Nach dem Abhörvorfall bei der Deutschen Luftwaffe, auch bekannt als Taurus Leak, erhielten Journalisten nun einen Link zu einer Pressemitteilung des Bundesverteidigungsministers Boris Pistorius, der mit dem Passwort 1234 gesichert war. Damit tritt die Bundeswehr ins nächste Fettnäpfchen.
Vor einigen Tagen fingen russische Spione eine unverschlüsselte Konferenz ab und nahmen auf, wie führende deutsche Militärs über mögliche Lieferungen von Taurus-Marschflugkörpern an die Ukraine und potenzielle Ziele diskutierten. Die 38-minütige Audiodatei wurde über den russischen Staatssender RT an die Öffentlichkeit geleakt. Das sorgte für reichlich Diskussion über die digitale Sicherheitskompetenzen- und -mechanismen der Luftwaffe.
Am 3. März erhielten Journalisten einen Link zu einer Presseerklärung der Bundeswehr über die abgefangenen Kommunikationen der Luftwaffe. Die Datei war mit einem der einfachsten möglichen Passwörter geschützt, nämlich 1234. Ein Passwort, das in seiner Einfachheit kaum zu übertreffen ist und zu den häufigsten Passwörtern überhaupt gehört.
Diese Aktion sorgte für Irritation. Die Online-Nachrichtenseite heise.de hatte darüber zuerst berichtet und fragt im Artikel: „Aber warum sichert die Pressestelle des BMVg dann ausgerechnet ein Audio-Statement des Verteidigungsministers zur Taurus-Abhöraffäre mit dem Passwort „1234″? Ist das eine Art Insider-Witz oder hatte da jemand einfach keine Lust, nach dem verdorbenen Wochenende am Montag den Nextcloud-eigenen Passwortgenerator ungestört seine Arbeit machen zu lassen? Der schlägt nämlich automatisch richtlinienkonforme Passwörter vor – wenn man ihn lässt.“ Andere Pressemitteilung hätten durchaus auch sinnvolle Passwörter gehabt. Dass genau diese Pressemitteilung, wohlgemerkt nach dem brisanten Taurus Leak, eine „Spezial-Behandlung“ bekommt, wäre schon ein aberwitziger Zufall.
Verkompliziert wurde die Situation durch eine kryptische Botschaft, die auf der Login-Seite für die Pressemitteilung zu finden war und später gelöscht wurde: „s6 dev gru ⚔ b0rn 2 l33t“. Diese in sogenanntem Leetspeak verfasste Nachricht ließ Raum für Interpretationen – von Anspielungen auf den russischen militärischen Geheimdienst GRU bis hin zu Bezügen auf das SEAL Team Six oder die Counter-Strike-Szene der 90er Jahre.
Zur Wahrheit gehört natürlich auch, dass das Passwort für die sowieso öffentlichen Informationen vermutlich nur dem Schutz vor automatisierten Abrufen dient. Angesichts der jüngsten Ereignisse ist es aber ein durchaus unbeholfenes Manöver der Bundeswehr und ist zumindest sehr unglücklich. Falls es wirklich ein Scherz der Bundeswehr gewesen sein sollte, ist dieser definitiv nach hinten losgegangen.
„Ein grundlegendes Problem“
Stephan Schweizer, CEO des Identity and Access Management-Anbieters Nevis Security, sieht derweil in der Passwort-Posse einen generellen Missstand: „Der Gesamtvorfall zeigt dennoch ein grundlegendes Problem der IT-Sicherheit in vielen größeren Organisationen und Unternehmen: Der Zugang zu wichtigen Systemen und Informationen wird noch zu häufig durch Maßnahmen geschützt, die den aktuellen Anforderungen der IT-Sicherheit im Zeitalter von Cyberspionage, Hackerfabriken und KI-gestützten Angriffen nicht mehr entsprechen“, sagt er gegenüber it-daily.net.
„Moderne Identity & Access-Lösungen nutzen für den Zugriff auf vertrauliche Informationen oder die Authentifikation in sensiblen Systemen unterschiedliche Kontextinformationen. Aufbauend auf einer Zwei-Faktor-Authentifizierung (z. B. basierend auf dem FIDO-Standard) werden vor dem Zugriff weitere Sicherheitssignale ausgewertet. Zu diesen gehören unter anderem der aktuelle Ort des Nutzers, seine IP-Reputation, die Reisegeschwindigkeit oder auch ein eindeutiger Geräte-Fingerabdruck. Sind diese Signale fragwürdig, kann das System abhängig vom Sicherheitsprofil eines Nutzers oder Vorgangs zusätzliche Maßnahmen anfordern oder den Zugriff verweigern.“