Es kam für mich nie wirklich infrage, zur Bundeswehr zu gehen, dafür steht mir Grün zu schlecht, aber bei IT-Security-Expert:innen, deren Aufgabe es ist, Dinge kaputt zu machen, wecken die hohen Sicherheitsanforderungen militärischer Organisationen selbstverständlich ein sportliches Interesse. Im Rahmen der Vulnerability Disclosure Policy der Bundeswehr habe ich mich daher mit der Suche nach Schwachstellen in deren öffentlich erreichbaren Systemen beschäftigt. Herausgekommen ist dabei zum Glück kein Zugriff à la WarGames (1983), aber dafür ein spannender kultureller Einblick in die mediale Welt der Bundeswehr.
Lage, Lage, Lagebild
Der erste Schritt in meinem Projekt war eine Erfassung der öffentlichen Angriffsoberfläche. Zunächst schien diese nicht allzu vielversprechend zu sein. Ein sehr großer Teil der Bundeswehr-Netze ist nicht unmittelbar über das Internet erreichbar. Doch nach einiger Einarbeitung erschlossen sich in Netzen von Dienstleistern der Bundeswehr einige Möglichkeiten.
Die erste Meldung von Schwachstellen sendete ich im Frühjahr 2024 an das Cyber Security Operations Center der Bundeswehr (CSOCBw). Hier handelte es sich noch um einige mäßig interessante Fehlkonfigurationen, über die vereinzelt interne Informationen ausgeleitet werden konnten.
Weitere Findings erwarteten mich dann im Kontext von „Connect-D“, einem System, das Soldat:innen im Auslandseinsatz private Kommunikationsmittel und Unterhaltung zur Verfügung stellen soll. Auf den Servern von Connect-D lag ein Datenleck vor. Dadurch war es möglich, als anonymer Benutzer ein Verzeichnis mit über die Plattform verteilten Dateien einzusehen und diese auch abzurufen.
Enthalten waren Anleitungen zur Nutzung verschiedener Kommunikationsdienste wie Satellitentelefonie. Leider waren in diesen auch Passwörter für die jeweiligen Geräte enthalten. Darüber hinaus wurde auf eine öffentliche Nextcloud verwiesen, auf der Konfigurationsdateien für die jeweiligen Geräte zur Verfügung gestellt wurden. Auf diese Dateien konnte auch schreibend zugegriffen werden, sodass eine Manipulation der Dateien möglich gewesen wäre. Eine kritische Schwachstelle, da auf diesem Weg ein Lieferkettenangriff durchgeführt werden könnte, um manipulierte Konfigurationen in Umlauf zu bringen.
Des Weiteren konnten administrative Passwörter aus Konfigurationsdateien für satellitengestützte Internetverbindungen ausgelesen werden. Ebenfalls frei abrufbar war ein Luftbild, das die Netzwerkverbindungen einer militärischen Einrichtung in einem Einsatzland illustrierte.
Besondere Freude machten mir aber die über den Dateiserver geteilten Sendepläne des Fernsehsenders BWTV. Bereitgestellt wird hier eine ziemlich hochwertige Programmauswahl, sodass zum Beispiel die U-Boot-Besatzung nach Dienstschluss bei einer Folge „Das Boot“ entspannen kann. Wer eine Motivationslücke verspürt, kann sich von der Doku „Jetzt noch Soldat werden? – Härtetest Grundausbildung“ aufbauen lassen, und wer im Dienstalltag das Pathos vermisst, kann in der trashigen Comic-Verfilmung „300“ einem Haufen Spartaner beim Kämpfen zuschauen.
Diese Schwachstellen wurden der Bundeswehr im Februar 2025 gemeldet.
Weiter ging es dann mit dem bundeswehreigenen Radiosender „Radio Andernach“. Dieser ist grundsätzlich nicht für die Öffentlichkeit bestimmt, wird aber unter einem passwortgeschützten Link auch über das Internet verbreitet. Angegliedert ist der Radiosender an das Zentrum Operative Kommunikation, dessen Aufgabengebiet die strategische Außenkommunikation ist. Im NATO-Jargon spricht man hier auch von „PsyOps“. Radio Andernach gehört jedoch zu den Betreuungsmedien der Truppe und übernimmt keine Aufgaben der psychologischen Kriegsführung – auch wenn das Musikprogramm gelegentlich einen anderen Eindruck erwecken könnte.
Die Konsole zur Verwaltung des Onlinestreams wird über einen Dienstleister im Internet bereitgestellt. Die Anmeldemaske war anfällig für eine SQL-Injection, über die Daten ausgelesen werden konnten und die Authentifizierung ausgehebelt werden konnte. Interessant war hier auch der Zugriff auf die Benutzerdaten, der für die Administration des Streams verantwortlichen Soldat:innen.
Die in der Datenbank hinterlegten Hashes der Passwörter waren ungesalzen, ungepfeffert und beruhten lediglich auf dem ungeeigneten Algorithmus MD5 (Kontext). An sich wiederholenden Hashes war auch abzulesen, dass für einige Accounts dasselbe Passwort verwendet wurde.
Piratensender Powerplay
Über den erlangten Zugang wäre es möglich gewesen, den Audiostream zu kapern und stattdessen eigene Inhalte zu übertragen. Grundsätzlich ein erhebliches Problem, denn so könnten Angreifer:innen zum Beispiel einen Phishing-Pretext in den regelmäßigen Nachrichtenmeldungen auf dem Sender unterbringen. Dieses Risiko wird ein wenig durch die Zahl der Zuhörenden relativiert. Diese konnte aus dem Web-Interface abgelesen werden und beschränkte sich auf ungefähr 40 der 260.000 Bundeswehrangehörigen.
Diese Schwachstellen wurden im März 2025 gefunden. Da in diesem Fall nicht nur Radio Andernach, sondern auch eine Vielzahl anderer Radiosender betroffen war, musste die Schwachstelle zeitnah an den Drittanbieter gemeldet werden. Zu diesem Zeitpunkt war selbst die erste Schwachstellenmeldung aus dem Frühjahr 2024 an das CSOCBw noch nicht vollständig bearbeitet, daher entschied ich mich, die Bundeswehr zwar zu informieren, dann aber direkt an den Hersteller heranzutreten. Im Gegensatz zur Bundeswehr reagierte dieser sehr schnell, die SQL-Injection wurde bereits wenige Stunden nach der Meldung behoben.
Bei der Vulnerability Disclosure Policy der Bundeswehr (VDPBw) gibt es an einigen Stellen noch Verbesserungspotential. So ist die Policy deutlich restriktiver als übliche Responsible-Disclosure Verfahren. Implizit wird sogar eine Strafanzeige angedroht, sollten die Bedingungen der Policy nicht eingehalten werden. Dieses Ungleichgewicht ergibt sich auch aus dem unscharfen rechtlichen Rahmen für Responsible Disclosures und betrifft nicht allein die Bundeswehr. Ein Problem, das in erster Linie der Gesetzgeber beheben kann. Trotzdem ist es schade, wenn diese Vorgehensweise in einer Disclosure Policy weiter zementiert wird, anstatt tatsächlich einen klaren Rahmen zur Meldung von Schwachstellen zu schaffen. Auch bei der Bearbeitung von Meldungen gibt es Raum zur Verbesserung. Updates zum Stand der Behebung waren oft nur auf telefonische Nachfrage zu erlangen, und die angekündigten 90 Tage zur Behebung einer Schwachstelle konnten in einigen Fällen nicht eingehalten werden. Dennoch ist die Einrichtung der Vulnerability Disclosure Policy der Bundeswehr (VDPBw) zu begrüßen. Durch die VDPBw wird Forscher:innen die Möglichkeit eröffnet, während der Analyse von Systemen und Anwendungen auf den Scope der Policy zurückzugreifen und gefundene Schwachstellen auf direktem Wege zu melden, ohne auf eine externe Vermittlungsstelle zurückgreifen zu müssen. Darüber hinaus stellt die Policy auch eine Einladung zur Analyse öffentlicher Bundeswehr-Systeme dar. Die auf der Webseite der Bundeswehr veröffentlichte Liste mit behobenen Meldungen zeigt: Das ist in jedem Fall ein Gewinn für die IT-Sicherheit.
Flora Schäfer
Auch DIE ZEIT online berichtet im Artikel Deutschlands digitale Verteidigung? Passwort: „Wolf„ über die Findings unserer Kollegin.