Die Bundeswehr rüstet eifrig im sogenannten Cyber-Raum auf, doch wie steht es um die IT-Sicherheit? Wir wollten wissen, wie es um die Vorschriften zur IT-Sicherheit bestellt ist. Aber wir bekamen eine Absage auf unsere Informationsfreiheitsanfrage – nach § 3 Ziffer 1 b) seien militärische und sonstige sicherheitsempfindliche Belange der Bundeswehr betroffen. Die Informationen seien geeignet, „einen Angriff auf die Bundeswehr erheblich zu erleichtern“. Doch auch die vorige, nicht mehr gültige Fassung der Dienstvorschrift wollte man nicht herausgeben. Warum das interessant ist, erklärt sich im Folgenden.
Jahrelang blieb Vorschrift wider besseren Wissens veraltet
Die Zentrale Dienstvorschrift IT-Sicherheit in der Bundeswehr – zDV 54/100 – wurde im April 2013 erneuert. Ganze zehn Jahre nachdem das Verteidigungsministerium dem Bundesrechnungshof versprochen hatte, neue Vorschriften zu erstellen. Die Vorgängervorschrift wurde in diesen zehn Jahren wiederholt vom Bundesrechnungshof als nicht mehr aktuell kritisiert, etwa 2005:
Der Bundesrechnungshof hat beanstandet, dass […] die Bundeswehr überwiegend ohne aktuelle und brauchbare IT-Sicherheitsvorschriften arbeitet, weil es jahrelanger Abstimmungsprozesse bedarf, bis sie eigene IT-Sicherheitsvorschriften erstellt oder fortschreibt, […]
In den Bemerkungen zu seinem Jahresbericht 2012 machte der Bundesrechnungshof erneut seine Enttäuschung deutlich und verwies darauf, dass die IT-Vorschriften der Bundeswehr sich nicht an den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren:
Der Bundesrechnungshof hält es für nicht akzeptabel, dass das Bundesverteidigungsministerium über fünf Jahre nach seiner Zusage gegenüber dem Rechnungsprüfungsausschuss die Dienstvorschrift zur IT-Sicherheit nicht auf den aktuellen Stand gebracht hat. Er erwartet, dass es in seiner Dienstvorschrift umgehend die ressortübergreifenden Standards des BSI verbindlich vorgibt. Es sollte dabei die Zuständigkeiten der IT-Sicherheitsbeauftragten zutreffend abbilden und die Arbeitshilfe hierzu erarbeiten.
Dass es 2013 nun endlich zu einer Neuerung kam, war längst überfällig, und es klang, als sei die alte Vorschrift vollständig überarbeitet. Ende 2013 hieß es in einer Pressemitteilung seitens der Firma GPP, die gemeinsam mit dem Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr das erste Sicherheitskonzept nach den neuen Vorgaben erstellte, die Bundeswehr habe ihre Vorgehensweise „fast komplett umgestellt“.
Alles neu oder alte Vorschrift in neuem Gewand?
Das führt zum spannenden Punkt der Informationsfreiheitsanfrage. Die Ablehnung der Herausgabe der Vorgängervorschrift wurde mit dem gleichen Argument begründet wie die der aktuellen: nachteilige Auswirkungen auf militärische und sonstige sicherheitsempfindliche Belange der Bundeswehr. Denn:
Die Offenlegung und Verbreitung der geforderten Information ist generell, auch im Falle der außer Kraft getretenen Vorschrift, weiterhin dazu geeignet, einen Angriff auf die Bundeswehr erheblich zu erleichtern, da große Anteile der alten Vorschrift unverändert in die neue Fassung übernommen wurden.
Es ist fraglich, was hier zutrifft: Wurde die alte Dienstvorschrift grundlegend überarbeitet, wirkt es widersinnig, dass ein Großteil unverändert übernommen wurde. Wurde ein Großteil unverändert übernommen, wäre zu prüfen, ob die notwendige Überarbeitung in einem ausreichenden Maße stattgefunden hat. Da wir von Security through Obscurity nicht viel halten, nehmen wir sachdienliche Hinweise zum Thema über die üblichen Kanäle gerne entgegen.
Die beste Vorschrift bringt nichts, wenn sich niemand daran hält
Abgesehen davon gibt es – Dienstvorschrift aktuell oder nicht – noch ganz andere Probleme. 2015 kritisierte der Bundesrechnungshof die Bundeswehr erneut. Sie statte unter anderem Administratoren „mit nahezu uneingeschränkten Berechtigungen“ aus:
Vorgaben dazu, wie Administratoren zu berechtigen waren, machte die Bundeswehr nicht. Für die anderen Beschäftigten regelte die Bundeswehr, wie diese zu berechtigen waren. Sie prüfte jedoch nicht, ob die vergebenen Berechtigungen mit ihren Vorgaben übereinstimmten.
Laut dem Bericht habe das Verteidigungsministerium erklärt, den Empfehlungen des Rechnungshofes vollständig nachkommen zu wollen. Doch angesichts des massiven Ausbaus der Cyber-Truppe, der mit Hauruck-artiger Mentalität betrieben wird, erweckt die immer wieder ans Licht kommenden Einstellung zu IT-Sicherheit in der Bundeswehr große Sorgen.
