Was ist genau passiert?
Am vergangenen Freitag veröffentlichte die Chefredakteurin des russischen Staatssenders Russia Today, Margarita Simonjan, den Mitschnitt einer Telefonkonferenz vom 19. Februar zwischen dem Luftwaffeninspekteur Ingo Gerhartz und drei seiner Fachleute für den Marschflugkörper Taurus. Seit Monaten wird gestritten, ob Deutschland die Waffen an die Ukraine liefern soll. Das Gespräch beinhaltet keine geheimen Einsatzplanungen oder neue Erkenntnisse für den Streit, sondern diente vornehmlich der Unterrichtung des Verteidigungsministers Boris Pistorius (SPD).
Warum ist die Veröffentlichung dann so brisant?
Simonjan schrieb in einem Kanal auf dem Messengerdienst Telegram, sie habe die Aufnahme aus Geheimdienstkreisen erhalten. Dass russische Geheimdienste das deutsche Militär offenbar ohne weiteres abhören können, sorgt nun für Aufruhr. Die Frage nach den Kommunikationskanälen der Bundeswehr wird laut. Eine Sprecherin des Verteidigungsministeriums sagte, es gebe „Anhaltspunkte, dass mit Blick auf die offensichtlich besprochenen Inhalte ein nicht ausreichend sicheres Kommunikationsmittel verwendet wurde“.
Wie kamen die Russen ins System?
Das Gespräch wurde nach aktuellem Stand über die Konferenzsoftware Webex vom amerikanischen Technologieunternehmen Cisco abgehalten, wobei das Verteidigungsministerium dies noch nicht bestätigt hat. Andere öffentliche Stellen wie die Europäische Zentralbank benutzen die gleiche Software für Videokonferenzen. Um Zugang zu einer Konferenz zu erhalten, braucht es entweder die Einladung des Veranstalters mit einem zugehörigen Hyperlink oder eine Telefonnummer mit einem Passcode, den es vor Betreten der Konferenz einzugeben gilt. Ein russischer Zuhörer muss sich eines der beiden beschafft haben und der Besprechung beigetreten sein, ohne dass es die restlichen Teilnehmer bemerkt hätten.
Verstehen russische Hacker ihr Handwerk?
Oh ja. Sie gehören zu den qualifiziertesten ihrer Zunft. Schon zu Sowjetzeiten hatten die Geheimdienste eigene Kryptografie-Schulen. Einige der Absolventen gründeten in den neunziger Jahren Cybersicherheitsfirmen.
Und heute?
Heute schaffen sie es regelmäßig bis in die zentralen Computer amerikanischer IT-Konzerne. Im Januar wurde erst wieder bekannt, dass Hacker des russischen Militärgeheimdienstes GRU wieder im System von Microsoft waren.
Lag der Fehler beim deutschen Taurus-Hack bei der Technik?
Dies wird gerade vom Bundesamt für den militärischen Abschirmdienst untersucht, heißt es aus dem Verteidigungsministerium. Zumindest ist bekannt, dass Webex für Telefonteilnehmer einer Konferenz keine Ende-zu-Ende-Verschlüsselung bietet. Soll heißen, Dritte könnten sich in die Leitung einklinken und mithören. Offenbar nahm der russische Geheimdienstmitarbeiter aber schlicht an der Konferenz teil, was bedeuten muss, dass er sich Zugang zu den Einwahldaten verschafft hat. Ob auf digitalem Wege oder durch den Zugriff auf ein entsperrtes Gerät der übrigen Teilnehmer im richtigen Moment, ist unklar. Spekuliert wird, ob die mutmaßliche Teilnahme eines Mitarbeiters über sein Handy in Singapur eine Rolle gespielt haben könnte.
Wer sind die großen Anbieter?
Das sind vor allem amerikanische Unternehmen: Microsoft mit seiner Plattform Teams, Cisco mit Webex Meetings oder auch Zoom .
Sind die Angebote sicher?
Ganz offenbar nicht. So können sich Hacker, ob privat oder staatlich gesponsort, in einzelne Gespräche unbemerkt zuschalten und mithören. Auch können durch den amerikanischen „Patriot Act“ autorisierte US-Dienste wie die NSA auf sämtliche Daten der europäischen Tochterunternehmen zugreifen, wenn sie es denn wollen.
Gibt es auch deutsche Anbieter?
Ja. Dazu gehören Unternehmen wie Dekom in Hamburg, Alfaview in Karlsruhe oder Meetyoo in Berlin. Verglichen mit den Amerikanern aber sind die oft klein – und das ist in einem Bereich, in dem es auf Größe und Marktdurchdringung ankommt, keine gute Voraussetzung. Dabei waren in der Deutschen Reichspost schon in den 1930er Jahren technische Versuche mit sogenannten „Fernsehsprechstellen“ in Berlin und Leipzig durchgeführt worden.
Was sagt die Bundeswehr? Wieso kommuniziert sie über Webex?
Um die Militärische Sicherheit und den Schutz von Verschlusssachen zu gewährleisten, würden je nach Einstufungsgrad unterschiedliche technische und organisatorische Mittel zur Kommunikation gewählt. Dabei orientiere sich die Bundeswehr grundsätzlich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI), ergänzt durch eigene Vorgaben für den Geschäftsbereich des Bundesministeriums der Verteidigung. Zu Einzelheiten nimmt die Armee mit Verweis auf die militärischen Sicherheit keine Stellung.
Stehen auch deutsche Unternehmen im Fadenkreuz der Hacker?
Aber ja – und das schon seit langem. Der Vizepräsident des Bundesnachrichtendienst (BND) hatte schon vor zwei Jahren auf einer Sicherheitskonferenz in Potsdam gewarnt: „Russland ist in unseren Netzen.“ Nichts und niemand könne sich wirklich noch in Sicherheit wiegen. Kurz darauf hatte der Digitalverband Bitkom den jährlichen Schaden von Hackerangriffen auf deutsche Unternehmen auf mehr als 200 Milliarden Euro beziffert – und die Lage ist keinesfalls besser geworden, das Gegenteil dürfte der Fall sein.
Was ist zu tun?
Die Unternehmen müssen sich besser als bisher gegen Angriffe rüsten, ihre virtuellen Mauern gegen Cyberattacken erhöhen, das Personal auf breiter Front schulen und die Kooperation mit staatlichen Sicherheitsstellen vertiefen.
Was macht der Staat?
Brüssel wie auch Berlin haben im vergangenen Sommer je eine eigene aber aufeinander abgestimmte Strategie zum Schutz im Cyberraum vorgestellt. Die in Deutschland seit 2016 bestehende „Initiative Wirtschaftsschutz“ soll nun der aktuellen Weltlage angepasst und weiterentwickelt werden. Die „Nationale Wirtschaftsschutzstrategie“ setzt Stand Februar 2024 auf eine engere Zusammenarbeit zwischen Staat und Wirtschaft.
Wie soll das geschehen?
Informationen zur jeweils aktuellen Sicherheitslage müssen genauso geteilt werden, wie die Möglichkeiten zu einer wirksamen Abwehr von Gefahren. Grundsätzlich ist es aber Aufgabe der einzelnen Unternehmen, sich wirksam zu schützen, dafür ihre jeweiligen Lieferketten fest im Blick und mögliche Risiken stets im Auge zu haben.
Was hat Brüssel im Blick?
Auf europäischer Ebene gibt es die sogenannte NIS-Richtlinie. Sie enthält rechtliche Maßnahmen zur Steigerung der Cybersicherheit in Europa. Die 2016 eingeführten Cybersicherheitsvorschriften der EU wurden durch die 2023 in Kraft getretene NIS2-Richtlinie aktualisiert. Sie gibt Mindestanforderungen und Meldepflichten für Betreiber lebenswichtiger Infrastrukturen vor. Unternehmen festgelegter Sektoren, die mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz erreichen, sind betroffen. In Deutschland steht für schätzungsweise 30.000 Firmen die Umsetzung der Richtlinie an.
Ab wann gilt die Richtlinie?
NIS2 trat im Januar 2023 in Kraft und muss bis Mitte Oktober 2024 in deutsches Recht umgesetzt sein.
Wie geht Berlin nun weiter vor?
Neben der Umsetzung der europäischen Richtlinien peilt Berlin einen „Aktionsplan Wirtschaftsschutz 2024+“ an. Dieser Katalog von Maßnahmen umfasst im Kern zwölf Punkte. Dazu zählen die Ermittlung des eigentlichen Schutzbedarfs, die Verzahnung bestehender Initiativen wie der Allianz für Cybersicherheit, die Optimierung von Informationsketten oder der Austausch der bestmöglichen Schutzmechanismen (Best-Practice).
Was macht die Forschung?
Die arbeitet unter Hochdruck. So hat Deutschland in Sachen Cybersicherheit mit dem Forschungszentrum „Athene“ die größte Einrichtung dieser Art in Europa. Das Darmstädter Institut hat seine Wurzeln in den frühen sechziger Jahren. Es entwickelt heute Sicherheitslösungen und berät in Sachen Cybersecurity die Wirtschaft und die öffentliche Verwaltung. Auch greift es Start-ups unter die Arme, die sich auf Cybersicherheit spezialisieren.
Wie groß ist der Markt für Web- und Videokonferenzen?
Der weltweite Markt für Videokonferenzen wird derzeit auf knapp 8 Milliarden Dollar geschätzt. Angesichts des rasanten Wandels wird erwartet, dass der Markt auf 17 Milliarden Dollar im Jahr 2030 wächst. Das entspricht einer jährlichen Wachstumsrate von knapp 12 Prozent.