[datensicherheit.de, 07.03.2024] Im jüngsten Spionage-Vorfall bei der Bundeswehr sollen vertrauliche Gespräche hochrangiger Bundeswehr-Offiziere über „Webex“ abgefangen worden sein. Dieser Vorfall sei weit entfernt von einem „Zufallstreffer“, auch wenn das Bundesverteidigungsministerium diesen veritablen Schnitzer gerne als solchen herunterspielen würde. Lars Christiansen, „Area Vice President EMEA Central“ bei Tanium, kommentiert: „Er unterstreicht die Notwendigkeit, dass Organisationen wie die Bundeswehr fortgeschrittene Sicherheitsmaßnahmen ergreifen müssen, um der äußerst angespannten weltpolitischen Lage gerecht werden und ihre streng vertraulichen Kommunikationen vor ausländischen Geheimdiensten abschirmen zu können.“

Foto: Tanium

Lars Christiansen rät neben der technischen Absicherung aller Endpunkte auch zu einer kontinuierlichen Sensibilisierung und Schulung der Mitarbeiter

Christiansen sieht anschauliches Beispiel – WebEx vom BSI nicht als sicher eingestuft

„Die Tatsache, dass ,Webex’-Datenverkehr auf der ,Airshow Singapore’ abgehört wurde, weist auf mehrere Angriffsvektoren hin“, erläutert Christiansen. Die Möglichkeiten reichten von fehlender Verschlüsselung bei Einwahl in „WebEx“ über Telefon oder Browser bis hin zu potenziellen Abhörwanzen in Räumen und dem Nichtgebrauch etablierter VPN-Standards.

Dieses Datenleck diene außerdem als anschauliches Beispiel dafür, wieso „WebEx“ vom BSI nicht als sicherer Kommunikationskanal für klassifizierte Informationen eingestuft werde.

Entscheidend ist laut Christiansen eine ganzheitliche Cybersecurity-Strategie

„Auch bei der Bundeswehr beginnt der Datenschutz beim Nutzer“, betont Christiansen. Die Informationen hätten nach Bundeswehr-Standards mindestens als „VS-NfD“ klassifiziert und ausschließlich über eine vom BSI zugelassene „SINA“-Infrastruktur und -Produkte übermittelt werden müssen.

Christiansens Fazit: „Dies verdeutlicht, wie entscheidend eine ganzheitliche Cybersecurity-Strategie ist, die neben der technischen Absicherung aller Endpunkte auch eine kontinuierliche Sensibilisierung und Schulung der Mitarbeiter umfasst.“ Nur so könne gewährleistet werden, dass solche Vorfälle in der Zukunft vermieden würden und Deutschlands Nationale Sicherheit nicht aufs Spiel gesetzt werde.

Weitere Informationen zum Thema:

heise online, Marie-Claire Koch, 05.03.2024
Taurus-Leak: Warum „Shooting the Messenger“ das Problem nicht löst / Warum die Debatte über WebEx im Abhörskandal der Bundeswehr erneut zu nichts führen wird, erklärt Manuel Atug im Interview

[datensicherheit.de, 06.11.2019] Von der Keynote der Bundesministerin der Verteidigung, Annegret Kramp-Karrenbauer, am ersten Kongresstag berichtet Dirk Pinnow als Repräsentant des Medienpartners „datensicherheit.de“ auf der „Cybersecurity 2019“ in Berlin. Auch im Kontext der Digitalisierung gelte es, die bürgerliche Freiheit und den Datenschutz zu erhalten.

Foto: Dirk Pinnow

Annegret Kramp-Karrenbauer über die Erschließung des Cyberspace‘ als Gestaltungsraum der Sicherheitspolitik

Cyberspace – ein von Menschen gemachter Raum

Die Bundesministerin griff eingangs zwei Themen des ersten Kongresstages auf: Das angesprochene BSI-Jahrbuch „Die Lage der IT-Sicherheit in Deutschland“ und der live von Sebastian Schreiber, Geschäftsführer der Syss GmbH, vorgeführte Hacking-Angriff auf Verkehrsampeln seien exemplarisch für die Angreifbarkeit unserer Gesellschaft.
Es dürfe nicht vergessen werden, dass auch der sogenannte Cyberspace ein von Menschen gemachter Raum sei, in dem konkurrierende Interessen ausgetragen würden. Dieser sei indes keineswegs nur virtuell, denn irgendwo in der materiellen Welt befänden sich die notwendigen Server, verliefen die verbindenden Kabel.

Frage nach digitaler Gestaltungsmacht stellen

Es gelte in diesem Zusammenhang die Frage nach der digitalen Gestaltungsmacht zu stellen. Sie warnte beispielhaft vor dem sogenannten Social Scoring, einem in der Volksrepublik China bereits betriebenen Sozialkredit-System: Systemkonformes Verhalten werde belohnt, abweichendes Verhalten durch Abwertung bestraft – die Folge für die Betroffenen könnte ein stark verminderter Handlungsspielraum hinsichtlich Geschäftsfähigkeit und Mobilität sein. Kramp-Karrenbauer betonte die Notwendigkeit, auch im Kontext der Digitalisierung die bürgerliche Freiheit und den Datenschutz zu erhalten.
Bei der Entwicklung digitaler Technologie bleibe Deutschland derzeit unter seinen Möglichkeiten. Sie rief zu einem Zusammenwirken von Politik, Wirtschaft, Wissenschaft und Gesellschaft auf. Die Entwicklung digitaler Systeme sei ein Teil der sicherheitspolitischen Verantwortung – denn es gehe letztendlich um die Digitale Souveränität. Die Bürger müssten Vertrauen in die digitale Infrastruktur haben können.

Gemeinsames Cyber-Lagebild als politische Entscheidungsgrundlage

Im Zuge der Digitalisierung tue sich eine Grauzone auf – Innere und Äußere Sicherheit seien immer schwerer scharf voneinander abzugrenzen. So könnten Cyber-Angriffe auf primär zivile Ziele sehr wohl auch mittelbar die Bundeswehr betreffen.
Aber es komme auch täglich zu direkten Cyber-Angriffen auf die Bundeswehr. Kampfflugzeuge seien heute mit Dutzenden Computern ausgestattet und von vielen Kilometern Kabeln durchzogen. Schiffe der Marine glichen im Prinzip schwimmenden Rechenzentren… Die Cyber-Sicherheitsvorsorge sei eine gesamtstaatliche Aufgabe – als politische Entscheidungsgrundlage müsse es ein gemeinsames, bewertetes Cyber-Lagebild geben.

Einsatz im Cyberspace mit denselben rechtlichen Grundlagen wie in der materiellen Welt

Die Erschließung des Cyberspace‘ als sicherheitspolitischer Gestaltungsraum sei so bedeutend wie seinerzeit der Vorstoß in den Luftraum. Künstliche Intelligenz (KI) könne dabei helfen, eine Krisenfrüherkennung zu etablieren.
Kramp-Karrenbauer brachte Beispiele für die Notwendigkeit der Bundeswehr, im Cyberspace zu wirken: Das Aufspüren von Sprengfallen in Einsatzgebieten, welche oft per Mobilfunk gezündet werden, oder das Vorgehen gegen ehrabschneidende Falsch-Meldungen u.a. Sie stellte aber klar, dass der Einsatz im Cyberspace denselben rechtlichen Grundlagen genügen müsse wie in der materiellen Welt.

Bundeswehr übernimmt Mitverantwortung für mehr Sicherheit im Cyberspace

Auch die Bundeswehr sei heute vom IT-Fachkräftemangel betroffen und müsse sich dem Wettbewerb stellen – in diesem Zusammenhang benannte sie beispielhaft die Universität der Bundeswehr München.
Sie kündigte an, dass eine neue Agentur für Innovation in der Cybersicherheit im Bereich der Inneren und Äußeren Sicherheit in Leipzig errichtet werden soll. Die Bundesverteidigungsministerin bekannte sich zur Bundeswehr als Teamplayerin im Kontext der gemeinschaftlichen Aufgabe für mehr Sicherheit auch im Cyberspace.

Weitere Informationen zum Thema:

Die Bundesregierung, 09.10.2019
Agentur für Innovation in der Cybersicherheit / Errichtung einer Agentur für Innovation in der Cybersicherheit im Bereich der Inneren und Äußeren Sicherheit

bitkom, 03.07.2019
Bitkom zur geplanten Agentur für Innovationen in der Cybersicherheit

datensicherheit.de, 06.11.2019
Digitalisierung – die ersten gefährdeten Schritte im Cyberspace / Beobachtungen von der „9. Handelsblatt Jahrestagung Cybersecurity“ in Berlin

datensicherheit.de, 05.11.2019
Cyberspace: Virtueller Raum mit realer Gefahr / Notizen von ds-Herausgeber Dirk Pinnow vom 1. Tag der „9. Handelsblatt Jahrestagung Cybersecurity“ im Hotel Bristol Berlin

datensicherheit.de, 14.10.2019
9. Handelsblatt Jahrestagung Cybersecurity in Berlin

Kommentar von Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX Group

[datensicherheit.de, 07.12.2018] Im aktuellen Jahresbericht des Bundesrechnungshofs treten große IT-Sicherheitsmängel bei der Bundeswehr zutage. So heißt es beispielsweise wörtlich: „Dienststellen ließen Teile ihrer IT nicht durch das hierfür ausgebildete IT-Fachpersonal, sondern von den Nutzerinnen und Nutzern selbst administrieren. Damit setzten sie sich dem Risiko aus, ihre IT aufgrund fehlerhafter Konfiguration, unkontrolliert installierter Software oder unzureichender Sicherheitsupdates mit Schadsoftware zu infizieren.“

Probleme dieser Art sind bei der Armee besonders kritisch, da diese in ihrer Funktion als Verteidigungsorgan Zugang zu geheimen Informationen und Wehrmitteln hat. Die angesprochenen Probleme sind allerdings nicht allein bei der Bundeswehr zu finden. Vielmehr ist es wahrscheinlich, dass grobe Fahrlässigkeit schon bei elementaren Schutzmechanismen in vielen Organisationen eher die Regel anstatt Ausnahme ist – nur werden sie durch die strengeren Prüfungsmechanismen bei der Armee deutlicher sichtbar.

Neben der Gefahr von Cyberattacken verursachen schlechte Verwaltung und mangelnde Einsicht zusätzliche Kosten und weitere Bedrohungen. Bei der Bundeswehr geht es beispielsweise um Sprengmittel. Hier sei überschüssiges Material nur teilweise ausgesondert und nicht verwertet, sondern nur eingelagert worden. Dies habe zu Wertverlust und unnötigen Kosten geführt. Der Fehler war auf eine unzureichende IT-Verwaltung zurückzuführen, sodass falsche Maßnahmen eingeleitet wurden.

Bild: WALLIX Group

Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX Group

Assets werden durch Fehler in der IT nicht effizient genutzt

Natürlich muss es sich nicht immer um brisantes Waffenmaterial handeln, aber in den meisten Unternehmen finden sich sicher andere Beispiele, bei denen Assets durch Fehler in der IT nicht effizient genutzt oder gewartet werden. Das Paradigma der digitalen Integration verspricht bessere Skalierbarkeit, Effizienz und Erreichbarkeit von Ressourcen, aber in der Praxis werden bei der Umsetzung oftmals nicht alle nötigen Aspekte beachtet. Der Fall bei der Bundeswehr verdeutlicht einen wichtigen Nebeneffekt der Digitalisierung: Es gibt mehr Akteure und einen höheren Bedarf an Administration, der Faktor Mensch spielt eine wichtige Rolle beim Thema Cybersicherheit. Versäumnisse oder Innentäter sind in vernetzten Umgebungen ein unterschätzter Gefahrenherd. Nur 42 Prozent aller Unternehmen haben hier zum Beispiel Sicherheitsmechanismen implementiert.

Anzahl der Benutzerkonten und Compliance-Anforderung steigen ständig an

Die Anzahl der Benutzerkonten und Compliance-Anforderung steigen ständig an. Viele Accounts brauchen zudem spezielle Zugriffsrechte: Dienstleister und Superuser verwalten zwar Teilbereiche von Systemen oder einzelne Applikationen, trotzdem benötigen sie entsprechende Freigaben, um richtig arbeiten zu können. IT-Abteilungen haben jedoch nicht das nötige Personal, um sämtliche Akteure zu überwachen, insbesondere, wenn diese bei Dritten angestellt sind.

Ein Mikro-Management für jeden einzelnen Benutzer ist zeitraubend und ineffizient. Die Probleme finden sich natürlich nicht nur bei der Bundeswehr, sondern treffen auch auf die meisten Unternehmen zu. Angesichts der wachsenden Zahl von Geräten und der heterogenen Benutzergruppen brauchen die Administratoren Lösungen, um die Zugriffsrechte angemessen zu verwalten. Dabei muss eine Sicherheitsstrategie an das Zeitalter der Digitalisierung angepasst werden.

Privileged Access Management (PAM) setzt genau hier an und segmentiert Nutzerkonten nach Bedarf: Auditoren können Zugänge für einzelne Anwender oder bestimmte Nutzergruppen granular verwalten. Detaillierte Maßnahmen für Benutzerkonten gewährleisten eine Sicherheitsgrundlage für das On- und Offboarding von Accounts und Anwendungen.

Die Verwaltung von privilegierten Nutzerkonten durch ein zentrales Tool ist sinnvoll, wenn IT-Abteilungen Entlastung brauchen und Organisationen zudem Compliance-Vorgaben beachten müssen. Gerade bei (Hybrid-) Cloudumgebungen und dem Einsatz von IT-Dienstleistern ist PAM eine Schlüsseltechnologie und erhöht das Schutzniveau nachhaltig.

Weitere Informationen zum Thema:

datensicherheit.de, 11.08.2018
Kostenloses Discovery-Tool zum Aufspüren privilegierter Konten

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern

datensicherheit.de, 08.12.2016
IT-Sicherheit: Gründliche Planung ist Voraussetzung

[datensicherheit.de, 28.06.2011] Das Bundesamt für Informationsmanagement und Informationstechnik der Bundeswehr (BSI) hat secunet mit der Lieferung von mehreren hundert „SINA Virtual Workstations“ beauftragt:
Die „SINA Clients“ sind für den Einsatz im „Afghanistan Mission Network“ (AMN) bestimmt und sollen bis zum Jahresende 2011 ausgeliefert werden. Das Auftragsvolumen für die secunet Security Networks AG belaufe sich dabei auf einen einstelligen Millionen Euro-Betrag.

Foto: secunet Security Networks AG, Essen

„SINA Virtual Workstation“: „Fat Client“ mit Kryptodateisystem und IPSec-gesicherter Kommunikation

Das AMN ist das primäre „C5ISR“-Netzwerk (Command, Control, Communications, Computers, Combat Systems, Intelligence, Surveillance and Reconnaissance) im Einsatzgebiet Afghanistan für alle ISAF-Truppen, welches sämtliche nationalen Operationssysteme ablöst. Als innovatives operationelles Konzept beinhaltet AMN die Bereitstellung eines einheitlichen ISAF-weiten Informationsraums für den Austausch und die Bearbeitung einsatzrelevanter Daten aller internationalen ISAF-Kräfte.
Die im Rahmen dieser Beschaffung zulaufenden „SINA Virtual Workstations“ ermöglichen die Bearbeitung von Daten der Einstufungen bis einschließlich „GEHEIM“ / „NATO SECRET“ / „MISSION SECRET“. Ein neues Leistungsmerkmal der georderten „Krypto Clients“ in der AMN-Konfiguration ist deren Dual-Monitor-Fähigkeit. Die „Sichere Inter-Netzwerk-Architektur“ (SINA) ist eine Hochsicherheitslösung, die secunet gemeinsam mit dem BSI entwickelt hat. Insbesondere bei Behörden und Streitkräften ist SINA seit vielen Jahren erfolgreich im Einsatz.

Weitere Informationen zum Thema:

secunet
SINA – Skalierbares Sicherheitsniveau für höchste Ansprüche

[datensicherheit.de, 22.10.2010] Am 20. Oktober 2010 wurde der zweite Kommunikationssatellit der Bundeswehr und der „Deutsch-Französische Systemverbund zur satellitengestützten Aufklärung“ durch die Streitkräftebasis in Betrieb genommen:
Der Stellvertreter des Generalinspekteurs der Bundeswehr und Inspekteur der Streitkräftebasis, Vizeadmiral Wolfram Kühn, übernahm im Betriebszentrum für die Satellitenkommunikation in Rheinbach den im Mai 2010 gestarteten zweiten Kommunikationssatelliten für die Bundeswehr in den „Wirkbetrieb“. Zudem wurde das deutsche satellitengestützte Aufklärungssystem SAR-Lupe zur Mitnutzung an das französische Militär beim „Kommando Strategische Aufklärung“ in Grafschaft-Gelsdorf übergeben. Gleichzeitig erhielt die Bundeswehr die Nutzungsrechte am französischen Aufklärungssystem Helios II.
Von Anfang an habe die feste Absicht bestanden, „SAR-Lupe“ gemeinsam mit Frankreich in einen Systemverbund einzubinden. Für die Zukunft erhoffe man sich, dass sich weitere europäische Länder anschlössen und mit ihren Systemen diese Kooperation sinnvoll ergänzten. Ziel sei die Schaffung einer „Europäisierung der satellitengestützten Aufklärung“ (E-SGA).
Die Streitkräftebasis ist innerhalb der Bundeswehr dafür verantwortlich, modernste Kommunikations- und Aufklärungsmittel bereit zu stellen, die die autarke und globale Übertragung von Sprache und Daten sowie den Aufklärungsbeitrag zur Krisenfrüherkennung, -vorsorge und zum -management umfassen.