Berlin. WebEx, „BigBlueButton“ und BOS-Software: Die Regierung nutzt eine Vielzahl an Kommunikationsmitteln. Wird genau das zum Problem?
Die Abhör-Affäre der Bundeswehr ist brisant: Russische Medien berichten aus einem offenbar abgehörten Gespräch ranghoher deutscher Offiziere. Es geht in der Unterhaltung um heikle Fragen, etwa die Lieferung von Taurus-Marschflugkörpern aus Deutschland an die . Mit in der Unterredung, die eigentlich intern bleiben sollte, ist sogar der Chef der Luftwaffe, Generalleutnant Ingo Gerhartz.
Bekannt ist bisher: Die vier Offiziere hatten ein informelles Gespräch, es ging um die Vorbereitung eines Treffens mit Verteidigungsminister Boris Pistorius. Die Soldaten entwarfen Szenarien, spielten Einsatztaktik und Vorbereitung eines Einsatzes von Marschflugkörpern in der Ukraine durch. Es war kein offizielles Treffen, einer der Offiziere schaltete sich sogar aus einem Hotel in Singapur dazu.
Doch genau das, so sagen es Fachleute im Gespräch mit unserer Redaktion, ist das Problem: Wenn das Treffen nicht offiziell als „geheim“ eingestuft war, greifen nicht die üblichen Sicherheitsstandards. Oder sagen wir es so: Die Offiziere hielten die üblichen Verfahren offenbar nicht für notwendig.
Aber welche Standards gelten eigentlich? Genau das, ergänzen Sicherheitsexperten, ist ein weiteres Problem: Mehrere Behörden sind für die Kommunikationstechnik der Ministerien verantwortlich, das Bundesamt für Sicherheit in der Informationstechnik (BSI), also Deutschlands oberste Cyberabwehrbehörde, soll diese Technik überwachen und zertifizieren.
Doch für die Bundeswehr wiederum ist das BSI nicht zuständig. Hier ist das CIR in der Verantwortung, der Cyber- und Informationsraum mit elf Bataillonen und 16.000 Mitarbeitenden. In der Einheit gibt es weitere Abteilungen, das Kommando Informationstechnik-Service etwa, oder das Zentrum für operative Kommunikation. Es ist das, was Fachleute in vielen Behörden sehen: ein Wirrwarr an Zuständigkeiten und Kompetenzen. Genau das führe zu Sicherheitslücken.
Für besonders heikle Gespräche haben Sicherheitsbehörden abhörsichere Räume
Im aktuellen Fall aber geht es nicht nur darum, welche Behörde die IT überprüft, Schulungen der Mitarbeitenden organisiert, Soldaten im Einsatz bei der Kommunikation berät. In der aktuellen Abhör-Affäre geht es auch darum, welche Software der Führungsstab der Bundeswehr nutzt – und nutzen sollte. Die Offiziere verabredeten sich nach Informationen unserer Redaktion über ein ungesichertes Video-Treffen mit der Software WebEx.
WebEx ist eine Plattform des US-IT-Riesen Cisco. Die Software wird in deutschen Bundesbehörden viel genutzt, für Besprechungen etwa mit Journalistinnen und Journalisten, für hausinterne Gespräche aber auch. Denn auch Mitarbeitende von Ministerien arbeiten öfter im Home-Office, sind auf Dienstreise und können nicht vor Ort in Berlin an Treffen teilnehmen. WebEx-Verabredungen lassen sich per Kennwort verschlüsseln.
Für Konferenzen und Tagungen im digitalen Raum schalten sich Mitarbeitende in Behörden oftmals über das Programm „BigBlueBotton“ zu, eine Software, die auch die Bundeswehr nutzt. Allerdings nur dann, wenn die Inhalte nicht „geheim“ oder „nur für den Dienstgebrauch“ sind.
Es gibt noch eine sicherere Variante für Gespräche in den Ministerien: CMS-Bund-Instanz, die Software der BDBOS, der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben. Sie eigne sich vor allem für Gespräche innerhalb der Behörden, die an das besonders gesicherte Netz des Bundes angeschlossen sind. Auch hier soll ein personalisierter Zugang mit Passwort die Inhalte der Gespräche vor unbefugten Teilnehmenden schützen.
Das Risiko ist oft nicht die Technik, sondern der unvorsichtige Mitarbeiter
Das Bundesinnenministerium etwa greift oft auf diesen Weg der Kommunikation zurück. Inwieweit auch die Bundeswehr und Soldaten das Werkzeug nutzen, ist unklar. Eine Anfrage unserer Redaktion ließ das Bundesverteidigungsministerium bisher unbeantwortet.
Für besonders heikle Gespräch haben Sicherheitsbehörden abhörsichere Räume, die Telefone sind durch eine besondere Software geschützt, die Leitungen werden regelmäßig geprüft. Personen, die schon viele Jahre in der Spionageabwehr arbeiten, sagen oft: Nicht die Technik ist das Risiko, sondern der Mensch. Der Mitarbeiter, der unvorsichtig handelt. So scheint es auch jetzt zu sein, im Abhör-Skandal der Bundeswehr.
Lesen Sie auch: Wie die Hacker von LockBit zur größten Cybergefahr für Unternehmen wurden