On Sun, 05 May 2024 12:06:13 Peter Veith wrote:
> Marco Moock schrieb am 05.05.2024 um 10:40:
>
>> Ich frage mich wirklich, wer bei denen die IT-Systeme betreibt - und ob
>> die das immer noch tun.
>
> Das ist der Fachkräftemangel, von den immer die Rede ist.

Also ich finde es schön, wenn die Bundeswehr durch ihre Transparenz
zur Vertrauensbildung beiträgt. Wenn wir immer nur erzählen, dass die
Bundeswehr eine Friedensarmee ist, glaubt man es nicht. Wenn die anderen
sehen, dass wir gar nicht anders können, glauben sie es.

v.G.
--
M.O.

Andreas Bockelmann schrieb am 06.05.2024 um 13:45:

> Dr. Joachim Neudert schrieb:
>> Michael Bode wrote:
>>> Am 05.05.24 um 10:28 schrieb Peter Veith:
>>>
>>>> Spannend, die Bundeswehr plant weiterhin Taurus-Angriffe auf die
>>>> Krim-Brücke: "So gab es laut Zeit für den 25. April ein Meeting mit dem
>>>> Betreff "Review Meilensteinplan Taurus und Finalisierung" (...)"
>>>> https://heise.de/-9708307
>>>
>>> Das steht wo in dem verlinkten Artikel? Ich seh da nur ein
>>> Planungsmeeting zum Thema Taurus. Wo genau siehst du, was geplant wird?
>>
>> Im Gefühl.
>
> Und ich habe Kenntnis von dem Taurus-Gespräch. das konnte man mal auf einem
> Server abrufen. Da hatte die Presse viel Krawall drum gemacht.
>
> Und nein, ich habe die Audio-Datei nicht bei mir lokal gespeichert, danke
> der Nachfrage.

Ach, Du meinst, die kennen das abgehörte Gespräch gar nicht, worauf die
Angriffspläne der Bundeswehr das 1x bekannt wurden?

Glaube ich nicht.
Für's Archiv: https://www.youtube.com/watch?v=Ii4kCAlDFMI

Veith
--
"Der Irrsinn ist bei einzelnen etwas seltenes, - aber bei Gruppen,
Parteien, Völkern, Zeiten die Regel", Friedrich Nietzsche.
http://ddr-luftwaffe.blogspot.com

Salve allerseits,

Michael Bode schrieb:
> Am 05.05.24 um 11:18 schrieb Dr. Joachim Neudert:
>> Michael Bode <m.g.bode@web.de> wrote:
>>> Am 05.05.24 um 10:28 schrieb Peter Veith:
>>>
>>>> Spannend, die Bundeswehr plant weiterhin Taurus-Angriffe auf die Krim-Brücke:
>>>> "So gab es laut Zeit für den 25. April ein Meeting mit dem Betreff
>>>> "Review Meilensteinplan Taurus und Finalisierung" (...)"
>>>
>>> Das steht wo in dem verlinkten Artikel? Ich seh da nur ein Planungsmeeting
>>> zum Thema Taurus. Wo genau siehst du, was geplant wird?
>>
>> Im Gefühl. Ein Oberleutnant der NVA hat das im Gefühl!
>
> Natürlich, weil es genau das ist, was er selber planen würde.
>
+--- <hier abknabbern> ---
| Wer wissen will, was die Bundeswehr intern beschäftigt, konnte dies
| monatelang frei zugänglich im Internet nachlesen: Nach Recherchen von
| ZEIT ONLINE standen bis Freitagabend mehrere Tausend Links zu
| Videomeetings mit internen Informationen offen im Netz – darunter
| befanden sich viele als vertraulich eingestufte Treffen. Auch vergangene
| Meetings wurden offenbar nicht gelöscht. Die Bundeswehr, die erst durch
| Nachfragen für diesen Artikel auf die Sicherheitslücke aufmerksam wurde,
| hat ihr Videokonferenzsystem nun vom Internet getrennt. Ob aufgrund der
| aktuellen Lücke vertrauliche Informationen an Unbefugte abgeflossen
| sind, konnte die Bundeswehr nicht ausschließen.
| | Die Schwachstelle hat ein Team aus IT-Sicherheitsexpertinnen und
| -experten des Vereins Netzbegrünung entdeckt. ZEIT ONLINE hat sie durch
| eigene Stichproben verifiziert.
| | *Titel, Zeiten und Einladende wichtiger Meetings einsehbar*
| | Der Vorfall betrifft die eigene Webex-Instanz der Bundeswehr, die
| eigentlich als besonders sicher gilt und über die auch Gespräche mit
| Geheimhaltungsstufen geführt werden. Damit hält die Truppe nach eigenen
| Angaben 45.000 Meetings pro Monat ab, also im Schnitt mehr als 1.000 am
| Tag. Webex ist ein Videokonferenztool des US-Konzerns Cisco, es ist
| funktionsmäßig vergleichbar mit Zoom oder Teams. Das Bundesamt für
| Sicherheit in der Informationstechnik (BSI) hat Webex 2019 für den
| Einsatz von Behörden zugelassen und es entsprechend seinem
| Kriterienkatalog für Cloud-Computing zertifiziert.
| | Generell gibt es zwei Möglichkeiten, die Software zu nutzen: Unternehmen
| und Behörden können die öffentliche Cloud-Variante verwenden, dann
| werden die Videokonferenzen auf Servern von Cisco gehostet. Oder sie
| können eine private On-Premise-Variante wählen, dann setzen sie ihre
| eigene Webex-Instanz auf. Das bedeutet, dass die Informationen auf
| eigenen Servern liegen, was besonders für Behörden wichtig ist, damit
| zum Beispiel die Daten von Bürgerinnen und Bürgern nicht in anderen
| Ländern gespeichert werden, sondern hierzulande. Es ist aber natürlich
| auch in Fragen nationaler Sicherheit von Relevanz.
| | Die aktuelle Recherche offenbart mindestens zwei Schwachstellen der
| On-Premise-Lösung von Webex, die auch die Bundeswehr nutzt: Die Links zu
| Videomeetings der Bundeswehr ließen sich durch Hoch- oder Herunterzählen
| erraten. In der IT-Sicherheitsbranche wird empfohlen, Nummern in
| Webadressen randomisiert, also zufällig, zu verteilen, damit man sich
| nicht einfach von einem Meeting zum nächsten zählen kann. Das war bei
| Webex aber offenbar nicht der Fall.
| | So konnte man die Titel, den Zeitpunkt und die einladende Person
| wichtiger Meetings einsehen. Review Meilensteinplan Taurus und
| Finalisierung lautete etwa der Titel eines Webex-Meetings, das am 25.
| April morgens stattfand und sich offenbar mit dem Marschflugkörper
| Taurus beschäftigte. Ende Mai soll eine Verschlusssache diskutiert
| werden zum Thema "Digitales Gefechtsfeld" ("Verschlusssache – nur für
| den Dienstgebrauch") – und Ende April wurde offenbar einen ganzen Tag
| lang über den Lenkflugkörper Meteor gesprochen. Das älteste Meeting von
| insgesamt mehr als 6.000, die im Zuge dieser Recherche gefunden wurden,
| war eine Besprechung vom 2. November 2023. Allerdings waren noch
| deutlich mehr als die genannten 6.000 Meetings online.
| | *Persönlicher Meetingraum von Offizier Ingo Gerhartz auffindbar*
| | Die zweite Schwachstelle: Auch persönliche Meetingräume waren leicht
| erratbar und nicht einmal durch ein Passwort oder ähnliche
| Sicherheitsmaßnahmen geschützt. Meetingräume sind Videokonferenzen,
| deren Links permanent bestehen und die häufig jederzeit abrufbar sind.
| Das heißt nicht, dass sie verwendet werden, aber sie sind eine einfache
| Möglichkeit, schnell ein digitales Meeting zu führen. Bevor die
| Bundeswehr die Möglichkeit sperrte, konnte man private Meetingräume mit
| einem Klick betreten, wie ein Versuch von ZEIT ONLINE zeigte. In diesem
| Fall war gerade niemand da. Zudem waren auch die zugehörigen URLs
| besonders einfach zu kombinieren, weil sie alle nach dem gleichen
| Prinzip aufgebaut waren und direkt zu den persönlichen Räumen führten –
| wie zu jenem von Ingo Gerhartz, dem Chef der deutschen Luftwaffe, dessen
| Meetingraum ZEIT ONLINE ebenfalls im Zuge der Recherche fand. Mit
| simplen Zugangsdaten wie "Test" als Name konnte man dem Raum beitreten.
| | Gerhartz war ein Teilnehmer des von russischen Medien geleakten
| Taurus-Gesprächs. In einer Telegram-Gruppe hatte die Chefredakteurin des
| russischen Staatssenders RT Anfang März eine Audioaufnahme einer
| Webex-Konferenz von ranghohen Bundeswehroffizieren veröffentlicht. Diese
| diskutierten darin über den Einsatz von Taurus-Raketen – und erörterten
| unter anderem die Frage, ob die Marschflugkörper die von Russland
| gebaute Brücke zur völkerrechtswidrig annektierten ukrainischen
| Halbinsel Krim zerstören könnten.
| | *Haben Webex-Sicherheitslücken zur Taurus-Affäre geführt*?
| | Die aktuellen Vorfälle führen zur Frage, ob möglicherweise doch
| Sicherheitslücken in Webex zum Abhörskandal geführt haben könnten.
| Bislang hatte das Verteidigungsministerium eine nicht geschützte
| Telefonverbindung eines Bundeswehrgenerals in Singapur als Ursache
| angegeben. Demnach war das abgehörte Meeting eher ein Zufallsfund einer
| groß angelegten Überwachungsaktion von Spionen angesichts einer Messe,
| die zum gleichen Zeitpunkt in Singapur stattfand.
| | Wäre es theoretisch möglich, dass sich Spione unbemerkt in
| Webex-Meetings deutscher Behörden einschleichen, indem sie diese im Netz
| finden und das Passwort erraten? Es gab jedenfalls einmal eine alte
| Sicherheitslücke in Webex, mit der das möglich war: Wie IBM Ende 2020
| entdeckte, konnten damals sogenannte Ghost-User Webex-Meetings
| beitreten. Die Eindringlinge blieben also unsichtbar.
| | *Unsicherheit mit System*?
| | Cisco verweist auf Nachfrage von ZEIT ONLINE auf das Statement des
| Verteidigungsministeriums im Taurus-Fall. Zudem sei die Sicherheitslücke
| von 2020 geschlossen, die unbemerkte Besuche ermöglicht hatte.
| | Auch die Bundeswehr schreibt, dass es "nach den derzeit hier
| vorliegenden Erkenntnissen" zum Taurus-Leak "keine inhaltlichen
| Zusammenhänge" gebe. Auf die Frage, ob man ausschließen könne, dass
| unter Ausnutzung der aktuellen Sicherheitslücken Informationen an
| Unbefugte gelangten, antwortet die Bundeswehr nur ausweichend, dass nur
| auf Metadaten, aber nicht auf Gesprächsinhalte hätte zugegriffen werden
| können. "Die Schwachstellen wurden unverzüglich geschlossen."
| | Ansonsten klingt in der Antwort der Bundeswehr durch: Es ist offenbar
| nicht einfach, Webex sicher zu machen. So werden die erwähnten
| persönlichen Meetingräume in der On-Premise-Lösung für die 248.000
| Nutzerinnen und Nutzer der Bundeswehr automatisch "systemseitig bei
| Nutzer-Registrierung angelegt", schreibt die Bundeswehr. "Das ist ein
| firmenseitig implementiertes Feature des Produkts, welches jedoch jetzt
| als sofortige Sicherheitsmaßnahme mindestens bis zum Abschluss der
| weiteren Analyse und der Etablierung weiterer Schutzmechanismen gesperrt
| wurde." Das könnte man so verstehen: Cisco mag die relativ leicht
| zugänglichen Meetingräume als eine hilfreiche Funktion empfinden, aber
| es ist unsicher.
| | Auch war es der Bundeswehr offenbar nach tagelangen Versuchen nicht
| möglich, vergangene Meetings einfach zu löschen, sodass man sich nun
| dafür entschieden hat, die Webex-Instanz komplett vom Internet zu trennen.
| | Dass bei der Bundeswehr keine automatischen Sicherheitssysteme
| ansprangen angesichts der vielen Zugriffe auf interne Meetings im Zuge
| der Recherche, ist erstaunlich. Auch und gerade vor dem Hintergrund,
| dass der russische Geheimdienst ja bereits öffentlich bewiesen hat, dass
| er Interesse an entsprechenden Gesprächen hat. Gerade in Bezug auf die
| Meetings, die für die Zukunft geplant und bis jetzt im Netz zu finden
| waren, hätten mögliche Angreifer viel Zeit gehabt, um Meetingpasswörter
| zu erraten.
| | In IT-Sicherheitskreisen empfiehlt man, Sicherheit schon gleich bei der
| Konzipierung und bei der Verwendung von Software mitzudenken. Security
| by design beziehungsweise security by default heißt das in der
| Fachsprache. Auf Nachfrage bei der Bundeswehr, ob sich die beschriebenen
| Vorgänge mit diesem Konzept decken, heißt es: "Auch bei Verwendung von
| Commercial Of The Shelfs-Produkten, die nach den Prinzipien Security by
| Design/Default produziert wurden, kann nicht ausgeschlossen werden, dass
| im Nachgang zusätzliche Sicherheitsmaßnahmen getroffen werden müssen."
|
Click here to read the complete article