tkp, 8. März 2024, von IT-Security-Experte
Die letzten Tage haben wir erfahren, dass der Leak durch einen „Bedienfehler“ entstanden sein soll. Hierbei wird der Eindruck erweckt, ein in Singapur weilender Konferenzteilnehmer hätte sich über einen unsicheren Kanal eingewählt. So als hätte er schlicht ein abhörbares Telefon benutzt. Auch wird fälschlicher Weise davon ausgegangen, dass die Kommunikation mit Webex stets unverschlüsselt stattfindet. Beides ist nicht zutreffend.
Diese Variante der Lüge ist aber besonders elegant, da sie sich gegenüber den Bürgern als plausibel verkaufen lässt und außerdem die Schuld von sich weist. Der Audiomitschnitt wird als Zufallsfund des russischen Geheimdienstes dargestellt.
Die Wahrheit ist jedoch derart beängstigend, dass es völlig verständlich wird, wieso die Wahrheit so lange wie möglich verborgen werden muss. Was ist im Detail passiert?
Der Audiomittschnitt beginnt recht unspektakulär. Ein Hauptmann Irrgang ruft den in Singapur weilenden General Gräfe an. Zunächst ist nicht klar, ob Gräfe sich am Telefon befindet oder per VPN und Video-Call am Notebook das Gespräch entgegen nimmt. Das wird erst später im Small-Talk vor der eigentlichen Konferenz klarer. Dort spricht Gräfe von der guten Aussicht aus seinem Hotel und fantasiert, die Kamera seines Fernsehers (gemeint ist wohl Monitor) auf die Aussicht zu richten, um die anderen Teilnehmer etwas zu „ärgern“.
Es ist damit also gesichert davon auszugehen, dass der General sich an seinem Notebook befand.
Der General meldet sich am Anfang des Gespräches mit „Hallo“. Der Hauptmann Irrgang stellt sich kurz vor und leitet dann die Teilnahme an der Konferenz ein. Die Verbindung wurde also von einem Teilnehmer innerhalb des Bundeswehr-Netzes aufgebaut. Das erscheint schlicht logisch und sinnvoll, da der umgekehrte Weg aus Sicherheitsgründen wenig geeignet erscheint und mutmaßlich von den Firewalls der Bundeswehr sowieso technisch unterbunden worden wäre. Hauptmann Irrgang spielt in der anschließenden Diskussion keine wesentliche Rolle mehr.
Zusätzlich erfahren wir inzwischen von Pistorius, dass der Server für den Webex-Dienst auf einem Server in einem Hochsicherheits-Rechenzentrum der Bundeswehr betrieben wird. Damit wird festgestellt, dass keine Kommunikation mit einem ausländischen Server stattfand. Weiter ist Administratoren und Experten bekannt, dass ein selbst betriebener Webex-Server so konfiguriert werden kann, dass er nur sichere Verbindungen akzeptiert. Unwahrscheinlich, dass die Bundeswehr dieses übersehen hat.
Nach den Regeln sicherer IT war also nicht nur erstens die grundlegende Verbindung des Notebooks aus Singapur in das Bundeswehr-Netz über ein hochverschlüsseltes VPN sichergestellt, sondern auch zweitens die Kommunikation mit den Webex-Servern mutmaßlich verschlüsselt.
Die Zusammenfassung der Fakten:
- der General wird von „innen“ durch Irrgang angerufen und erst dann der Konferenz hinzugefügt
- der General nimmt das Gespräch an seinem Notebook entgegen
- die Kommunikation zwischen Notebook des Generals und Netzwerk der Bundeswehr erfolgt über ein hoch verschlüsseltes VPN
- die Kommunikation zwischen dem Webex-Client (Notebook in Singapur) und den Webex-Servern der Bundeswehr erfoglt innerhalb des VPN. Selbst wenn Webex falsch konfiguriert worden wäre, wären die Daten des Gespräches dennoch abhörsicher.
Dies lässt nur einen einzigen Rückschluss zu:
das Netzwerk der Bundeswehr ist zentral im Inneren gehackt worden.
Hier kann man wieder einen Abstecher in das Thema Cyber-Kriminalität vornehmen, um die Zusammenhänge zu verstehen. In Supergau Bundeswehr Leak: Sicherheitspolitische Bombe erschüttert NATO habe ich ausgeführt, wie Kriminelle ein Unternehmensnetzwerk infiltrieren, um Lösegeld zu erpressen. Ich habe ausgeführt, wie in vielen Netzwerkkomponenten Hintertürchen für späteren Zweitinfektionen installiert werden. Deshalb besteht für betroffene Unternehmer oft die einzige Lösung darin, die komplette Hardware im Unternehmen auszutauschen (Rechner, Server, Switche, Access-Points, Router, Drucker, etc…).
Das ist jedoch nur die halbe Wahrheit gewesen. Denn ein weiteres Druckmittel der Erpresser besteht darin, dass diese über Monate hinweg bereits Daten abgreifen. Es wird gedroht, diese Daten öffentlich zu machen, wenn das Lösegeld nicht gezahlt wird. Als Beweis wird ein kleiner Ausschnitt der abgegriffenen Daten geliefert. Aus Angst vor Veröffentlichung geheimer Daten zahlen die Unternehmen still und leise das Lösegeld.
Aus Sicht eines Security-Experten scheint daher die plausibelste Entwicklung die Folgende:
- dem GRU (russischer geheimster Auslands-Geheimdienst) gelingt es unbemerkt einen Rechner im Bundeswehr-Netz zu infiltrieren
- dem GRU gelingt es in Folge viele weitere Rechner und Server zu infiltrieren
- dem GRU gelingt es eine erhebliche Anzahl von Hintertürchen in Servern und Netzwerkgeräten zu installieren
- der GRU greift danach unbemerkt massenweise Daten ab
- Russland entscheidet sich jetzt, diese Daten zur Erpressung der Deutschen Regierung zu benutzen
- als Beweis stellt Russland den Taurus-Leak zur Verfügung
Dieser Leak zeigt, in welchen Tiefen der GRU das Deutsche Bundeswehrnetz bereits infiltriert hat. Das Abgreifen verschlüsselter Kommunikation direkt an den Servern der Bundeswehr ist eine Machtdemonstration ohne Vergleich.
Die Möglichkeiten alle Hintertürchen zu finden und zu eliminieren sind marginal. Denn es reicht ein einziges übersehenes Hintertürchen für eine Zweitinfektion aus. Darum ist die einzige sichere Lösung der Verzicht auf jede Art von IT, bis alles komplett durch saubere Systeme ersetzt wurde. So eine Niederlage vor einer Bundestagswahl einzugestehen scheint parteipolitisch selbstmörderisch. Zumal es geschätzt ein Jahrzehnt dauern kann, bis diese Probleme alle gelöst sind.
Bis dahin ist der russische Vorrat an weiteren ungünstigen Leaks erheblich und die Angst vor der Veröffentlichung in Regierungskreisen enorm.
Daher besteht nachvollziehbar die einzige Möglichkeit für Pistorius darin, die Unwahrheit zu berichten und im Gegenzug dafür die Regierung zu schützen.
Es stellen sich für mich abschließend die folgenden Fragen
- Mit welchem Material wird die Bundesregierung aktuell erpresst?
- Woraus bestehen die Forderungen aus Russland genau?
- Steht das Nein zu Taurus bereits in Zusammenhang mit angedrohten zukünftigen Leaks?
- War der erstaunlich schnell zugegebene Taurus-Leak ein von der Regierung geforderter Beweis, den Russland bereitwillig geliefert hat?
Persönlich erscheint es mir ein Rätsel, dass diese Fragen aus der Opposition heraus aktuell nicht stärker thematisiert werden. Möglich halte ich dort einen Mangel an Experten. In meinen Augen ist dies jedoch eine vertanene Chance für Deutschland.
Die in diesem Artikel geäußerten Ansichten spiegeln nicht unbedingt die Ansichten der fixen Autoren von TKP wieder. Rechte und inhaltliche Verantwortung liegen beim Autor.
Ein eifriger Leser ihres Blogs, Systemanalytiker und IT-Security-Experte.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.