75
submitted 8 months ago* (last edited 8 months ago) by Haven5341@feddit.de to c/dach@feddit.de

Dass Russland die Taurus-Gespäche der Bundeswehr abhörte, hat am Wochenende die Öffentlichkeit erschüttert. Fast noch erschreckender ist allerdings, wie wenig Spionage-Fähigkeiten dafür nötig waren.

[...]

Das kristallisiert sich seit Bekanntwerden der russischen Abhöraktion zunehmend heraus. Nachdem vergangene Woche Ausschnitte aus den heimlichen Gesprächen im russischen Fernsehen veröffentlicht wurden, ermittelt der Militärische Abwehrdienst (MAD) mit Hochdruck ermittelt, wie es dazu kommen konnte. Den bisherigen Erkenntnissen zufolge war von russischer Seite nicht viel Spionage-Tätigkeit nötig: Die Bundeswehr hatte offenbar nicht einmal die Minimalstandards für geschützte Kommunikation eingehalten.

[...]

Bei der Bundeswehr war das offenkundig aber nicht der Fall: Die Verschlüsselung funktioniert nämlich nur, wenn alle Teilnehmer auch die Webex-App nutzen. Loggt sich jemand über den Browser ein oder wählt sich per Telefon dazu, wird die Schutzmaßnahme automatisch ausgeschaltet. Genau das war laut Informationen der "Bild am Sonntag" der Fall. Der Zeitung zufolge wurde das Gespräch nicht per App geführt, sondern war gleich als Telefonkonferenz aufgesetzt, bei der von einem Festnetztelefon der Bundeswehr die Handys der einzelnen Teilnehmer angerufen wurden. Dann hätte man auch gleich auf Webex verzichten können – es handelte sich um ein unverschlüsseltes Telefongespräch.

[...]

Im Falle der Taurus-Gespräche könnte es aber tatsächlich noch schlimmer sein. "Es verdichten sich leider Hinweise, dass offensichtlich ein russischer Teilnehmer sich in die WebEx eingewählt hat. Und das offensichtlich nicht auffiel, dass dort eine weitere Zuwahlnummer war", erklärte Kiesewetter im Gespräch mit der ARD-Sendung "Bericht aus Berlin". Im Klartext hieße das: Der russische Geheimdienst hätte die Leitung nicht mal heimlich angezapft. Sondern wäre als offizieller Teilnehmer für die anderen sichtbar gewesen. Ganz so, als wenn man sich im Café mit an den Tisch setzt. Und keiner protestiert.

Ob das wirklich so war, sei bisher nicht bewiesen, betonte Verteidigungsminister Boris Pistorius am Sonntag bei einem kurzen Statement. Der genaue technische Vorgang der Spionage werde noch untersucht, er erwarte "lückenlose Aufklärung." Die allgemeine Eignung von Webex stehe nun auf dem Prüfstand, so der Minister. Die Software verfüge über Schutzmaßnahmen, sei bei korrekter Nutzung seiner Ansicht nach "bis zu einer bestimmten Vertrauens- und Geheimhaltungsstufe" auch für geheime Gespräche nutzbar.

[...]

all 37 comments
sorted by: hot top controversial new old
[-] Haven5341@feddit.de 52 points 8 months ago

Dieser völlige Dilettantismus im Jahr 2024 macht einfach sprachlos. Ich meine, es handelt sich nicht um ein paar Gefreite, die sich am WE zum saufen verabreden. Das sind die Spitzenkräfte der Bundeswehr., die völlig ahnungslos zu sein scheinen, Vielleicht sollten wir doch wieder auf Fax umschwenken. Wenigstens damit sollten die sich ja auskennen.

[-] scorpionix@feddit.de 32 points 8 months ago

Alternativ könnte man ja Telefonate Ende zu Ende verschlüsseln.

Ach nein, dann kann man ja nicht mehr mithören. 1:1 der Grund, warum die DE-Mail nichts geworden ist.

[-] Haven5341@feddit.de 36 points 8 months ago* (last edited 8 months ago)

Dass man überhaupt auf ein Produkt von Cisco setzt erscheint mir zweifelhaft.

In 2013, revelations made by German paper Der Spiegel showed that the NSA was taking advantage of certain backdoors in Cisco’s routers. Cisco denied accusations that it was working with the NSA to implement these backdoors.

In 2014, a new undocumented backdoor was found in Cisco’s routers for small businesses, which could allow attackers to access user credentials and issue arbitrary commands with escalated privileges.

In 2015, a group of state-sponsored attackers started installing a malicious backdoor in Cisco’s routers by taking advantage of many of the routers that kept the default administrative credentials, instead of changing them to something else.

In 2017, Cisco, with help from a Wikileaks data leak, discovered a vulnerability in its own routers that allowed the CIA to remotely command over 300 of Cisco’s switch models via a hardware vulnerability.

This year has brought five undocumented backdoors in Cisco’s routers so far, and it isn't over yet. In March, a hardcoded account with the username “cisco” was revealed. The backdoor would have allowed attackers to access over 8.5 million Cisco routers and switches remotely.

That same month, another hardcoded password was found for Cisco's Prime Collaboration Provisioning (PCP) software, which is used for remote installation of Cisco’s video and voice products.

Later this May, Cisco found another undocumented backdoor account in Cisco’s Digital Network Architecture (DNA) Center, used by enterprises for the provisioning of devices across a network.

In June, yet another backdoor account was found in Cisco’s Cisco’s Wide Area Application Services (WAAS), a software tool for Wide Area Network (WAN) traffic optimization.

The most recent backdoor was found in the Cisco Policy Suite, a software suite for ISPs and large companies that can manage a network’s bandwidth policies. The backdoor gives an attacker root access to the network and there are no mitigations against it, other than patching the software with Cisco’s update.

https://www.tomshardware.com/news/cisco-backdoor-hardcoded-accounts-software,37480.html

Produkte von denen willst Du doch in Bereichen einsetzen, in denen es am Ende um Leben und Tod geht ... nicht.

[-] sobanto@feddit.de 7 points 8 months ago

Rein aus Interesse, was für Switches und Router würdest du dann im professionellen Umfeld einsetzen? Es ist jetzt nicht so als ob ich den anderen großen US Firmen da so viel mehr vertrauen würde. Ich meine Nokia und Ericsson waren als europäische Firmen da auch in dem Gebiet unterwegs, bei Ericsson hab ich in fünf Minuten aber nur 5g zeug gefunden, Nokia eine unübersichtliche Seite zu zwei/drei Routern, das war es. Sind die beiden da überhaupt noch existent? In meiner Ausbildung ging es praktischerweise nur um Cisco... :(

[-] spez@r.gir.st 4 points 8 months ago

nicht gp, aber mikrotik ist ganz gut (flamewar incoming). relativ günstig, ewige firmwareupdates und aus lettland. haben vom gigabit homerouter bis zum 100g-switch und wireless zeugs so gut wie alles.

[-] finn_der_mensch@discuss.tchncs.de 2 points 8 months ago

Keine Ahnung, es gibt aber auch deutsche Firmen. Level one fällt mir da ein, ob die was taugen ist eine andere Frage. Möglich wäre es aber sicher, zumindest etwas europäisches zu finden.

[-] luna@lemmy.catgirl.biz 14 points 8 months ago

Auf der einen Seite eine vermeintliche Großmacht mit globaler Diplomatie und Kriegsführung ... auf der anderen Seite sind die Leute so digital-kompetent wie meine Oma. :| man man da bin ich froh das wir keine Kernwaffen haben sonst klicken die irgend eine Spam/phishing email und Zack alle codes geklaut oder so lol

[-] trollercoaster@feddit.de 13 points 8 months ago* (last edited 8 months ago)

Fax ist aber auch unverschlüsselt. Das gilt ja nur als sicher, weil das irgendwann mal technisch unbedarfte Juristen entgegen den technischen Tatsachen als sicher definiert haben.

Wenn schon zu altbewährter Technik zurück, dann zurück zu Fernschreiben. Darauf lassen sich alle gängigen Verschlüsselungsverfahren anwenden und einige alte Hasen sind möglicherweise auch noch mit der Bedienung der Hardware vertraut.

[-] luna@lemmy.catgirl.biz 8 points 8 months ago

"Pass uff wir faxen jetzt alle Dokumente und verteilen Schablonen zum ablesen, mega-top- secret!!1"

[-] aaaaaaaaargh@feddit.de 5 points 8 months ago* (last edited 8 months ago)

Nunja, die gleichen Verschlüsselungsmechanismen könntest du auch faxen. Oder verschlüsselte Rauchzeichen. Eigentlich mindestens alles, was binäre Codes übertragen kann, aber ich will die Bundeswehr hier nicht noch neugierig machen... Wobei man ja zum Glück einen Computer bedienen können muss, um hier mitlesen zu können.

[-] Hubi@feddit.de 38 points 8 months ago

Kannste dir nicht ausdenken lmao. Da müssen sich doch selbst die Russen gewundert haben, dass es klappt. Betreibt die Bundeswehr nicht ihr eigenes Matrix-Netzwerk? Warum wird nicht einfach so etwas statt einem externen Dienstleister verwendet?

[-] luna@lemmy.catgirl.biz 13 points 8 months ago

Gute Frage, klingt ja so als wollten die Leute unbedingt per Telefon-Anruf dabei sein weil.. ist ja sicherer(??!) als so fiese apps auf dem Smartphone die "immer Daten an Google und meta ausliefern." So nach dem Motto: beim Arzt muss auch immer angerufen werden, per Email geht da nix weil ist ja alles Klartext!!1 und Datenschutz!!!!11233 Das im Zeitalter von unverschlüsseltem VoIP (kein Provider den ich kenne bietet Transportverschlüsselung an) es extrem einfach ist das Telefonat abzuhorchen sollte jedem bewusst sein. Email wird aber zum Großteil (transport)verschlüsselt übertragen und wäre viel sicherer im direkten Vergleich. 🤷‍♀️ verrückt

Kann mir aber auch genau so gut überlegen das die es nicht hingekriegt haben TÜV-Zertifizierte Smartphones, Apps und weiteren "sicheren" Schnickschnack an die Leute zu verteilen und rechtlich dürfen die keine unzertifizierte Geräte benutzen :D Oder es hat einfach nur einer verkackt und den Haken an der falschen Stelle gesetzt als die Konferenzen erstellt wurde und es fiel niemandem auf. Gruselig

[-] occhineri@feddit.de 13 points 8 months ago* (last edited 8 months ago)

Klingt für mich eher so:

[-] aaaaaaaaargh@feddit.de 4 points 8 months ago

Das ist genau die gleiche absurde Diskussion, die gefühlt wird, wenn es im die Sicherheit der Post geht. Die ist nicht sicher, Punkt.

[-] trolske@feddit.de 8 points 8 months ago

Der offizielle BW Messenger basiert auf Matrix, dass weiß ich aus der Verwandtschaft. Ob oder wie das modifiziert ist kann ich aber nicht sagen.

[-] Bronco1676@lemmy.ml 8 points 8 months ago* (last edited 8 months ago)

https://messenger.bwi.de/bwmessenger

Die BWI hat den BwMessenger eigens für die Bundeswehr entwickelt. Er kann also ausschließlich von ihren Angehörigen genutzt werden. Die Anforderungen an Sicherheit, Qualität und Stabilität einer Messaging-Lösung sind im Behördenumfeld aber durchaus ähnlich, genauso wie die Nutzungsszenarien. Deshalb hat die BWI die Messaging-Plattform der Bundeswehr unter dem Namen „BundesMessenger“ als nachnutzbare Lösung für die öffentliche Verwaltung weiterentwickelt, allerdings ohne bundeswehrspezifische Funktionen und Eigenheiten. Den Quellcode für Backend und Apps beziehungsweise alle für den Betrieb erforderlichen Software-Komponenten und Dokumentationen hat die BWI auf Open CoDE veröffentlicht, der gemeinsamen Plattform der öffentlichen Verwaltung für den Austausch von Open-Source-Software.

https://gitlab.opencode.de/bwi/bundesmessenger/info

[-] WallEx@feddit.de 2 points 8 months ago

Hat matrix eine eigene Telekommunikation? Letztes mal als ich geschaut habe lief das noch über jitsi

[-] luna@lemmy.catgirl.biz 6 points 8 months ago

Soweit ich weiss ist Jitsi schon gar nicht mehr Teil von Element, die haben jetzt ihr eigenes System Element Call (älterer Artikel)

[-] WallEx@feddit.de 2 points 8 months ago

Nice, dann Probiere ich das mal wieder :)

[-] raunz@mander.xyz 25 points 8 months ago

"Das Internet ist für uns alle Neuland." Angela Merkel 2013

[-] zaphod@feddit.de 2 points 8 months ago

Hier wohl eher “Telefon ist für uns alle Neuland.”

[-] aaaaaaaaargh@feddit.de 19 points 8 months ago* (last edited 8 months ago)

Ja geil, tut mir leid, aber ich wusste es sowas von direkt beim ersten Lesen der Nachricht. Die Tage wurde ich noch kritisiert, weil ich WebEx als schlechte Software und die Offiziere als ungeschult im Umgang damit verdächtigte. Sieht so aus, als wäre das jedoch nicht weit der Realität.

Ich feiere selten eigene Prophezeiungen, aber hier mache ich das, um auf folgendes hinzuweisen: fast nie handelt es sich bei solch spektakulären "Hacker-Angriffen" um echtes technisches Hacking. Es ist dafür fast immer Social Hacking oder eben eine Kombination mit technischer Inkompetenz. Das sollte unbedingt von jedem verstanden und das eigene Handeln im Netz kritisch reflektiert werden.

[-] Flipper@feddit.de 15 points 8 months ago

Eine Möglichkeit. Bundeswehrmessenger für alle dienstliche Kommunikation verpflichtet vorschreiben.

[-] DmMacniel@feddit.de 9 points 8 months ago

Da kann dann nicht mal mehr NordVPN helfen :/

[-] zaphod@feddit.de 7 points 8 months ago

Wer sich mal die Aufnahme angehört hat, stellt fest, dass die mit einem Telefonat anfängt, und der Teilnehmer dann zur Konferenz hinzugefügt wird, enschließlich eines "Sie treten nun der Konferenz bei". Das spricht eher für ein mitgeschnittenes Telefonat als einen unbemerkten Spion in der Konferenz.

[-] muffinmaster1024@feddit.de 1 points 8 months ago* (last edited 8 months ago)

Die Ansage hört aber nur der sich Einwählende und nicht die anderen Teilnehmer. Glaube aber trotzdem, dass Du recht hast.

[-] zaphod@feddit.de 1 points 8 months ago

Genau deshalb meine ich ja, dass die das Telefon/Hotelzimmer von dem der sich da einwählt abgehört haben, und nicht als Teilnehmer in Webex wie es der "Stern" behauptet. Der Teilnehmer lässt sich da am Anfang von jemandem zur Webex-Konferenz weiterleiten, dann hören wir das "Sie treten nun bei", wenn da jemand in der Konferenz dabei war, würde der ganze Teil am Anfang fehlen.

[-] Kornblumenratte@feddit.de 7 points 8 months ago

Hm. Sind wir uns sicher, dass der russische Gast nicht als Experte zur Konstruktion der Kertschbrücke eingeladenen war?

[-] _edge@discuss.tchncs.de 6 points 8 months ago

Hat eigentlich mal jemand nachgeschaut wie viele Russen Zugriff auf die IT der Bundeswehr haben, so ganz legal, weil das ihr Job ist?

WebEx ist ein Cloud-Produkt, da müsste mab eher fragen, wer bei Cisco arbeitet; klammern wir das mal aus. Die Endgeräte, Laptops, Smartphones, sind ja hoffentlich Dienst-Geräte, eingekauft vom Bundesamt für Beschaffung und administriert von... wahrscheinlich einem Dienstleister. Der hat irgendwelche Subunternehmer und am Ende der Kette landet man in Indien oder Belarus.

Glaubt ihr nicht? Natürlich nicht. Auf dem Papier ist das sicher ein deutscher Dienstleister mit Mitarbeitern ausschließlich in EU-Ländern. Wegen Datenschutz und so. Sicher?

[-] muffinmaster1024@feddit.de 2 points 8 months ago

Die Dienstgeräte der Bundeswehr werden ausschließlich von der BWI (Inhouse-GmbH der BRD) administriert. Da gibt es keine Subunternehmen und noch nicht mal EU-Ausland, sondern nur Deutschland.

[-] GreenGo@feddit.de 5 points 8 months ago

Ist das erbärmlich. Mir fehlen die Worte.

[-] anti_paywall_bot@feddit.de 0 points 8 months ago
this post was submitted on 04 Mar 2024
75 points (96.3% liked)

DACH - jetzt auf feddit.org

8872 readers
1 users here now

Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!

Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos

Auch hier gelten die Serverregeln von https://feddit.de !

Banner: SirSamuelVimes

founded 1 year ago
MODERATORS