Nach Hacker-Angriff auf Bundeswehr-Fahrdienstfirma: Kein Cyber-Schutz für Bundeswehr-Tochterfirmen
Der Hacker-Angriff auf die Bundeswehr-Tochterfirma Bundeswehr Fuhrpark Service Mitte August war vor allem wegen der Befürchtung in die Schlagzeilen geraten, damit könnten sensible Daten des Fahrdienstes für Bundestagsabgeordnete in fremde Hände gefallen sein. Der Angriff zeigt allerdings eine viel gravierendere Schwachstelle: Aus strukturellen Gründen sind Bundeswehr-Tochterfirmen auch dann nicht besonders geschützt, wenn sie (kriegs)entscheidende Leistungen für die Streitkräfte erbringen.
Obwohl inzwischen klar scheint, dass der Angriff auf die BwFuhrparkService einen kriminellen Hintergrund hatte und kein staatlicher Angriff auf die Bundeswehr-Servicefirma war, kam im Zusammenhang damit an die Öffentlichkeit, dass solche Gesellschaften nicht besonders vom Bundesamt für Sicherheit in der Informationstechnik geschützt werden.
tagesschau.de zitierte im Zusammenhang mit diesem Vorgang einen Sprecher des Bundesamtes für Sicherheit in der Informationstechnik: Die BwFuhrparkservice habe kein Schutzprogramm gegen die bei dem Angriff verwendete Erpressersoftware erhalten, weil sie weder eine staatliche Behörde sei noch als Unternehmen zum Bereich der so genannten Kritischen Infrastruktur gezählt werde. Das Programm gegen die Schadsoftware Emotet werde nur einem eingeschränkten Nutzerkreis zur Verfügung gestellt, um einen besonderem Vertraulichkeitsschutz zu wahren und mögliche Angreifer nicht ins Bild zu setzen.
Zu diesem eingeschränkten Nutzerkreis gehört der Bundeswehr-Fahrdienstleister nicht – und das ist kein Einzelfall, wie eine Nachfrage von Augen geradeaus! beim Verteidigungsministerium ergab. Der Schutz vor Hackerangriffen, den der Staat für seine Behörden und bestimmte Unternehmen der Kritischen Infrastruktur gewährleistet, gilt für alle Tochterunternehmen der Bundeswehr nicht, wenn sie eine eigenständige Gesellschaft sind – egal welchen Auftrag sie haben.
Davon ist nicht nur die BwFuhrparkservice betroffen, sondern vor allem auch die Heeresinstandsetzungslogistik, die HIL GmbH: Die Bundeswehr hat die Wartung ihrer militärischen Rad- und Kettenfahrzeuge bis hin zum Kampfpanzer dieser Gesellschaft übertragen (die privatrechtlich auch eine Gesellschaft bleibt, wenn sie vollständig im Bundesbesitz ist und inzwischen nicht wie geplant privatisiert wird).
Die Bedeutung der HIL beschrieb das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw) 2017 so:
Die HIL ist als Inhousegesellschaft integraler Bestandteil des logistischen Systems der Bundeswehr und entlastet die Bundeswehr von Aufgaben der Instandhaltung im Grundbetrieb. Sie unterstützt den Ausbildungs- und Übungsbetrieb und ist auf die Einsatzorientierung der Streitkräfte ausgerichtet. Die HIL leistet somit einen wesentlichen Beitrag zur Einsatzbereitschaft der Streitkräfte.
Dafür sind Mitarbeiter der HIL auch in Einsätzen und Missionen der Bundeswehr präsent, wie zum Beispiel bei der NATO-Battlegroup in Litauen (Foto oben).
Dennoch, das bestätigte ein Ministeriumssprecher auf ausdrückliche Nachfrage, wird die IT-Infrastruktur dieser Gesellschaft weder von der Bundeswehr geschützt, weil keine Behörde im Bereich des Verteidigungsministeriums, noch vom BSI, weil nicht als kritische Infrastruktur eingestuft. Das Unternehmen muss sich also wie jede andere Fahrzeugfirma ohne staatliche Unterstützung selbst darum kümmern.
Das gleiche gilt auch für die weiteren Inhouse-Gesellschaften – beim Bekleidungsmanagement dürfte ein Hackerangriff allerdings kurzfristig weniger Auswirkungen haben als bei der Wartung von Kampfpanzern und Truppentransportern. Und die BWI, die Inhouse-IT-Firma des Bundes, hat vermutlich genügend eigene Expertise, um sich gegen solche Angriffe zu schützen.
(Foto: HIL-Büro in der enhanced Forward Presence der NATO in Rukla/Litauen)
Wir sind einfach außer Stande Verteidigung als gesamtstaatliche Aufgabe zu denken. Wozu die Bw direkt angreifen wenn ihre Enabler viel weniger geschützt sind und deren Ausfall innerhalb kürzester Zeit operative Einschränkungen zur Folge hätte.
pi
„Die HIL leistet somit einen wesentlichen Beitrag zur Einsatzbereitschaft der Streitkräfte.“
Niemand hat die Absicht die Streitkräfte einzusetzen. (Der Satz muss durch die Nase gesprochen werden) SARC OFF.
Erst sourced man die 2. logistische Ebene für Heeresmaterial an eine Privatfirma im Bundesbesitz aus und dann sagt das BSI diese bundeseigene Firma mit Sicherheitsaufgaben geht mich nichts an.
Wie bescheuert ist denn diese Logik ?
Man muss hier vielleicht noch unterstreichen dass das Heftpflaster das gegen Emotet benutzt wurde nicht vom BSI sondern von Binary Security kam und via CYMRU an nationale CERTs verteilt wurde (siehe: https://www.zdnet.com/article/for-six-months-security-researchers-have-secretly-distributed-an-emotet-vaccine-across-the-world/)
Dass die Fahrbereitschaft nicht zur kritischen Infrastruktur gehört nach BSI Kriterien verwundert dann auch nicht besonders. Aber es zeigt natürlich ein ganz generelles Problem im Bereich IT Sicherheit. Letzteres ist meistens ein Gedanke im Nachgang. Man hat sein Produkt/Service etc. und zieht den hoch und dann sagt man ja da muss man ja auch noch was mit Sicherheit machen anstatt dass man was auch immer man aufziehen will von Anfang an um Sicherheit herumdenkt. Und da ist es egal ob wir von einer kleinen Butze reden, einem Mittelständler, einer großen Behörde oder Ministerium, oder einem internationalen Industriekonzern. Das versucht man immer am Ende drüber zu kleben anstatt alle Prozesse darum aufzubauen.
Auch interessant weil die selektive Verbreitung von Emocrash quasi das Inverse der Sicherheitslücken Problematik ist die man bei offensiven Cyberspielchen hat. Anstatt dass man Lücken hortet anstatt zu zumachen (und damit alle unsicherer macht) hat man jetzt einen Fix sehr sparsam angewendet. Mir ist auch nicht ganz klar warum? Der Gedanke war wohl wenn man ihn nicht zu weit verbreitet wissen die Emotet Leute nicht wo das Problem liegt und brauchen länger um ihren code anzupassen. Wenn den fix ’nur‘ die kritischen Infrastrukturen von den beteiligten Ländern bekommen (was immer noch ziemlich viel ist), er aber auf anderen Systemen noch geht dann dauert es länger das Problem zu identifizieren. Aber die Verbreitung dürfte immer noch groß genug gewesen sein und die haben ja auch relativ schnell versucht das ‚Problem‘ in ihrer Schadsoftware zu beheben. In der Zwischenzeit hätte man aber noch wahnsinnig viele andere User vor Befall wahren können.
Ich kann die Entscheidung nachvollziehen aber der relative Nutzen ist vielleicht nicht so klar wie es zunächst scheint.
„Tolles Sicherheitskonzept“ kann man da nur sagen.
Ich wäre da gerne mal Mäuschen in den Besprechungen gewesen, als diese Entscheidungen gefallen sind, als die Liste der kritischen Infrastruktur erstellt wurde.
Da gab es doch mit Sicherheit den einen oder anderen Experten, der auch die angesprochenen Firmen auf die Liste setzen wollte.
Wer aber hat dann diesen Hinweis nicht Ernst genommen und die Liste ohne diese Firmen genehmigt?
Der oder diejenigen gehören meiner Meinung nach sofort abgelöst, weil sie keine Ahnung von systemrelevanz und Sicherheit haben.
Und ich kann die Entscheidung schon verstehen (im Gegensatz zu @tt.kreischwurst) dass man das Schutzprogramm nicht in der Fläche ausbreitet. Systemrelevante Firmen und Behörden und kritische Systeme (z. B. Stromversorgung) gehen vor Ottonormalbürger und der normalen Wirtschaft, auch wenn da ein insgesamt größerer finanzieller Schaden entstehen könnte.
Nur mal so als Hinweis zur Bundeswehr Bekleidungsmanagement: Was auf deren betagten Computern vor sich hin oxidiert ist keineswegs ohne.
Schließlich finden sich hier alle möglichen Personaldaten, verknüpft mit der persönlichen Ausrüstung und vielerlei privaten Daten (Adresse, Telefonnummer…).
Den Emotet hätte ich also eher auf die BwBM losgelassen, aber vielleicht läuft das Programm nicht unter Windows 98…?
@Stöber
Das BwBM mit W98 arbeitet, wissen Sie tatsächlich aus persönlicher Inaugenscheinnahme?
Mich würde sehr interessieren, nach welchen Kriterien einzelne Angriffe an die Öffentlichkeit gelangen. Eigentlich sollte man doch meinen, dass das durchweg Verschlusssachen sein sollten. Ebenso wird vom BSI impliziert, dass ein Antivirus den Angriff erkannt hätte – eine kühne Behauptung. Natürlich wird auch nicht kritische Infrastruktur vom BSI geschützt. Die Frage sollte doch eher lauten: „Wer ist der Dienstleister von Fuhrpark und HIL?“
Da hätte ich mal ein paar kurze Fragen an die betroffenen Unternehmen:
*CIO?
*CISO?
*BIA?
*BCP/BCM?
*DRP?
*IRT/CERT?
*IPS/IDS?
*…
Sind alles Maßnahmen oder Rollen, die bei der genannten Problemstellung hilfreich wären. Kann doch nicht sein, das diese Unternehmen in 2020 dahingehend „nackig“ dastehen.
Möchte man die gesamte Kette schützen, muss man auch den Zulieferer einer Dichtung schützen.
Die Firmen müssen sich schlichtweg selber gegen sämtliche Spionage schützen.
Es müssen eventuell die Ausschreibungen diesbezüglich angepasst werden.
Die Diskussion und der Marker wurde schon vor Jahren in der Presse kommuniziert… Firmen müssen sich besser Absichern!
@O.Punkt: doch, die sind nackig. Weil man das Problem schlicht ignoriert hat oder nicht wahrhaben wollte, oder beides. M.E. fahrlässig.
Aber wo haben wir denn in der Truppe „sichere“ Verbindungen? Das Problem ist auch unter LV/BV Gesichtspunkten riesig und wird daher von offizieller Seite gemieden.
Wenn das private Firmen und keine Behörden sind, stellt sich doch die Frage, wieso dann Streitkräfte (CERT der Bw) vor Ort tätig wird. Die haben doch da nichts verloren.
Hallo, dem ein oder anderen scheint das Prinzip der bundeseigenen Gesellschaft wie HIL oder BwFPS nicht bekannt zu sein. Kann man aber über Google einfach was zu finden. Ursprünglich gab es Mal Partner aus der Industrie, beim BwFPS war zum Beispiel die DB beteiligt. Oder bei der BWI IBM. Mittlerweile sind die Anteile dieser Gesellschaften zu 100% im Bundesbesitz. Eventuell erklärt sich so auch der Einsatz des CERTBw in diesen Gesellschaften.
Zur allgemeinen Thematik der Infosicherheit und wie das in diesen bundeseigenen Gesellschaften gehandhabt wird kann ich nichts beitragen. Aber das es da keine Vorgaben geben soll, mag ich nicht Recht glauben.
@O.Punkt, selbst wenn die genannten Rollen formal besetzt sind und entsprechende Konzepte erstellt haben, verfügen die Personen auch über das nötige Fachwissen? Die die das Fachwissen hätten wird man wird eher nicht für A11 bekommen.
Die Firmen sind eben doch nur Firmen, egal wem sie gehören. Außer zur Verteidigung ist der Einsatz der Streitkräfte ist nach 87a GG verboten, wenn nicht an anderer Stelle im Grundgesetz ausdrücklich erlaubt! Art 35 erlaubt zwar etwas, ist hier aber nicht einschlägig. Insofern kann die Bundeswehr nicht hemdsärmelig wie ein Kleinunternehmer selbst Hand anlegen. Das kann ein GmbH Gesellschafter, der nicht Geschäftsführer ist, formal auch nicht. Der hat auch nur ein Auskunftsrecht und keine Mitwirkungsmöglichkeit.
Wo soll ein Einsatz des CERT der Bundeswehr, die nach u.a. Handelsblatt Berichterstattung, „vor Ort im Einsatz“ waren, seine rechtliche Grundlage haben?
Es war definitiv keine Amtshilfe, denn die Firmen sind keine staatliche Behörde. Punkt.
@Flo
Sind nicht die Geschäftsführer de jure persönlich für die Datensicherheit in Haftung genommen?
Die Kritis VO legt bestimmte Sektoren als kritische Sektoren fest.
Die Unternehmen, die die Kriterien per KritisVO erfüllen, müssen ein Infirmationssicherheits management System aufbauen und Nachweisen lassen (in der Regel ISO 27001 oder ISO 27001 nach BSI Grundschutz).
Dazu kommen branchenspezifische Vorgaben.
Der Öffentliche Dienst ist aktuell kein kritischer Sektor (Ausnahme wenn der öD eine Aufgabe nach Kritis VO erfüllt).
Das BMI ist Federführend bei der Aktualisierung des sog. IT Sicherheitsgesetzes 2.0, welches dann eine aktualisierte KritisVO bedingen wird.
Auch in den geleakten Entwürfen ist der öffentliche Dienst nicht enthalten. Wieso? Weil man bestimmt weiss dass man die eigenen Vorgaben selber nicht erfüllt.
Lösung:
(A) Im Netz darüber aufregen
(B) ignorieren und bei Vorfällen purer Aktionismus
(C) den Abgeordneten des Innenausschusses entsprechende Anfragen stellen….
Nachtrag:
Wenn das BMVg wirklich wollte, dass die Gesellschaften hier gut aufgestellt wären, würden Sie als „Besitzer“ diese eben Auffordern, sich zertifizieren zu lassen….
Hallo FNU SNU,
IT Sicherheit kostet Geld in Form von geschultem Personal, externer Beratung und Hardware (z.B. Firewall, AV Proxy, IDS/IPS Seonsoren, VPN Gateway), usw. Wenn die Bundeswehr / das BMVg von seinen Dienstleistern erwartet, so muss das Vertraglich festgelegt werden und somit wird es eingepreist. Und das will man nicht, daher geht man dazu über, das nicht zu fordern und am Ende macht man dicke Backen und zeigt sich überrascht.
Gerade das BMVg bestellt und zahlt gerne Selters und erwartet und fordert dann Sekt, wenn nicht Champagner, dass kann ich aus eigener Erfahrung sagen.
Bei Informationssicherheit haben wir noch so viele Baustellen. Das gleiche betrifft neben solchen privatwirtschaftlich organisierten Organisationen z.B. auch alle Gewerkschaften und Berufsvertretungen, wie den Deutschen BundeswehrVerband. Diese verfügen mit ihren Mitgliederdatenbanken auch über eine höchst sensible Anhäufung personenbezogener Daten über z.B. Polizisten, Bedienstete von Ministerien oder Soldaten. Um deren Sicherheit ist es teilweise nicht gut bestellt und hier müsste dringend nachgebessert werden. Cyber-Sicherheit muss noch breiter angesetzt werden als bisher.
Herr Wiegold, das betrifft aber auch Ihren Blog: Sie sollten sich Fragen, ob es wirklich erforderlich ist von allen Nutzern die bei Ihnen kommentieren die E-Mailadresse einzusammeln. Diese sind in Ihrer WordPress-Datenbank systematisiert abgelegt und da nicht wirklich sicher. Kritische WordPress-Sicherheitslücken gibt es fortlaufend und das ist ja nur einer der Angriffspunkte bei einem solchen System. Eine Sammlung von Mailadressen mit Bezug zur Bundeswehr und sicherheitspolitischen Kreisen aus Deutschland ist für jeden Nachrichtendienst, der über eine technische Aufklärung im Internet verfügt potentiell interessant. Die können einfach massenhaft in die Erfassung eingestellt werden. Wir müssen uns alle mehr Gedanken über Informationssicherheit und Datenschutz machen.
@Irgendwer
Klar kostet das Geld.
Deshalb ist es auch Scheinheilig, dass der VIP Fahrdienst des BTags faktisch den billigsten Anbieter nimmt, keine Vorgaben zur Sicherheit allgemein macht und sich dann wundert….
Ja, Sicherheit kostet. Aber was kostet ein Vollbefall oder Kryptotrojaner… Fragt mal die Gerichte, die seit Monaten offline sind…
Ich bin überrascht, wie wenig passiert. Eher Glück als strukturelle Kompetenz.
Betroffen von den entsprechenden Verpflichtungen sind die CISOs insbesondere die des Ministeriums, des KdoCIR und des BAAINBw. Soweit diese Verpflichtungen nicht erfüllt werden, stellt sich die Frage, ob dies als Verstoß gegen die Dienstpflichten gewertet und entsprechend sanktioniert werden kann.
Zwei Hinweise zum Schluss:
Der Schutz kritischer Infrastrukturen und deren Lieferketten ist zunehmend auch Gegenstand der europäischen Gesetzgebung wie der sog. NIS-Richtlinie und des Cyber-Security-Acts. Anders als Deutschland haben sich andere europäische Staaten wie z.B. Österreich entschlossen, ihre entsprechende Gesetzgebung ganzheitlich so auszurichten, dass die Regelungen sowohl den privaten als auch den öffentlichen Bereich umfassen.
Die „Großmutter“ der entsprechenden Regelungen ist übrigens als „Orange Book“ tief im kalten Krieg entstanden und dient heute in Form der „Common Criteria“ bzw. ISO 15408 als Grundlage für die Entwicklung von Regeln für die Sicherstellung besagter Lieferketten.
Der Autor dieser Zeilen muss es wissen: Er ist seit 2002 auf ziviler und militärischer Seite ein kritischer Begleiter des Themas.