Berlin/Bonn. Die Bundeswehr betritt jetzt Neuland bei ihre IT-Sicherheit. Interessierte IT-Sicherheitsforschende sind dazu aufgerufen, bisher unentdeckte Sicherheitslücken durch „gutgesinnte Hackerangriffe“ gemäß der ab sofort geltenden Regeln aufzudecken und der Bundeswehr mitzuteilen. Generalmajor Jürgen Setzer, seit April 2018 Stellvertretender Inspekteur im Kommando Cyber- und Informationsraum in Bonn sowie Chief Information Security Officer der Bundeswehr (CISOBw), stellt im Interview das Projekt „Bundeswehr legal hacken“ vor.
Die neuen Regeln schaffen die rechtlichen Rahmenbedingungen, um auf Schwachstellen in Bundeswehr-Netzwerken und auf Bundeswehr-Servern hinzuweisen. „Im Fokus steht die Sicherheit des IT-Systems der Streitkräfte – böswilligen Hackern soll es erschwert werden, in unser Netzwerk einzudringen oder andere Schäden anzurichten“, erklärt Generalmajor Setzer. Das Interview mit dem CISOBw führte vor wenigen Tagen das Presse- und Informationszentrum des Kommandos Cyber- und Informationsraum (CIR).
Herr General, die Truppe verfügt jetzt über eine eigene „Vulnerability Disclosure Policy der Bundeswehr“, kurz VDPBw. Was kann man sich darunter vorstellen?
Jürgen Setzer: Die „Vulnerability Disclosure Policy“ dient dazu, rechtliche Rahmenbedingungen zu schaffen, damit externe Dritte ihre Kenntnisse über Schwachstellen in öffentlichen Webauftritten und Netzübergängen der Bundeswehr sicher mit uns teilen können.
Warum ist gerade für die Bundeswehr eine solche Policy wichtig?
Setzer: Die Bundeswehr legt größten Wert auf die Sicherheit ihrer IT-Systeme. Trotz sorgfältiger Implementierung, Konfiguration und Tests können dennoch Schwachstellen vorhanden sein. Die Anwendung der VDPBw kann als Ergänzung zu eigenen Untersuchungen Informationen zu unbekannten Schwachstellen und Sicherheitslücken in unseren Systemen liefern. Sie ist damit die Voraussetzung, diese Schwachstellen und Lücken zu schließen und so das Risiko eines erfolgreichen Angriffs gegen unsere IT zu vermindern.
An wen richtet sich die „Vulnerability Disclosure Policy“?
Setzer: Die VDPBw richtet sich an alle IT-Sicherheitsforscher, also die „gutgesinnten Hacker“, die uns als Bundeswehr eine in unseren Systemen entdeckte Schwachstelle mitteilen möchten.
Einfach gesagt – fordern Sie nun Hacker aktiv auf, in die Netze der Bundeswehr einzudringen. Besteht da nicht für die Cyber-Sicherheit der Truppe eine große Gefahr?
Setzer: Keineswegs. Wir fordern die IT-Sicherheitsforschenden auf, sich an unsere Regeln zu halten (veröffentlicht unter www.bundeswehr.de/de/security-policy). Dazu gehört zum Beispiel, dass die Schwachstelle oder das Problem nicht ausgenutzt, Informationen über die Schwachstelle auch nicht an dritte Personen oder Institutionen – ohne die Zustimmung der Bundeswehr – weitergegeben werden dürfen. Erkennen wir kriminelle oder nachrichtendienstliche Absichten, oder werden dabei aktive Angriffe auf unsere IT-Systeme, die Infrastruktur und Personen in der Bundeswehr bemerkt, werden wir uns natürlich weiterhin vorbehalten, die Strafverfolgungsbehörden zu informieren.
Immer wieder wird betont, dass Cyber-Sicherheit nur gesamtstaatlich gewährleistet werden kann. Gibt es denn bereits andere Organisationen, die eine solche Policy nutzen, um Schwachstellen in ihrem IT-System zu identifizieren?
Setzer: Der Geschäftsbereich des Bundesministeriums der Verteidigung sowie die Bundeswehr sind im deutschen Behördenumfeld Vorreiter einer solchen Policy. Bei vielen Wirtschaftsunternehmen in Deutschland – wie zum Beispiel der Deutschen Telekom – hat sich bereits die Möglichkeit der Schwachstellenmeldung als Mehrwert etabliert. Natürlich sind daher auch im Behördenumfeld solche Meldestellen erstrebenswert, denn oft bleiben die Sicherheitslücken unbemerkt und werden dann erfolgreich bei Cyber-Angriffen ausgenutzt.
Gefundene Schwachstellen in IT-Systemen werden in der freien Wirtschaft teuer bezahlt. Warum sollen nun gerade Cyber-Spezialisten Ihnen – ohne finanziellen Ausgleich – helfen, das IT-System der Bundeswehr sicherer zu machen?
Setzer: Wir kaufen keine Schwachstellen an. Im Fokus steht die Sicherheit des eigenen IT-Systems der Bundeswehr, um es den „böswilligen Hackern“ schwerer zu machen, in unser Netzwerk einzudringen oder andere Schäden anzurichten. Wir setzen auf das Wissen und die Hilfe der Cyber-Community für eine erfolgreiche Cyber-Defense in Deutschland und Europa. Zudem nutzen wir meist weit verbreitete kommerzielle Hard- und Software von Herstellern und können als staatliche Institution gegebenenfalls mehr Druck zur Verbesserung von fehlerhafter Software über das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Hersteller ausüben, als dies vielleicht der Einzelne machen könnte. Wir wissen, die meisten Experten sind auf der Seite der „Guten“ – wir erwarten hier eher die Motivation, etwas Gutes für das Gemeinwohl zu leisten. Es steht zudem der gemeinsame Sicherheitsgedanke des Internets im Vordergrund. Dafür haben wir Respekt. Und wenn Sicherheitsforschende uns eine Schwachstelle melden, werden wir diese Leistung öffentlich anerkennen.
Als CISOBw sind Sie für die Regelung und Überwachung der Informationssicherheit in der gesamten Bundeswehr verantwortlich. Welche weiteren Tools und Möglichkeiten stehen Ihnen zur Verfügung, um die Netze der Truppe zu schützen und sicherer zu machen?
Setzer: Die Bundeswehr verfügt bereits über mehrstufige technische Absicherungsmaßnahmen. Hierzu zählt unter anderem nicht nur die Firewall-, Filter- und Sensortechnologie, sondern auch der Schutz der Endpunkte, an dem unsere Mitarbeiter tagtäglich arbeiten. Dort können selbstverständlich auch menschliche Fehler oder Unachtsamkeiten auftreten. Dem entgegnen wir mit Ausbildung und Awareness, der Bewusstheit des eigenen Tuns. Zur Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen setzen wir Sicherheitsinspektionen und Auditings (Anm.: Verfahren, um Tätigkeiten auf Übereinstimmung mit festgelegten Richtlinien oder Kriterien zu überprüfen), Schwachstellenanalysen, Penetration Testing (Anm.: Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer anwenden würde, um unautorisiert in das System einzudringen) sowie Red Teaming ein (Anm.: Das Red Teaming ist deutlich mehr von Szenarien bestimmt als das Penetration Testing; das Ziel von Red-Teaming-Einsätzen ist es, nicht nur die Umgebung und Systeme innerhalb der Umgebung zu überprüfen, sondern auch die Fachkräfte und die Unternehmensprozesse).
Zu unserem Bildangebot: Symbolbild „IT-Sicherheit“ aus dem Bildangebot von Pixabay.
(Foto: Pete Linforth/unter Pixabay License = freie kommerzielle Nutzung, kein Bildnachweis erforderlich)
Kleines Beitragsbild: Symbolbild „IT-Sicherheit“ aus dem Bildangebot von Pixabay.
(Foto: Markus Spiske/unter Pixabay License = freie kommerzielle Nutzung, kein Bildnachweis erforderlich)