zur Geheimhaltungsstufe "Verschlusssache – nur für den Dienstgebrauch" (VS-NfD) sicher ist, und dabei über mögliche Einsatzszenarien für den deutschen Marschflugkörper Taurus gesprochen.
heise online hat mit dem Cybersicherheitsexperten Manuel Atug darüber gesprochen, warum "Shooting the messenger" das Problem jedoch nicht löst und ob die Bundeswehr auf diese Art und Weise hätte kommunizieren sollen.
heise online: Herr Atug, was ist Ihrer Ansicht nach bei der Bundeswehr schiefgelaufen?
Manuel Atug: Es gibt verschiedene Geheimhaltungsstufen. VS-NfD, geheim, streng geheim und so weiter. Die erste Frage ist, in welcher Stufe wurde das Gespräch angesetzt und in welcher Klassifikation sind die Informationen, die da besprochen wurden. Wenn die besprochenen Informationen höher als VS-NfD klassifiziert wurden, dann sollte das Gespräch nicht über WebEx oder ähnliche Videodienste laufen. Falls sie nur VS-NfD klassifiziert wurden, dann zumindest nur über SINA-Komponenten.
Verschlusssache – nur für den Dienstgebrauch (VS-NfD) ist die unterste von insgesamt vier Geheimhaltungsstufen für Behörden in Deutschland. Informationen, die mit VS-NfD gekennzeichnet sind, dürfen nur von berechtigten Personen eingesehen werden. Diese Stufe bedeutet, dass die geschützten Inhalte bei Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein können.
VS-Vertraulich: Diese Stufe kennzeichnet Informationen, die vertraulich behandelt werden müssen. Sie dürfen nur von Personen eingesehen werden, die eine entsprechende Berechtigung haben. Diese Informationen können bei unbefugter Kenntnisnahme schädlich für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder sein.
VS-Geheim: Diese Stufe bezieht sich auf streng geheime Informationen. Der Zugriff darauf ist nur einem begrenzten Personenkreis gestattet, nach einer besondere Sicherheitsüberprüfung. Die Offenlegung würde erhebliche Schäden verursachen.
VS-Streng Geheim: Dies ist die höchste Geheimhaltungsstufe. Informationen, die als "VS-Streng Geheim" klassifiziert sind, sind von größter Bedeutung für die nationale Sicherheit. Nur wenige Personen haben Zugang zu diesen sensiblen Daten, und ihre Verbreitung oder Offenlegung kann schwerwiegende Folgen haben.
Es gibt nicht so viele vom Bundesamt für Sicherheit in der Informationstechnik für den Geheimschutz zugelassenen Produkte. Die Bundeswehr kann intern auch eine WebEx-Instanz nutzen dürfen, das ist aber nicht für die Kommunikation unter bestimmten Geheimhaltungsstufen gedacht. Wichtig ist also die Information zur Klassifikation des Gesprächs.
Mit hoher Wahrscheinlichkeit war die Kommunikation über WebEx in der durchgeführten Form nicht ausreichend oder zulässig. Entweder wurde kein SINA-Endgerät eingesetzt oder das öffentliche WebEx genutzt oder die Informationen waren sogar vertraulicher als ursprünglich angenommen und das System wurde dann dennoch genutzt.
Die Sichere Inter-Netzwerk Architektur (SINA) ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und secunet Security Networks AG konzipierte Sicherheitsarchitektur, die auf die Absicherung von Datenübertragung und -verarbeitung in unsicheren Netzumgebungen abzielt. Die Architektur nutzt modulare Komponenten  und setzt überwiegend auf Open-Source-Software, um vielfältige Sicherheitsanforderungen wie Netzwerkverschlüsselung, Datensicherung und Systemisolation zu erfüllen. Ziel ist es, flexible und erweiterbare Sicherheitslösungen für Anwendungen wie Standortvernetzung und mobile Arbeitsumgebungen zu bieten.
WorĂĽber dĂĽrfte die Kommunikation denn laufen?
Für die Kommunikation müsste beispielsweise ein sogenanntes SINA-System eingesetzt werden und dieses SINA-System muss auch zugelassen sein. Das BSI hält dazu eine Liste der evaluierten und zugelassenen Komponenten öffentlich vor. Die Frage bei Geheimschutz ist insbesondere aber auch nicht, ob die Kryptografie bei Webex ausreicht und ob WebEx infiltriert wurde, sondern ob alle Vorgaben vom Geheimschutz vollständig eingehalten wurden.
Was wären geeignete Maßnahmen?
Es sollte untersucht werden, ob das ein Einzelfall war oder ob es bei der Bundeswehr ein strukturelles Problem gibt, weil die Vorgaben nicht überall vollständig eingehalten werden. Die Kommunikation über die Ferne unter bestimmten Geheimhaltungsstufen ist beispielsweise nur in einem Schutzraum ohne privates Equipment und nur mit einem zugelassenen Endgerät zulässig. Selbst Notizen aus dem Gespräch dürfen dann nicht herausgetragen werden. Das muss alles im geheimen Bereich bleiben, mit eben den speziellen Komponenten. Es ist bei solchen Klassifizierungen nicht erlaubt, einfach "mal eben" aus einem Hotelzimmer heraus zu kommunizieren. Der Raum für das Gespräch muss dann eben abhörsicher sein und beispielsweise vorher auf Wanzen geprüft werden. Auch Wellenformgeneratoren und andere Funkoptionen sind in solchen Räumen verboten, es darf keine Strahlung eindringen oder austreten – also weder Mobilfunk, Bluetooth noch WLAN und dergleichen.
Passiert das denn öfter und warum?
Wahrscheinlich, weil die Geheimhaltungsstufen umständlich sind. Ich denke nicht, dass das ein Einzelfall ist. In der Vergangenheit kam das auch schon wiederholt vor. Selbst Angela Merkels Handy wurde ja von den Amerikanern abgehört und sie war empört darüber. Allerdings wurde ihr privates Handy, über das sie vertraulich gesprochen hatte, abgehört – und nicht das Geheimschutz-zugelassene Telefon. Natürlich können solche Geräte dann von Geheimdiensten und anderen kriminellen staatlichen Akteuren abgehört werden, das ist keine Raketentechnik. Die Geheimdienste sind wirklich eine Pest, die auf der ganzen Welt ausartet – egal ob militärisch oder nicht militärisch.
Es gibt bundesweit, ja sogar weltweit, grundlegende Probleme bei der Informationssicherheit, im Datenschutz und in der Nutzung von zugelassenen Geräten für klassifizierte Informationen. Ja, es ist kompliziert, schwierig und ätzend. Aber auf der anderen Seite muss man eben technisch und organisatorische Maßnahmen implementieren, um die Sicherheit und damit verbunden vor allem den Datenschutz in der Form zu gewährleisten, wie er vorgesehen ist und wofür er gedacht ist: Daten zu schützen, um die dahinterstehenden Menschen zu schützen. Gelingt das nicht, haben wir weder Datenschutz noch Klassifikation von Daten und die richtige Nutzung verstanden, noch können wir digital souverän agieren oder gar eine Zeitenwende hinbekommen.
Insbesondere wenn dann parallel auch noch der Bundesverteidigungsminister mit der an dieser Stelle vollkommen irrelevanten, komplett unzutreffenden Diagnose "Desinformationskampagne" daherkommt und den Skandal eher unbeholfen zu deeskalieren versucht.
Wir sollten demzufolge lieber eine digitale Zeitenwende einläuten und die erforderlichen Kompetenzen an alle Beteiligten und alle Entscheiderinnen vermitteln, statt über Glitzer-Hypes wie Blockchain oder KI zu reden. Das könnte helfen.
(mack)