Über 50 Schwachstellen aufgedeckt - Die Cybersicherheit der Bundeswehr auf dem Prüfstand

Ihr Name geht nicht gerade leicht über die Lippen, die Vulnerability Disclosure Policy der Bundeswehr (VDPBw). Hinter dem Begriff verbirgt sich einfach ausgedrückt eine Einladung an Hacker, die Bundeswehr aktiv auf Schwachstellen in ihren IT-Systemen hinzuweisen, und zwar unter rechtlich zulässigen Rahmenbedingungen.

Am 22. Oktober 2020 erfolgte der offizielle Aufruf der Bundeswehr, inzwischen haben sich bereits über 20 IT-Sicherheitsforscher an der Suche nach Sicherheitslücken beteiligt und zahlreiche Schwachstellenmeldungen eingereicht. Das gibt das Kommando Cyber- und Informationsraum (KdoCIR) in einem aktuellen Bericht bekannt und zieht gleichzeitig ein Zwischenfazit. „Generell konnte das Sicherheitsniveau für die Bundeswehr-IT schon jetzt merklich angehoben werden“, resümiert Generalmajor Jürgen Setzer, der Chief Information Security Officer der Bundeswehr.
 
Neben Konfigurationsfehlern bei den Webauftritten wurden vor allem „Cross-Site-Scripting“-Schwachstellen gemeldet. Cross-Site-Scripting (XSS) ist eine der am häufigsten genutzten Angriffsmethoden im Web, bei der die Angreifer Ihre Schadcodes in eigentlich vertrauenswürdigen Websites einbetten. Darüber hinaus meldeten die IT-Sicherheitsforscher auch einige Fälle von SQL-Injections, die es Angreifern ermöglichen könnte, über eine Anfrage per Structured Query Language (SQL) unerlaubt Informationen aus Datenbanken auszulesen. Einige der rund 50 aufgedeckten Schwachstellen seien laut Generalmajor Jürgen Setzer bereits behoben worden, andere befänden sich noch in der Bearbeitung.

Im Vorfeld der VDPBw gab es rege Kritik an dem Cyber-Vorhaben. Schließlich dürfe dank VDPBw jeder Hacker ohne Gefahr einer Strafandrohung die Bundeswehr-Systeme hacken. Doch auch hier findet der Chief Information Security Officer deutliche Worte.
 
„Die Bundeswehr veranstaltet hier kein ‚Capture the Flag‘-Event, bei dem sich jeder einmal ausprobieren darf“, so der Generalmajor. Die VDPBw gebe den Rechtsrahmen für eine professionelle Schwachstellenmeldung durch Dritte genau vor. Gemeint sind ausdrücklich alle über das Internet angeschlossenen IT-Systeme, also die Webauftritte der Bundeswehr und ihrer Dienststellen.
 
Abschließend berichtet das KdoCIR noch, dass die Vulnerability Disclosure Policy selbstverständlich nicht die einzige Maßnahme im Kampf gegen Cyber-Angriffe sei. Neben dieser neuen Ergänzung setzt das Kommando unter anderem auf Sicherheitsinspektionen, Auditings und Penetration Testing.