Stellen wir uns einen Brief vor, geschrieben in einer Sprache aus Einsen und Nullen.

Für diejenigen mit den Fähigkeiten und Mitteln zudem auch eine kryptografische Verschlüsselung zu umgehen, geben auch solche binären Sequenzen mehr preis, als beabsichtigt ist.

Selbst wenn eine Datenübertragung verschlüsselt erfolgt, muss diese Kryptographie aktuellen Sicherheit- und IT Standards genügen. Nur dann sind Informationen ausreichend geschützt und sicher.

Aber auch verschlüsselte Kommunikation lässt sich regelmäßig auf irgendeine Weise kompromittieren.

Wie ist das möglich?

In bestimmten Fällen, etwa bei Implementierungsfehlern oder Sicherheitslücken in der Software die wir nutzen, ist unsere Informationssicherheit akut gefährdet.

Wie Grundprinzipien zur IT-Sicherheit unsere Sicherheitsdebatte neu entfachen

Der kürzlich bekannt gewordene Taurus-Vorfall ist ein lebendiges Beispiel für IT Security Awareness und die Brisanz im umsichtigen Handling sensibler Information. Damit geht die Nutzung sicherer Kommunikation einher, die natürlich Ende zu Ende verschlüsselt ist und strengen Sicherheitsstandards genügt.

Was sind die Fakten?

Welche Fakten dürfen wir im aktuellen Abhörskandal bei der Deutschen Bundeswehr zum Taurus-Marschflugkörper bei der Deutschen Bundeswehr als weitgehnd gesichert akzeptieren?

  • der Lauschangriff erfolgte während einer Diskussion unter Bundeswehr Offizieren über WebEx.
  • Russland veröffentlichte die Mitschnitte durch Russia Today Chefin Margarita Simonjan, einen staatlichen Nachrichtensender aus Russland, der von der russischen Regierung finanziert wird.
  • Die Authentizität des Mitschnitts gilt als bestätigt inwieweit der Inhalt unverfölscht oder vollständig ist, wird noch gepüft   
  • potentielle Sicherheitslücken bei der Nutzung von WebEx werden als potenzielle Ursache- untersucht
  • Der Inhalt der brisanten Diskussion bezieht sich auf rein theoretische Einsatzmöglichkeiten des Taurus in der Ukraine.

Grundlegende Bedenken zur Sicherheit von Informationen und Kommunikation:

Unzweifelhaft bestehen grundlegende Bedenken zur Sicherheit von Informationen und Kommunikation innerhalb der Bundeswehr.

  • Sicherheitsrisiken bei der Bundeswehr: Allgemein herrscht Besorgnis über die Sicherheit von Informationen und Kommunikation innerhalb der Bundeswehr. Dies umfasst nicht nur digitale Kommunikation, sondern auch die technische Ausstattung und deren Integration in bestehende Systeme.
  • Probleme mit digitalen Funkgeräten: Es klingt nach einem teuren Schildbürgerstreich: Die Bundeswehr hat für 1,3 Milliarden Euro digitale Funkgeräte bei einem deutschen Hersteller bestellt, doch es gibt offenbar Probleme beim Einbau in Panzer, Gefechtsfahrzeuge und Lastwagen. Hierzu berichtete die ARD Tagesschau bereits am 26. Sept. 2023.

Diese Vorfälle werfen nicht nur berechtigte Fragen hinsichtlich der Effizienz solcher Investitionen auf, sondern beleuchten auch ein tiefer liegendes Problem: die Kompatibilität und Integration neuer Technologien in bestehende Infrastrukturen. Die Herausforderung besteht nicht allein in der Anschaffung fortschrittlicher Ausrüstung, sondern auch in der Gewährleistung, dass diese Technologien nahtlos mit vorhandenen Systemen zusammenarbeiten und dabei den höchsten Sicherheitsstandards entsprechen. Dieser Vorfall illustriert, wie essenziell es ist, bei der Implementierung neuer IT-Lösungen sowohl technische als auch sicherheitsrelevante Aspekte zu berücksichtigen, um die Informations- und Kommunikationssicherheit innerhalb der Streitkräfte zu stärken.

Obwohl auf den ersten Blick physische Abmessungen wenig mit IT-Sicherheit zu tun zu haben scheinen, liegt der Schlüssel tatsächlich in effektiver Kommunikation zwischen den zahlreichen involvierten Parteien und Behörden und etablierten Standards…

Aus datenschutzrechtlichen Gründen benötigt YouTube Ihre Einwilligung um geladen zu werden. Mehr Informationen finden Sie unter Datenschutzerklärung.
Akzeptieren

Die Reaktion des Verteidigungsministers Boris Pistorius

Die Reaktion des Verteidigungsministers Boris Pistorius auf den Taurus-Abhörskandal spiegelt bei erster Betrachtung eine gesunde Fehlerkultur wider und sein schützendes Verhalten seiner Offiziere gegenüber ist hochgradig respektabel. Indem er sich für eine objektive und sachliche Faktenanalyse ausspricht, unterstreicht Pistorius die Bedeutung von Transparenz und Verantwortungsbewusstsein in kritischen Sicherheitsfragen. Seine Haltung betont, dass auch in Zeiten von Herausforderungen und Fehlern der Fokus auf konstruktiver Kritik und der Suche nach Lösungen liegen sollte, um die Sicherheitsstandards der Bundeswehr nachhaltig zu verbessern und zukünftige Sicherheitsverletzungen wirksam zu unterbinden. Trotzdem ist auch er an einer lückenlosen Aufklärung der Geschehnisse interessiert.

Das Engagement für eine gründliche Untersuchung und Aufklärung des Vorfalls, ohne vorschnelle Schuldzuweisungen, ist entscheidend für das Vertrauen in unsere Sicherheitsmaßnahmen und die Stärkung der digitalen Verteidigungskapazitäten der Bundeswehr.

Schutz digitaler Identitäten

Der Schutz digitaler Identitäten und das verstärkte Aufkommen von Cyberkriminalität ist ein Thema das jeden von uns betrifft. Umso wichtiger ist es auch in der Bevölkerung transparent und leicht verständlich zu informieren. Dazu gehört sowohl der besonne Umgang mit Informationen wie Ereignisse konstruktiv kritisch zu reflektieren.   

Der Taurus-Abhörskandal verdeutlicht, wie solche grundlegenden Sicherheitsbedenken direkte Auswirkungen auf operative und strategische Aspekte der Bundeswehr haben können. Die Sicherheitslücken, die durch die Probleme bei der Implementierung moderner Kommunikationstechnologien offenbart wurden, sind nicht auf die Hardware beschränkt, sondern erstrecken sich auch auf die Ebene der digitalen Kommunikation:

  • Digitale Kommunikation und Verschlüsselung: Der Vorfall zeigt, dass selbst bei der Verwendung von als sicher geltenden Kommunikationstools wie WebEx ohne adäquate Sicherheitsvorkehrungen, insbesondere bei der Authentifizierung der Teilnehmer, kritische Informationen kompromittiert werden können.
  • Notwendigkeit strenger Sicherheitsprotokolle: Die Tatsache, dass sensible Gespräche abgefangen wurden, unterstreicht die dringende Notwendigkeit, sowohl die physische als auch die digitale Sicherheitsinfrastruktur der Bundeswehr zu überdenken und zu verstärken. Dazu gehört die Implementierung von Multi-Faktor-Authentifizierung und anderen Sicherheitsmaßnahmen, die über traditionelle Methoden hinausgehen, um die Kommunikation zu schützen.
  • Zero Trust-Prinzipien: Der Skandal verdeutlicht die Bedeutung des Zero Trust-Ansatzes, bei dem grundsätzlich keine internen oder externen Netzwerkzugriffe ohne Verifizierung vertraut wird. Dieser Ansatz könnte helfen, ähnliche Sicherheitsverletzungen in der Zukunft zu verhindern.

Trotz des Einsatzes moderner Kommunikationstechnologien und kryptografischer Verfahren wie TLS bei einer WebEx-Konferenz der Bundeswehr wurde ein Austausch von sensiblen Informationen abgefangen.

Ein Sicherheitsleck und die unweigerlichen Fragen

Dieses Sicherheitsleck wirft unweigerlich Fragen auf:

  • Wo genau lagen die Schwachstellen?
  • Wie ist es möglich, dass trotz angenommener Verschlüsselung Informationen offenbart wurden?
  • Wie wird sichergestellt, dass alle (digitalen) Identitäten vertrauenswürdig sind?

Eine kritische Lücke in der digitalen Sicherheitskette, die durch den Taurus-Vorfall hervorgehoben wurde, betrifft die Authentifizierung digitaler Identitäten.

Im digitalen Raum ist es unerlässlich, die Identität jedes Teilnehmers zu verifizieren, um sicherzustellen, dass nur befugte Personen Zugang zu vertraulichen Gesprächen haben.

Die Frage, die sich nun stellt, ist:

  • Wie wurde im Rahmen der WebEx-Konferenz, bei der über die Taurus-Marschflugkörper diskutiert wurde, die Authentizität der Teilnehmer sichergestellt?

Ein zentrales Element der digitalen Sicherheit ist die Verschlüsselung von Datenübertragungen, wobei das Transport Layer Security-Protokoll – kurz TLS – eine Schlüsselrolle spielt. Der Übergang von Standard TLS 1.2 zu TLS 1.3 markiert eine signifikante Verbesserung in der Sicherheit der Datenübertragung.

TLS 1.3 reduziert nicht nur die Komplexität des Handshakes – den Prozess, durch den sich zwei kommunizierende Systeme auf eine verschlüsselte Verbindung einigen – sondern eliminiert auch veraltete und potenziell unsichere Kryptographiemethoden, die in TLS 1.2 noch vorhanden sind. Diese Neuerungen machen TLS 1.3 widerstandsfähiger gegenüber Man-in-the-Middle-Angriffen, indem die Menge der auszutauschenden Informationen, die ein Angreifer abfangen könnte, minimiert wird und sich gleichzeitig die Geschwindigkeit der Authentifizierung und Verschlüsselung erhöht.

Im Kontext des Taurus-Abhörskandals ist die Frage, ob die genutzte WebEx-Konferenz TLS 1.2 oder die sicherere Variante TLS 1.3 verwendete, von entscheidender Bedeutung. Die Nutzung des älteren Standards könnte eine der potenziellen Sicherheitslücken darstellen, die es Angreifern erleichtert haben könnte, auf die verschlüsselte Kommunikation zuzugreifen. Dies unterstreicht die Notwendigkeit, dass Organisationen – insbesondere solche, die mit sensiblen Informationen arbeiten – stets die neuesten Sicherheitsprotokolle implementieren, um ihre digitale Kommunikation zu schützen.

Ebenfalls relevant als potentieller Schwachpunkt bei einer digitalen Kommunikation ist eine mangelnde Überprüfung der Identitäten der Konferenzteilnehmer oder deren Endgeräte. Das Fehlen robuster Authentifizierungsmaßnahmen ermöglicht es Angreifern, sich unbemerkt in die Kommunikation einzuschleusen – eine Taktik, die als „Man-in-the-Middle“-Angriff bekannt ist.

Die Notwendigkeit fortschrittliche Technologien zur Authentifizierung und Verschlüsselung zu standardisieren

Dies unterstreicht die Notwendigkeit, fortschrittliche Authentifizierungstechnologien wie minimal Zwei-Faktor-Authentifizierung (2FA) oder noch besser Multi-Faktor-Authentifizierung (MFA) zu implementieren, die eine zusätzliche Sicherheitsebene darstellen, indem sie über das traditionelle Passwort hinausgehen.

Die Integration strenger Authentifizierungsprotokolle in unsere Kommunikationssysteme ist daher ein entscheidender Schritt zur Vermeidung zukünftiger Sicherheitsverletzungen. Strenge Standards zur wirksamen Ende-zur-Ende Verschlüsselung müssen ebenfalls Standard sein.

In der Tat ist der Einsatz solcher Technologien in hochsensiblen Bereichen kein Luxus, sondern schlicht eine zwingende Notwendigkeit.

Ohne weitere Einzelheiten zu kennen, wird in der Taurus-Sicherheitspanne aber auch ersichtlich, dass wir zugleich auch immer gewährleisten müssen, das an einer Kommunikation beteiligte digitale Identitäten vertrauenswürdig sind. Sonst können selbst die stärksten Verschlüsselungsmethoden spielend umgangen werden.

Auguste Kerkhoffs Maxime und Prinzipien der IT-Sicherheit

Die Bedeutung von Auguste Kerkhoffs Prinzip wird durch den Taurus-Abhörskandal in vollstem Maß unterstrichen. Die Maxime von Auguste Kerckhoffs, einem Pionier der Kryptographie im 19. Jahrhundert besagt, dass die Sicherheit eines Verschlüsselungssystems nicht auf der Geheimhaltung des Algorithmus beruhen sollte, sondern vielmehr auf der Geheimhaltung des Schlüssels.

Auguste Kerkhoffs Maxime und Prinzipien zur IT Sicherheit

Auguste Kerkhoffs Maxime und Prinzipien zur IT Sicherheit

Dieses Prinzip ist heute mehr denn je relevant, insbesondere im Kontext hochsensibler militärischer Kommunikation. Es verdeutlicht, dass die Annahme, allein die Verwendung eines scheinbar sicheren Kommunikationstools wie WebEx würde ausreichen, um die Sicherheit zu gewährleisten, ein Trugschluss ist. Stattdessen bedarf es robuster Sicherheitsverfahren, die auch dann noch Schutz bieten, wenn die Methoden ihrer Anwendung öffentlich bekannt sind.

Die grundlegenden IT-Sicherheitsprinzipien – Vertraulichkeit, Integrität, Verfügbarkeit und Nichtabstreitbarkeit – sollten in allen Bereichen, besonders aber in sensiblen Kontexten wie der militärischen Kommunikation, höchste Priorität genießen. Im Falle des Taurus-Abhörskandals hätten verstärkte Verschlüsselungsmaßnahmen und verbesserte Zugangskontrollen implementiert werden müssen, um die Vertraulichkeit zu gewährleisten. Gleichzeitig hätte die Integrität sicherstellen müssen, dass die Informationen während der Übertragung nicht manipuliert werden. Kerckhoff lehrt uns, dass in der Ära der digitalen Kommunikation die Sicherheitsstrategien ständig hinterfragt und angepasst werden müssen, um Schritt mit den sich entwickelnden Bedrohungen zu halten.

Der Vorfall verdeutlicht, dass die Sicherheit der Kommunikation nicht ausschließlich durch die Wahl eines vermeintlich sicheren Kommunikationstools wie WebEx gewährleistet sein kann. Vielmehr erfordert sie robuste Sicherheitsverfahren, die auch dann Schutz bieten, wenn die Methoden ihrer Anwendung öffentlich bekannt sind.

Kerckhoffs‘ Prinzip erinnert uns daran, dass wahre Sicherheit in der sorgfältigen Bewahrung der Schlüssel und in der Transparenz der verwendeten Algorithmen liegt, ein Leitsatz, der im digitalen Zeitalter unverzichtbar ist.

Im Lichte des Taurus-Skandals wird deutlich, dass eine umfassende Sicherheitsstrategie, die diese Prinzipien berücksichtigt und auf einem soliden Verständnis von Kerkhoffs Prinzip aufbaut, unerlässlich ist, um die Sicherheitsrisiken in der digitalen Kommunikation zu minimieren. Die Implementierung dieser Sicherheitsstandards und -protokolle stellt sicher, dass selbst bei der Offenlegung bestimmter Aspekte der Sicherheitsinfrastruktur die Kernbestandteile der Kommunikation – die Daten selbst – vor unbefugtem Zugriff geschützt bleiben.

Wie lassen sich die offengelegten Sicherheitslücken effektiv adressieren?

Um die im Taurus-Abhörskandal offengelegten Sicherheitslücken effektiv zu adressieren, ist es essentiell, präventive Maßnahmen und Lösungsansätze zu implementieren, die unsere digitale Sicherheit nachhaltig stärken:

  1. Frühzeitige Aktualisierung auf aktuelle Standards wie TLS 1.3: Als aktueller Sicherheitsstandard bietet TLS 1.3 erhebliche Sicherheitsvorteile gegenüber seinem Vorgänger. Organisationen sollten sicherstellen, dass alle ihre digitalen Kommunikationstools, einschließlich Tools für Onlinekonferenzen, frühzeitig auf die neueste Version von Sicherheitsstandards wie des TLS-Protokolls aktualisiert werden, um den Schutz gegen potenzielle Angriffe zu maximieren.
  2. Einführung von Multi-Faktor-Authentifizierung (MFA): Um die Identitätsverifizierung zu stärken und unbefugten Zugriff zu verhindern, ist die Implementierung von MFA für alle Nutzer, die auf sensible Daten zugreifen, unabdingbar. MFA bietet eine zusätzliche Sicherheitsebene, indem sie Benutzer auffordert, zwei oder mehr Nachweise (Faktoren) ihrer Identität bereitzustellen.
  3. Regelmäßige Sicherheitsschulungen: Die Sensibilisierung aller Mitarbeiter zum Schutz vor Cybersicherheitsbedrohungen und -praktiken ist entscheidend. Regelmäßige Schulungen stärken das Bewusstsein für Phishing-Angriffe, sichere Passwortpraktiken und fördern die Bedeutung von sofortigen Software-Updates.
  4. Zero Trust-Architektur: Der Aufbau einer Zero Trust-Architektur, bei der von Natur aus keinem Gerät oder Nutzer innerhalb oder außerhalb des Netzwerks vertraut wird, kann Organisationen dabei helfen, Sicherheitsverletzungen zu vermeiden. Dies erfordert eine konsequente Überprüfung und Authentifizierung aller Anfragen, um sicherzustellen, dass sie legitim sind.
  5. Verschlüsselung sensibler Daten: Neben der Verschlüsselung der Datenübertragung sollten auch die Daten selbst, sowohl in Ruhe als auch im Transit, verschlüsselt werden, um den Schutz vertraulicher Informationen zu gewährleisten.

Durch die Implementierung dieser Maßnahmen können alle Organisationen einen robusteren Schutz gegen aktuelle Cyberbedrohungen aufbauen und die Sicherheit ihrer digitalen Kommunikation effektiv verbessern.

Smart & Up to date sein!

Was dies für uns bedeutet, ist klar: Wir müssen unsere Verschlüsselungspraktiken ständig überprüfen und anpassen. Es reicht nicht aus, sich auf die Sicherheit von gestern zu verlassen.

Während die Ermittlungen noch am Anfang stehen, hat der digitale Krieg längst begonnen. Unsere sensiblen Daten und schützenswerte Informationen erfordern unsere ständige Wachsamkeit und die Bereitschaft, Sicherheitsprotokolle zu verstärken, insbesondere in Bereichen von nationaler Sicherheit.

Zero Trust Prinzipien – gepaart mit modernsten Sicherheitsstandards – bieten hier absehbar den bestmöglichen Schutz. Die Maxime von Auguste Kerkhoff wird auch in Zukunft weiterhin gültig sein.

Über den Autor:

Sascha Block - Rock the Prototype

Sascha Block

Ich bin Sascha Block – IT-Architekt in Hamburg und der Initiator von Rock the Prototype. Ich möchte Prototyping erlernbar und erfahrbar machen. Mit der Motivation Ideen prototypisch zu verwirklichen und Wissen rund um Software-Prototyping, Softwarearchitektur und Programmierung zu teilen, habe ich das Format und die Open-Source Initiative Rock the Prototype geschaffen.