Über 50 gemeldete Schwachstellen – ein erstes Fazit zur VDPBwVulnerability Disclosure Policy der Bundeswehr
Über 50 gemeldete Schwachstellen – ein erstes Fazit zur VDPBwVulnerability Disclosure Policy der Bundeswehr
- Datum:
- Ort:
- Bonn
- Lesedauer:
- 5 MIN
Ende Oktober hat die Bundeswehr ITInformationstechnik-Sicherheitsforschende aufgerufen, die Bundeswehr aktiv auf Schwachstellen in ihren ITInformationstechnik-Systemen hinzuweisen – mit Erfolg. Nach sieben Wochen zieht der Chief Information Security Officer der Bundeswehr (CISOBwChief Information Security Officer), Generalmajor Jürgen Setzer, ein erstes positives Resümee.
Herr General, jetzt sind rund sieben Wochen nach dem Start der Vulnerability Disclosure Policy der Bundeswehr vergangen. Wie sieht ihr erstes Fazit aus?
Wir haben am 22. Oktober die Vulnerability Disclosure Policy der Bundeswehr (VDPBwVulnerability Disclosure Policy der Bundeswehr) gestartet und damit aufgerufen, uns aktiv auf Schwachstellen in den ITInformationstechnik-Systemen der Bundeswehr hinzuweisen. Seit diesem Zeitpunkt haben sich bereits über 20 ITInformationstechnik-Sicherheitsforscher beteiligt und zahlreiche Meldungen bezüglich möglicher Schwachstellen eingereicht. Diese Meldungen haben wir zunächst dahingehend bewertet, ob es sich überhaupt um Schwachstellen im Sinne der VDPBwVulnerability Disclosure Policy der Bundeswehr handelt. Ist dies der Fall, werden wir sofort tätig. Einige Schwachstellen haben wir auch schon behoben, andere, komplexere befinden sich noch in der Bearbeitung.
Generell konnte das Sicherheitsniveau für die Bundeswehr-ITInformationstechnik schon jetzt merklich angehoben werden.
Unser großer Dank und Respekt geht hier an alle ITInformationstechnik-Sicherheitsforschenden, die dazu beitragen, die ITInformationstechnik-Systeme der Bundeswehr sicherer zu machen. Dies zeigen wir öffentlich mit dem individuellen Eintrag und der Namensnennung auf unserer Dankesseite.
Können Sie uns sagen, um welche Schwachstellen in der Bundeswehr-ITInformationstechnik es sich hier handelt?
Ja, es handelt sich überwiegend um Cross-Site-Scripting Schwachstellen und Konfigurationsfehler bei unseren Webauftritten in der Bundeswehr. Aber auch SQL-Injections und Remote Code Execution Möglichkeiten wurden uns durch die ITInformationstechnik-Sicherheitsforschenden aufgezeigt. Mit Hilfe der Meldenden und deren ausführlichen Dokumentationen konnten wir diese bereits schließen.
Wenn es darum geht, neue Wege zu gehen, gibt es sicherlich auch Kritik an dem eingeschlagenen Weg. Wie sieht diese aus?
Zuerst kann ich sagen, dass das meiste Feedback von Fachleuten, anderen Behörden und Unternehmen positiv ist. Doch selbstverständlich gab es auch Kritik. Und konstruktive Kritik nehmen wir auch sehr gerne an. Beispielsweise wurde von vielen der fehlende finanzielle Ansporn kritisiert. Hier wurde aber, für uns überraschend, unsere Handlungsrichtlinie selbst von Fachmedien und Experten mit einem Bug Bounty verwechselt, das wir ausdrücklich nicht ausgelobt haben.
Wir scheuen nicht den kontroversen Diskurs mit der Öffentlichkeit.
Auch schon vor der Herausgabe der VDPBwVulnerability Disclosure Policy der Bundeswehr haben wir Erkenntnisse über Schwachstellenmeldungen von ITInformationstechnik-Sicherheitsforschern, wie @secuninja, @mame82 oder dem @vuln_lab sehr ernst genommen. Hier gab es bereits in der Vergangenheit eine konstruktive und gute Zusammenarbeit. Auch waren beispielsweise Gespräche mit Dr. Sven Herpig von der Stiftung Neue Verantwortung oder Manuel Atug von der AGAktiengesellschaft KRITISKritische Infrastrukturen hilfreich. Diese Kommunikation ist sehr wichtig. Sie führt zu Transparenz und einem besseren gegenseitigen Verständnis.
Aber einige kritisieren ja schon, dass die Bundeswehr sich nicht an Recht und Gesetz hält. Insbesondere geht es hier um den § 303a StGB. Beugen Sie hier das Recht?
Die Entwicklung einer solchen Richtlinie erfolgt verständlicherweise nicht über Nacht. Mehrere Juristen aus der Bundeswehr haben unsere Policy auf Tauglichkeit geprüft und angepasst. Wir konnten so eine für die Bundeswehr als Behörde praktikable Lösung entwickeln. Sehr verkürzt gesagt, erlauben wir den ITInformationstechnik-Sicherheitsforschenden Schwachstellen in unseren Systemen zu suchen. Damit entfällt auch die Strafbarkeit.
Rechtliche Einordnung:
„Durch das Erteilen einer entsprechenden Einwilligung zum Aufzeigen der Schwachstellen im Rahmen der Vulnerability Disclosure Policy der Bundeswehr können die Tatbestandsmerkmale „unbefugt“ (§§ 202 a ff. StGB) bzw. „rechtswidrig“ (§ 303 a StGB) ausgeschlossen werden. Gemäß §§ 202 a ff. StGB sind taugliche Tatobjekte nur solche Daten, die nicht für den Täter bestimmt sind, ihm also zum Tatzeitpunkt nach dem Willen des Berechtigten nicht verfügbar sein sollen; trifft der Berechtigte hingegen eine solche Bestimmung, ist damit schon der objektive Tatbestand ausgeschlossen.
Im Rahmen einer möglichen Strafbarkeit gemäß §303 a StGB hat die Einwilligung des Berechtigten tatbestandsausschließende Wirkung, d.h. auch hier entfiele eine Strafbarkeit.“
Das heißt, die Bundeswehr darf jetzt ohne Gefahr einer Strafandrohung gehackt werden?
Nein, genau das heißt es nicht. Wenn sich die ITInformationstechnik-Sicherheitsforschenden an die Vorgaben der Richtlinie VDPBwVulnerability Disclosure Policy der Bundeswehr halten, dann haben die Meldenden keine Weiterleitung des Sachverhalts an die Strafverfolgungsbehörden zu befürchten. Die Bundeswehr veranstaltet hier kein „Capture the Flag“ Event, bei dem sich jeder einmal ausprobieren darf. Die VDPBwVulnerability Disclosure Policy der Bundeswehr gibt den Rechtsrahmen für eine geordnete professionelle Schwachstellenmeldung bei der Bundeswehr durch Dritte vor. Und so gilt weiterhin, wenn erkennbar kriminelle oder nachrichtendienstliche Absichten vom ITInformationstechnik-Sicherheitsforscher verfolgt werden, kann eine strafrechtliche Verfolgung durch die deutschen Ermittlungsbehörden erfolgen. Die Bundeswehr kann aber die Absicht äußern, Sachverhalte nicht zur Anzeige zu bringen, die sich in den Möglichkeiten und Grenzen unserer VDP bewegen.
Auch wird immer wieder bemängelt, dass kein Scope angegeben wurde. Was ist damit gemeint?
Der festgelegte Rahmen, der Scope, der betreffenden ITInformationstechnik-Systeme ist aus unserer Sicht aus den Richtlinien der VDPBwVulnerability Disclosure Policy der Bundeswehr klar ersichtlich. Die VDPBwVulnerability Disclosure Policy der Bundeswehr spricht von Schwachstellen in ITInformationstechnik-Systemen und Webanwendungen der Bundeswehr. Mit diesen ITInformationstechnik-Systemen und Webanwendungen sind alle über das Internet angeschlossenen und erreichbaren ITInformationstechnik-Systeme gemeint. Vorrangig sind dies die Webauftritte der Bundeswehr und der zugehörigen Dienststellen. Ein Blick in das jeweilige Impressum der Auftritte sollte da schon ausreichen, um die Zugehörigkeit zur Bundeswehr festzustellen. Ein Waffensystem oder der Zugang zu vertraulichen ITInformationstechnik-Systemen sollte aber verständlicherweise per se über das öffentliche Internet nicht möglich sein. Zudem bedarf es dann auch eines physischen Zugriffes, der gemäß unserer Richtlinie nicht zulässig ist. Generell gilt für den ITInformationstechnik-Sicherheitsforscher, mit professionellem Können heranzugehen, damit kein Schaden angerichtet wird. Ausgeschlossen von den Meldungen und weiterhin strafbar bleiben, wie in der VDPBwVulnerability Disclosure Policy der Bundeswehr genannt, „nicht-qualifizierte Schwachstellen“.
Zu guter Letzt: Ein Hauptkritikpunkt, den Sie bereits erwähnt haben, war und ist die fehlende Bounty. Wieso wird sich „nur“ mit einem Eintrag auf der Dankesseite bedankt?
Die VDPBwVulnerability Disclosure Policy der Bundeswehr ist eine Handlungsrichtlinie der Bundeswehr zur Schwachstellenmeldung von Dritten und keine Bug Bounty. Wir setzen nicht auf finanzielle Anreize, sondern auf das freiwillige Engagement von Sicherheitsforschern und dies mit Erfolg. Ich danke ausdrücklich allen Sicherheitsforschern, die uns bisher und in Zukunft unterstützen.
Herr General, die VDPBwVulnerability Disclosure Policy der Bundeswehr ist aus Ihrer Sicht also ein gelungenes Tool, um die ITInformationstechnik-Systeme der Bundeswehr sicherer zu machen. Alleine darauf werden Sie sich vermutlich aber nicht verlassen.
Natürlich nicht. Die Anwendung der Vulnerability Disclosure Policy der Bundeswehr ist eine sehr gute und bereits jetzt erfolgreiche Ergänzung. Sie ist aber nur eine Säule neben eigenen Untersuchungen, um Informationen zu unbekannten Schwachstellen und Sicherheitslücken in unseren Systemen zu erhalten. Zur Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen setzen wir auf Sicherheitsinspektionen und Auditings. Auch Schwachstellenanalysen, Penetration Testing und Red Teaming setzen wir weiter gezielt ein. Nur mit dieser Ganzheitlichkeit wird es uns gelingen, unsere ITInformationstechnik-Systeme sicherer zu machen.