Taurus-Leak: Was lernt die Bundeswehr aus dem Abhörfall?
7. März 2024Der Vorfall führte zu diplomatischen Spannungen und stürzte die Bundeswehr in eine Krise: Am 1. März veröffentlichten russische Medien den Mitschnitt eines Online-Gesprächs zwischen vier hochrangigen Vertretern der deutschen Luftwaffe. Darin diskutierten die Offiziere verschiedene Szenarien für den Krieg Russlands in der Ukraine.
Während Deutschland seither bemüht ist, seinen Verbündeten die Sicherheit seiner militärischen Kommunikation zu versichern, kommen immer mehr Details über die Sicherheitslücke ans Licht. Sie zeigen, wie offenbar die Nachlässigkeit eines Beteiligten zu dem Datenabfluss führte - und werfen zugleich die Frage auf, wie sehr es darüber hinaus in der Bundeswehr an einem Bewusstsein für Cybersicherheit mangeln könnte.
"Sollte es sich hier nicht um einen Einzelfall handeln, sondern nur um den einzigen Fall, der öffentlich wurde, dann haben wir ein Problem", sagt der Cybersecurity-Berater Manuel Atug der DW.
Wie kam Russland an die Aufzeichnung?
Als sich Bundesverteidigungsminister Boris Pistorius am Dienstag, 5. März 2024, den Fragen von Reportern stellte, war ihm eines wichtig zu betonen: Russland hatte sich entgegen entsprechender Gerüchte nicht direkt in das Gespräch auf der Online-Konferenzplattform WebEx eingewählt. Stattdessen gehe der Datenabfluss "auf einen individuellen Anwendungsfehler zurück". Die Botschaft: Grund für den peinlichen Vorfall war der Fehler eines Einzelnen.
So gehen Behörden nun davon aus, dass russische Hacker in eine ungesicherte Verbindung eindringen konnten, über die sich einer der Teilnehmer aus seinem Hotelzimmer in Singapur – entgegen existierender Sicherheitsprotokolle – in die Sitzung eingewählt hatte.
Der Mann befand sich in Singapur für eine Militärmesse. Solche Veranstaltungen ziehen Besucher aus der ganzen Welt an und seien "ein gefundenes Fressen” für russische Geheimdienste, sagte Pistorius. So habe Russland in der Vergangenheit immer wieder "gezielte Abhöraktionen" in Hotels durchgeführt, in denen die Konferenzteilnehmer untergebracht waren. Dementsprechend sei der Hack des veröffentlichten Gesprächs wahrscheinlich "ein Zufallstreffer im Rahmen einer breit angelegten gestreuten Vorgehensweise” gewesen.
Vertrauliches über WebEx?
Während offizielle Seiten die Sicherheitslücke als individuellen Fehler darstellen, verlagert sich in Deutschland die Diskussion auf die Frage, ob die Militärs überhaupt WebEx hätten nutzen dürfen, um potenziell vertrauliche oder geheime Informationen zu besprechen.
"Es gibt eindeutige Auflagen: Auf WebEx dürfen keine geheimen Informationen besprochen werden”, so Cybersicherheits-Berater Atug. "Klassifizierte Informationen dürfen nur über nach Geheimschutz zugelassene Systeme kommuniziert werden."
Bei der Kommunikation vertraulicher Informationen verwendet die Bundeswehr vier Geheimhaltungsgrade. Informationen der niedrigsten Stufe – sogenannte "Verschlusssachen", die "nur für den Dienstgebrauch" gedacht sind – dürfen über bestimmte verschlüsselte WebEx-Anrufe besprochen werden.
In anderen Fällen müssen die Gespräche jedoch mit spezieller, zertifizierter Hard- und Software geführt werden, oft in einer abhörsicheren Umgebung. In der Praxis bedeutet dies, dass Militärs und Regierungsvertreter dafür im Ausland oft eigens in eine Botschaft gehen müssen.
Bislang ist unklar, ob die Offiziere in ihrem Gespräch tatsächlich vertrauliche oder gar geheime Informationen besprochen haben. Interne Untersuchungen laufen. Bundesverteidigungsminister Pistorius wollte die Frage auf DW-Anfrage mit Verweis auf die laufenden Ermittlungen nicht weiter kommentieren.
"Denkbar schlechte Vorbilder"
Gleichzeitig mehren sich kritische Stimmen, die in dem Vorfall ein Indiz für ein allgemeines, mangelndes Bewusstsein für Cyber-Sicherheitsrisiken sehen.
Während des 38-minütigen schien keiner der hochrangingen Militärs "ein Störgefühl zu haben, keiner thematisierte während des gesamten Austausches diese Risiken oder schlug Alternativen vor", sagte Anke Domscheit-Berg, die für die Oppositionspartei Die Linke im Bundestag sitzt, der DW. "Sie fühlten sich offenbar sicher, obwohl sie gemeinsam unter hochriskanten Rahmenbedingungen kommunizierten."
Der Vorfall zeige auch, dass ein solches mangelndes Bewusstsein bis in die höchsten Ebenen der Bundeswehr reiche: "Sie sind damit auch denkbar schlechte Vorbilder für den gesamten Verteidigungsbereich."
Was sind die Konsequenzen?
Sollten die Ermittlungen ergeben, dass tatsächlich gegen Auflagen verstoßen wurde und vertrauliche oder gar geheime Informationen über WebEx besprochen wurden, könnten Disziplinarverfahren gegen die beteiligten Teilnehmer eingeleitet werden.
Die Konsequenzen aus der Affäre sollten jedoch über Einzelpersonen hinausgehen, argumentieren Kritiker.
"Dieser Vorfall sollte ein Weckruf für die gesamte Bundesregierung sein und dazu führen, dass IT-Sicherheit endlich höchste Priorität genießt", so Oppositionspolitikerin Domscheit-Berg. Dies gelte nicht nur für die Bundeswehr, sondern für die gesamte öffentliche digitale Infrastruktur: "Auf allen Ebenen braucht es Weiterbildung zu IT-Sicherheitsgrundlagen."
Mit Mitarbeit von DW Chief Political Editor Michaela Küfner