Zugänge auf die internen Mailsysteme von fünf Armeen lagen offen. Sabotage war mehrere Stunden lang möglich.
So gerne Militärs ihre Fähigkeiten nach außen zeigen, so verschwiegen sind sie, wenn es um die inneren Abläufe geht. Das ist aus Sicherheitsgründen auch nötig.
Im konkreten Fall erwies Österreichs Bundesheer seinen Partnerländern jedoch einen Bärendienst. Auf der Webseite des Ministeriums bewirbt sich das Heer derzeit selbst mit spektakulären Einsatzbildern von einer internationalen Helikopterübung in Portugal. Eines der Fotos zeigt Piloten, die sich mit einem Kollegen aus Belgien unterhalten. Im Hintergrund steht ein Flipchart, auf dem die Internetadresse für einen Webmail-Account inklusive Log-in-Name und Passwort zu sehen ist. Alles in einem Schema, von dem man auf die Zugangsdaten der anderen Nationen schließen kann.
„Die Presse“ hat das gemacht. Das Ergebnis: Ein mehrstündiger Zugriff auf das Mailsystem eines Manövers, an dem fünf Armeen teilnehmen. Dass Brigadier Andreas Putz einer von zwei Teilnehmern des österreichischen Bundesheeres am „VIP-Day“ von „Hotblade 2013“ war, war eine der harmloseren Informationen. Putz ist Kommandant des Hörschinger „Kommandos Luftunterstützung“ und der ranghöchste Uniformierte der rot-weiß-roten Militärs vor Ort.
Weniger harmlos war, dass man aufgrund der schweren Sicherheitspanne innerhalb des Bundesheeres stundenlang Zugang zu streng vertraulichen militärischen Daten hatte, darunter Briefings, Einsatz- und Flugpläne. Auch die Sendefrequenzen zur Kommunikation lagen offen. Was das bedeutet?
Die Panne öffnete Sabotage Tür und Tor. Wer wollte, konnte sich als eines der Teilnehmerländer ausgeben und zum Beispiel Flugpläne manipulieren, ohne dass es die anderen gemerkt hätten. Auch das Ändern der Log-in-Daten war möglich, was den Übungspartnern – zumindest kurzfristig – den Zugriff auf das System versperrt hätte.
Bei Hotblade 2013 trainieren derzeit 26 Helikopter, vier Flugzeuge und 700 Soldaten aus Österreich, Deutschland, den Niederlanden, Belgien und Portugal Kampf- und Rettungseinsätze. Die Organisation obliegt der Verteidigungsagentur der EU.
Der Wiener IT-Sicherheitsexperte Horst Neumayer sieht jedoch noch viel weiter reichende Möglichkeiten. „Angreifern war es dadurch möglich, Schadsoftware in die Militärcomputer mehrerer Nationen zu bringen.“ Für ausländische Nachrichtendienste eine Einladung.
„Change your passphrase“
Neumayer war es auch, der das Verteidigungsministerium telefonisch auf das Leck aufmerksam machte. Als er am Freitag um 11.26 Uhr in der IT-Abteilung anrief, war niemand erreichbar: Mittagspause. Erst eine halbe Stunde später bekam er einen Ansprechpartner.
Obwohl das Foto auf der Bundesheerwebseite, die am späten Nachmittag ganz vom Netz ging, rasch verschwand, dauerte es, bis man in Portugal reagierte. Um 12.52 Uhr dämmerte den Österreichern, dass man vielleicht auch die Partnerländer über die Panne informieren könnte. Man verschickte – via Mail – einen Einzeiler: „You should consider to change your passphrase.“ Begründung: keine.
Das Verteidigungsministerium spielte den Vorfall herunter. Bei dem Mailsystem handle es sich um ein Portal, „das mit Smartphone-Apps, die über Flugbewegungen informieren, vergleichbar ist“. Man habe nationale und internationale Maßnahmen veranlasst. Und: Man bedaure den Vorfall.
("Die Presse", Print-Ausgabe, 27. Juli 2013)