Nach Hacker-Angriff auf Bundeswehr-Fahrdienstfirma: Kein Cyber-Schutz für Bundeswehr-Tochterfirmen

Der Hacker-Angriff auf die Bundeswehr-Tochterfirma Bundeswehr Fuhrpark Service Mitte August war vor allem wegen der Befürchtung in die Schlagzeilen geraten, damit könnten sensible Daten des Fahrdienstes für Bundestagsabgeordnete in fremde Hände gefallen sein. Der Angriff zeigt allerdings eine viel gravierendere Schwachstelle: Aus strukturellen Gründen sind Bundeswehr-Tochterfirmen auch dann nicht besonders geschützt, wenn sie (kriegs)entscheidende Leistungen für die Streitkräfte erbringen.

Obwohl inzwischen klar scheint, dass der Angriff auf die BwFuhrparkService einen kriminellen Hintergrund hatte und kein staatlicher Angriff auf die Bundeswehr-Servicefirma war, kam im Zusammenhang damit an die Öffentlichkeit, dass solche Gesellschaften nicht besonders vom Bundesamt für Sicherheit in der Informationstechnik geschützt werden.

tagesschau.de zitierte im Zusammenhang mit diesem Vorgang einen Sprecher des Bundesamtes für Sicherheit in der Informationstechnik: Die BwFuhrparkservice habe kein Schutzprogramm gegen die bei dem Angriff verwendete Erpressersoftware erhalten, weil sie weder eine staatliche Behörde sei noch als Unternehmen zum Bereich der so genannten Kritischen Infrastruktur gezählt werde. Das Programm gegen die Schadsoftware Emotet werde nur einem eingeschränkten Nutzerkreis zur Verfügung gestellt, um einen besonderem Vertraulichkeitsschutz zu wahren und mögliche Angreifer nicht ins Bild zu setzen.

Zu diesem eingeschränkten Nutzerkreis gehört der Bundeswehr-Fahrdienstleister nicht – und das ist kein Einzelfall, wie eine Nachfrage von Augen geradeaus! beim Verteidigungsministerium ergab. Der Schutz vor Hackerangriffen, den der Staat für seine Behörden und bestimmte Unternehmen der Kritischen Infrastruktur gewährleistet, gilt für alle Tochterunternehmen der Bundeswehr nicht, wenn sie eine eigenständige Gesellschaft sind – egal welchen Auftrag sie haben.

Davon ist nicht nur die BwFuhrparkservice betroffen, sondern vor allem auch die Heeresinstandsetzungslogistik, die HIL GmbH: Die Bundeswehr hat die Wartung ihrer militärischen Rad- und Kettenfahrzeuge bis hin zum Kampfpanzer dieser Gesellschaft übertragen (die privatrechtlich auch eine Gesellschaft bleibt, wenn sie vollständig im Bundesbesitz ist und inzwischen nicht wie geplant privatisiert wird).

Die Bedeutung der HIL beschrieb das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw) 2017 so:

Die HIL ist als Inhousegesellschaft integraler Bestandteil des logistischen Systems der Bundeswehr und entlastet die Bundeswehr von Aufgaben der Instandhaltung im Grundbetrieb. Sie unterstützt den Ausbildungs- und Übungsbetrieb und ist auf die Einsatzorientierung der Streitkräfte ausgerichtet. Die HIL leistet somit einen wesentlichen Beitrag zur Einsatzbereitschaft der Streitkräfte.

Dafür sind Mitarbeiter der HIL auch in Einsätzen und Missionen der Bundeswehr präsent, wie zum Beispiel bei der NATO-Battlegroup in Litauen (Foto oben).

Dennoch, das bestätigte ein Ministeriumssprecher auf ausdrückliche Nachfrage, wird die IT-Infrastruktur dieser Gesellschaft weder von der Bundeswehr geschützt, weil keine Behörde im Bereich des Verteidigungsministeriums, noch vom BSI, weil nicht als kritische Infrastruktur eingestuft. Das Unternehmen muss sich also wie jede andere Fahrzeugfirma ohne staatliche Unterstützung selbst darum kümmern.

Das gleiche gilt auch für die weiteren Inhouse-Gesellschaften – beim Bekleidungsmanagement dürfte ein Hackerangriff allerdings kurzfristig weniger Auswirkungen haben als bei der Wartung von Kampfpanzern und Truppentransportern. Und die BWI, die Inhouse-IT-Firma des Bundes, hat vermutlich genügend eigene Expertise, um sich gegen solche Angriffe zu schützen.

(Foto: HIL-Büro in der enhanced Forward Presence der NATO in Rukla/Litauen)