Mannschaften, eine Dienstgradgruppe vor großen Aufgaben
„So einen Aufwuchs hat es seit 1955 nicht gegeben“
Antrittsbesuch bei L92
AG X: Vier Jahre, viele Erfolge – Ergebnisse, die wirken
Weltweit im Einsatz für Frieden und Freiheit – 80 Jahre Charta der Vereinten Nationen
„Es ist noch nicht alles so, wie es sein wollte. Aber es wird."
Schwieriges Lagebild und eine sehr umstrittene Politik
Das Vertrauen in die Spieße ist entscheidend für die Kriegstüchtigkeit
Verbandserfolg: Ehepartnerzuschlag für ins Ausland mitreisende Ehegatten durchgesetzt
Zeitsoldaten als Fachkräfte gefragt
Berufsinformationsmesse in Burg
Der Berufsförderungsdienst bei Radio Andernach
Bundestag berät über vier Auslandseinsätze
UNMISS und EU NAVFOR Aspides sollen bis 2026 verlängert werden
Bundestag verlängert Mandate für drei Auslandseinsätze
Bundestag berät über drei Auslandseinsätze
Gedenken: Erinnerung an Patrick Behlke und Roman Schmidt
Gedenken: Erinnerung an Feldwebel Alexander Arndt
Gedenken: Erinnerung an Oberstabsarzt Dr. Dieter Eißing
Erinnerung an Oberfeldwebel Florian Pauli
Der Chief Information Security Officer der Bundeswehr, Generalmajor Jürgen Setzer, ist der Gesamtverantwortliche für die Cyber-Sicherheit in der Bundeswehr. Foto: Bundeswehr/ Martina Pump
Ihr Name geht nicht gerade leicht über die Lippen, die Vulnerability Disclosure Policy der Bundeswehr (VDPBw). Hinter dem Begriff verbirgt sich einfach ausgedrückt eine Einladung an Hacker, die Bundeswehr aktiv auf Schwachstellen in ihren IT-Systemen hinzuweisen, und zwar unter rechtlich zulässigen Rahmenbedingungen.
Am 22. Oktober 2020 erfolgte der offizielle Aufruf der Bundeswehr, inzwischen haben sich bereits über 20 IT-Sicherheitsforscher an der Suche nach Sicherheitslücken beteiligt und zahlreiche Schwachstellenmeldungen eingereicht. Das gibt das Kommando Cyber- und Informationsraum (KdoCIR) in einem aktuellen Bericht bekannt und zieht gleichzeitig ein Zwischenfazit. „Generell konnte das Sicherheitsniveau für die Bundeswehr-IT schon jetzt merklich angehoben werden“, resümiert Generalmajor Jürgen Setzer, der Chief Information Security Officer der Bundeswehr. Neben Konfigurationsfehlern bei den Webauftritten wurden vor allem „Cross-Site-Scripting“-Schwachstellen gemeldet. Cross-Site-Scripting (XSS) ist eine der am häufigsten genutzten Angriffsmethoden im Web, bei der die Angreifer Ihre Schadcodes in eigentlich vertrauenswürdigen Websites einbetten. Darüber hinaus meldeten die IT-Sicherheitsforscher auch einige Fälle von SQL-Injections, die es Angreifern ermöglichen könnte, über eine Anfrage per Structured Query Language (SQL) unerlaubt Informationen aus Datenbanken auszulesen. Einige der rund 50 aufgedeckten Schwachstellen seien laut Generalmajor Jürgen Setzer bereits behoben worden, andere befänden sich noch in der Bearbeitung.
Im Vorfeld der VDPBw gab es rege Kritik an dem Cyber-Vorhaben. Schließlich dürfe dank VDPBw jeder Hacker ohne Gefahr einer Strafandrohung die Bundeswehr-Systeme hacken. Doch auch hier findet der Chief Information Security Officer deutliche Worte. „Die Bundeswehr veranstaltet hier kein ‚Capture the Flag‘-Event, bei dem sich jeder einmal ausprobieren darf“, so der Generalmajor. Die VDPBw gebe den Rechtsrahmen für eine professionelle Schwachstellenmeldung durch Dritte genau vor. Gemeint sind ausdrücklich alle über das Internet angeschlossenen IT-Systeme, also die Webauftritte der Bundeswehr und ihrer Dienststellen. Abschließend berichtet das KdoCIR noch, dass die Vulnerability Disclosure Policy selbstverständlich nicht die einzige Maßnahme im Kampf gegen Cyber-Angriffe sei. Neben dieser neuen Ergänzung setzt das Kommando unter anderem auf Sicherheitsinspektionen, Auditings und Penetration Testing.
Zurück zur Liste der Beiträge
DIESE SEITE:
TEILEN:
FOLGEN SIE UNS:
