Informationsfreiheitsablehnung des Tages: Veraltete Bundeswehr-Dienstvorschrift IT-Sicherheit zum Großteil in Neufassung übernommen

Die aktuelle Dienstvorschrift zur IT-Sicherheit der Bundeswehr soll unter Verschluss bleiben. Die Vorgängerversion auch – weil große Teile unverändert übernommen wurden. Dabei wurde sie seit über zehn Jahren massiv als veraltet kritisiert.

Dauerthema IT-Sicherheit bei der Bundeswehr – via PIZ SKB

Die Bundeswehr rüstet eifrig im sogenannten Cyber-Raum auf, doch wie steht es um die IT-Sicherheit? Wir wollten wissen, wie es um die Vorschriften zur IT-Sicherheit bestellt ist. Aber wir bekamen eine Absage auf unsere Informationsfreiheitsanfrage – nach § 3 Ziffer 1 b) seien militärische und sonstige sicherheitsempfindliche Belange der Bundeswehr betroffen. Die Informationen seien geeignet, „einen Angriff auf die Bundeswehr erheblich zu erleichtern“. Doch auch die vorige, nicht mehr gültige Fassung der Dienstvorschrift wollte man nicht herausgeben. Warum das interessant ist, erklärt sich im Folgenden.

Jahrelang blieb Vorschrift wider besseren Wissens veraltet

Die Zentrale Dienstvorschrift IT-Sicherheit in der Bundeswehr – zDV 54/100 – wurde im April 2013 erneuert. Ganze zehn Jahre nachdem das Verteidigungsministerium dem Bundesrechnungshof versprochen hatte, neue Vorschriften zu erstellen. Die Vorgängervorschrift wurde in diesen zehn Jahren wiederholt vom Bundesrechnungshof als nicht mehr aktuell kritisiert, etwa 2005:

Der Bundesrechnungshof hat beanstandet, dass […] die Bundeswehr überwiegend ohne aktuelle und brauchbare IT-Sicherheitsvorschriften arbeitet, weil es jahrelanger Abstimmungsprozesse bedarf, bis sie eigene IT-Sicherheitsvorschriften erstellt oder fortschreibt, […]

In den Bemerkungen zu seinem Jahresbericht 2012 machte der Bundesrechnungshof erneut seine Enttäuschung deutlich und verwies darauf, dass die IT-Vorschriften der Bundeswehr sich nicht an den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren:

Der Bundesrechnungshof hält es für nicht akzeptabel, dass das Bundesverteidigungsministerium über fünf Jahre nach seiner Zusage gegenüber dem Rechnungsprüfungsausschuss die Dienstvorschrift zur IT-Sicherheit nicht auf den aktuellen Stand gebracht hat. Er erwartet, dass es in seiner Dienstvorschrift umgehend die ressortübergreifenden Standards des BSI verbindlich vorgibt. Es sollte dabei die Zuständigkeiten der IT-Sicherheitsbeauftragten zutreffend abbilden und die Arbeitshilfe hierzu erarbeiten.

Dass es 2013 nun endlich zu einer Neuerung kam, war längst überfällig, und es klang, als sei die alte Vorschrift vollständig überarbeitet. Ende 2013 hieß es in einer Pressemitteilung seitens der Firma GPP, die gemeinsam mit dem Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr das erste Sicherheitskonzept nach den neuen Vorgaben erstellte, die Bundeswehr habe ihre Vorgehensweise „fast komplett umgestellt“.

Alles neu oder alte Vorschrift in neuem Gewand?

Das führt zum spannenden Punkt der Informationsfreiheitsanfrage. Die Ablehnung der Herausgabe der Vorgängervorschrift wurde mit dem gleichen Argument begründet wie die der aktuellen: nachteilige Auswirkungen auf militärische und sonstige sicherheitsempfindliche Belange der Bundeswehr. Denn:

Die Offenlegung und Verbreitung der geforderten Information ist generell, auch im Falle der außer Kraft getretenen Vorschrift, weiterhin dazu geeignet, einen Angriff auf die Bundeswehr erheblich zu erleichtern, da große Anteile der alten Vorschrift unverändert in die neue Fassung übernommen wurden.

Es ist fraglich, was hier zutrifft: Wurde die alte Dienstvorschrift grundlegend überarbeitet, wirkt es widersinnig, dass ein Großteil unverändert übernommen wurde. Wurde ein Großteil unverändert übernommen, wäre zu prüfen, ob die notwendige Überarbeitung in einem ausreichenden Maße stattgefunden hat. Da wir von Security through Obscurity nicht viel halten, nehmen wir sachdienliche Hinweise zum Thema über die üblichen Kanäle gerne entgegen.

Die beste Vorschrift bringt nichts, wenn sich niemand daran hält

Abgesehen davon gibt es – Dienstvorschrift aktuell oder nicht – noch ganz andere Probleme. 2015 kritisierte der Bundesrechnungshof die Bundeswehr erneut. Sie statte unter anderem Administratoren „mit nahezu uneingeschränkten Berechtigungen“ aus:

Vorgaben dazu, wie Administratoren zu berechtigen waren, machte die Bundeswehr nicht. Für die anderen Beschäftigten regelte die Bundeswehr, wie diese zu berechtigen waren. Sie prüfte jedoch nicht, ob die vergebenen Berechtigungen mit ihren Vorgaben übereinstimmten.

Laut dem Bericht habe das Verteidigungsministerium erklärt, den Empfehlungen des Rechnungshofes vollständig nachkommen zu wollen. Doch angesichts des massiven Ausbaus der Cyber-Truppe, der mit Hauruck-artiger Mentalität betrieben wird, erweckt die immer wieder ans Licht kommenden Einstellung zu IT-Sicherheit in der Bundeswehr große Sorgen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Rüstungsindustrie gilt in vielen Ländern (D, E, F, USA, RU …) als systemrelevant, ein Kugellagerhersteller wurde letztlich vom Staat gerettet, weil nur der in D Kugellager für Panzerdrehtürme herstellen kann, sind das da oben auf dem Bild eigentlich Thinkpads, oder doch eher Dell …

    1. Haben Thinkpads nicht (seit der Übernahme IBMs durch Lenovo?) unten rechts einen schrägen ThinkPad Schriftzug mit Power LED als I-Punkt?

    1. Die dinger nennen sich Rocky das Letzte model was ich kenne war das Rocky III (einfach mal googln, gibt ebay treffer dazu)

  2. Hm, ich wundere mich viel mehr, dass die Informatika dort so dünne sind.
    Wie sollen die was im Kopf haben, wenn die nichts auf den Rippen haben – sind wohl Kassler Rippchen :-)
    Wenn die im sonnigen Süden bei den wilden Elchen stehen würden, sähen die besser aus – Männlein und auch noch Weiblein dazu, aber vermutlich ältere sportuntaugliche Modelle. Das passt wohl weniger in das neue Rekrutierungsimage von der Bundeswehr an der Leine :-)
    LG SUSI

  3. Mhm. Die neue ZDV ist lustigerweise als „offen“ eingestuft, also noch nicht mal „NfD“.

  4. Ich kenne die alte ZDV 45/100 und sie ist keineswegs veraltet. Da stehen einfach so grundsätzliche Anforderungen drin, die sich auch über so viele Jahre nicht verändern, z.B. daß nicht jeder einfach ins Rechenzentrum reinmarschieren darf und physikalischen Zugriff auf die Server haben kann. Sicher kann man an der einen oder anderen Stelle ergänzen, aber die komplette ZDV umzuschreiben wäre totaler Quatsch. Wie gesagt: Diese Anforderungen ändern sich nicht, wenn man da was ändert, nur damit man sagen kann „Wir haben da überall was geändert“ verschlimmbessert das die ZDV eher.
    Die VSnfD-Einstufung ist allerdings auch Unfug, da steht nichts drin, was man sich nicht auch denken kann oder in anderer Form vom BSI vorgegeben wird.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.