Ein kurzer Kommentar zur Nutzung von Signal bei der Bundeswehr;
die schützenswerten Infornationen innerhalb der Bundeswehr sind als Verschlusssachen zu behandeln. Damit unterliegen sie etlichen Regeln, insb. im Bereich der Informationstechnik. Hier ist es so, dass nur durch das BSI für die jeweilige Einstufungshöhe zertifizierte Produkte eingesetzt werden dürfen (BSI Schrift 7164). Signal ist dort nicht gelistet, Webex im Übrigen auch nicht, wobei man es innerhalb eines entsprechend verschlüsselten Netzwerks wiederum betreiben könnte (ob das hier der Fall war -
Vor dem Hintergrund dass die eingesetzte Technologie durch den Freigabeprozess technisch immer hinterherläuft kann man froh sein dass dort mittlerweile Lösungen auf Basis GnuPG gelistet sind.
Grüße!
Von Mod. hinzugefügter Link.
Hoffentlich ist es der richtige.
Und egal wie gut der Verbindung gesichert ist (Kabel, Ende-zu-Ende-Verschlüsselung, Firewalls etc.), die Schwachstelle ist am Ende einer der beteiligten Verbindungen… sobald einer der Teilnehmer in einem „ungesicherten“ Raum sitzt und dort Mikrofone/Kameras die Inhalte auffangen können (im „besten“ Fall nur die Aussagen im Raum, im schlimmsten Fall läuft das Gespräch über einen Lautsprecher und auf einem Display werden noch weitere Infos gezeigt) ist doch alles hinfällig…
Also neben der Technik gibt es hoffentlich schon jetzt (oder aber bald) klare Verhaltensanweisungen, wann/wo/wie man an solchen Meetings teilnehmen darf…„irgendein Hotelzimmer“ ist dann vermutlich ab einer gewissen Stufe ausgeschlossen…
Räume in denen häufig VS-Vertraulich oder höher gesprochen wird müssen abhörgeschützt ausgelegt werden (§41 VSA).
Für VS-Nur für den Dienstgebrauch (VS-NfD, niedrigste VS-Einstufung) gibt es hier allerdings keine solche Vorgaben.
Das BMVg kann für seinen Geschäftsbereich eigene Vorschriften machen, da bin ich allerdings zu lange raus um zu wissen wie es aktuell geregelt ist.
Unabhängig davon hat Ulf schon recht wenn er sagt dass man entsprechende Awareness schaffen muss. Das ist leider schwierig, aber gerade solche Sicherheitsvorfälle können tatsächlich helfen die Awareness, zumindest vorübergehend, enorm zu steigern. Ich denke im Mindset sind wir zu oft noch in einer Situation, in der wir von Freunden umzingelt sind und daher keine Gefühl dafür haben wie sensibel Informationen sein können und gerne auch mal Geschäftsgeheimnisse am Handy im Zug besprechen.
vieuxrenard stellt da mMn ein paar Dinge zu einfach dar oder hat davon nichts gewusst
(Ich paraphrasiere)
„Signal kann ein kompetenter Admin in einem Tag selbst hosten“: Ja, aber bei weitem nicht production ready, also mit scaling, backup, Doku für die User:innen, etc. Wie der Betrieb der Lage- und GFF-IT ja auch zeigen dürften, ist es für einen ernstzunehmenden Einsatz mit docker compose up nicht getan.
„Layer 8-Problem, der Nutzer ist schuld“: Ja, aber: Das sind Soldaten und keine ITler. Wenn die Infra es erlaubt, sich unsicher einzuwählen, hat man ein systemisches Problem. Du kannst deine Sicherheitsarchitektur nicht auf der Annahme aufbauen, das Menschen keine Fehler machen. Wenn man es falsch halten kann, wird früher oder später wer es falsch halten. Und besonders in Stresssituation neigt man ja gerne dazu , alle Vorsicht in den Wind zu schlagen.
BWMessenger: Ja, die haben einen eigenen (auf dem Matrix-Protokoll basierenden, von Element entwickelten) Messenger. Der Element-Client kann E2E-Calls für 1-1, Fallback für Groupcalls ist ein Jitsi-iframe. Ein natives, E2E-Group-Call-Dings ist in Entwicklung, aber noch experimental (call.element.dev). Also bisher für die BW nicht wirklich eine gute, mobil taugliche Lösung für Gruppencalls.
Alles andere sehr gut dargestellt, hier muss ich aber doch widersprechen: Das waren ja jetzt nicht „irgendwelche“ Soldaten, sondern studierte, hochgebildete Führungskräfte. Da kann man eine Reflexion und Beachtung der sicherlich bekannten Regeln schon erwarten.
Ich wollte nur nochmal schnell auf die Aussage eingehen, dass Signal die sicherste Kommunikations-App ist. Meiner Meinung nach ist Threema mindestens genauso sicher, zumal es dort sogar keine Business-Variante gibt, die auch verwendet werden kann.
Das kann man zwar erwarten, aber davon auszugehen, dass Menschen keine Fehler machen ist naiv.
Hier sind wir mal wieder beim altbekannten Sprichwort „There’s no glory in prevention“. Wenn man 80% der Zeit alles richtig macht, in den meisten anderen Fällen niemand spioniert oder die Technik funktioniert, dann gibt es immer noch den Einzelfall, dass man mal abgehört wird.
Anscheinend hat die hier durch Russland angewendete Spionagetechnik immer wieder mal Aussicht auf Erfolg (auch bei anderen Nationen), ansonsten hätte man niemanden darauf angesetzt, mit dieser Methode bei diesem Event zu spionieren.
Da stellt sich die Frage wurde diese Person grundsätzlich überwacht, oder gab es ein Vorwissen über das geplante Gespräch? Der 2. Punkt würde auf ein tiefgreifendes Problem hinweisen und sollte geklärt werden.
Ich bin kein Experte für VS-NFD-Zulassungen, aber nach meinem Verständnis muss für ein Zertifikat für die asymmetrische Kryptographie auf VS-NFD-Level
von einer Vertrauenswürdigen PKI ausgestellt werden (Das ist bei Signal nicht der Fall)
Auf einer Smartcard oder einem Hardware Security Module gespeichert werden, damit jemand der das Gerät knackt nicht einfach das Zertifikat kopieren kann und dann unbemerkt weiter die Kommunikation mitlesen kann. I-Phone hat ja neuerdings die VS-NFD Zulassung bekommen und das hat so ein HSM verbaut.
Wenn man eine sicheren Kanal hat, (also z.B. ein VPN das sicher ist) kann man darüber problemlos Webex machen, solage es innerhalb des sicheren Netzwerks selbst gehosted wird.
Wenn man dafür dann allerdings Telefoneinwahl erlaubt, frage ich mich schon ob so ein Webex Raum noch die Voraussetzungen für VS-NFD erfüllt.
nein, aber die BW könnte einen Signal-Klon selbst hosten, damit wäre das Problem gelöst.
Aber nein, man muss unbedingt einen weit weniger leistungsfähigen Messenger selbst bauen (BWMessenger) und wundert sich dann, dass der nicht genutzt wird.
Ja, das stimmt natürlich.
Es gibt ja nen golem-Artikel zur BwMessenger. Da schreiben sie, daß neben Matrix, was ja auf dem Signal Protokol basiert und als Grundlage für den BW Messenger dient, auch Signal und Stashcat evaluiert haben.
Das mit dem Standort in USA ist beim selbst hosten natürlich quatsch.
Ich vermute daß sie eh Anpassungen machen mussten um die BSI-Anforderungen zu erfüllen. Und ich finde es komisch daß das Thema Zertifikate und Vertrauensanker in dem ganzen Artikel nicht zur Sprache kommt.
(Samsung Knox und Apple Indigo ermöglicht das ja)
Letztlich haben sie aber ein fertiges Open Source Produkt verwendet. Nur halt nicht Signal. Ich finde das kommt eurer Forderung nach dem Einsatz bestehender Open Source Lösungen eigentlich sehr nahe.
… Nur weil Snowden mal was von Signal gesagt hat, könnt ihr nicht einfach so dahinplaudern, dass es für einen halbwegs fähigen ITler keinen Tag dauert, sich als Bundeswehr den Quelltext runterzuladen und quasi eine eigene Bundeswehr-Signal-App zu kompilieren. Und sich dann ein bisschen wundern. Lol.
Wenn meine 70-jährige Mutter sich das so vorstellt, dann ist das ja nicht weiter schlimm. Wer aber ein so großes Publikum erreicht, sollte vielleicht doch ein bisschen aufpassen, wie apodiktisch er als fachfremder Podcaster mal eben die IT-Verantwortlichen der Bundeswehr niederbügelt. Insbesondere dann, wenn ja ohnehin schon klar ist, dass die gewählte Plattform genau nicht das Problem war.
Abgesehen von der fachlichen Fehlleistung: Einfach nur unnötig.
Ich weiß wovon ich rede: Ich habe das nämlich schon gemacht, und es hat einen Nachmittag gedauert
Abgesehen davon wäre es sicher hilfreich, wenn du dich erst mit der Qualifikation von Menschen beschäftigst, ehe du sie als „fachfremd“ bezeichnest. Ich habe mich aus dem Fenster gelehnt, weil ich diese IT-Frage aus eigener Erfahrung besonders gut einschätzen kann.
natürlich war auch die Plattform das Problem, weil sie zum einen an der Firewall vor Ort scheiterte (was bei Signal eher nicht passiert) und weil sie zum anderen die Einwahl per Telefon erlaubte (WTF). Ein Mensch hat zwar einen Fehler gemacht, aber eine gute Plattform hätte ihn diesen Fehler gar nicht erst machen lassen (nennt sich „Fehlertoleranz“).
Ich arbeite jetzt schon sehr lange fachlich in dem Bereich IT Sicherheit, und muss sagen dass Du natürlich einerseits Recht hast mit der Aussage, dass man das an einem Tag aufsetzen kann. Nur muss man sich andererseits auch die Umgebung ansehen, in der das installiert wird. Die BW ist eben kein 10 Personen Unternehmen, für das man mal eben Signal aufsetzt. Die Ansprüche an so eine Platform sind unabhängig von der sicherheit eine gänzlich andere. Und Open Source ohne technischen und fachlichen Support durch den Hersteller ist immer schwierig in Behörden einzusetzen. Da gilt immer auch „save your own ass“. Das solltest Du, Ulf, ja aus eigener Erfahrung mit Deinem Projekt erfahren haben.
Irgendwie klang das für mich auch etwas sehr flapsig dahin gesagt, obwohl natürlich auch etwas Wahrheit drinn steckt.
Da hat dann aber eher das Admin-Team Fehler gemacht, das ist kaum der Software anzulasten (wobei ich wirklich kein gutes Haar an der eingesetzten Software lassen will, die ist aus vielerlei Gründen problematisch).
Ich hatte das auch mal weiter oben angesprochen, es wurde aber irgendwie weggebügelt, dennoch denke ich immer noch dass ein Offizier auf diesem Rang auch mal sein Gehirn einschalten kann, ehe er über eine offensichtlich unsichere Leitung solche Gespräche führt. Das bedeutet natürlich nicht, dass man Software unsicher zur Verfügung stellen solte. Nur in diesem speziellen Fall hat mindestens der eine Teilnehmer eine deftige Mitschuld.
„das dauert für einen halbwegs fähigen ITler keinen ganzen Tag das aufzubauen“
Klar kann man sich den Quellcode runterladen und compilieren und hat in ein paar Stunden seinen eigenen Klon.
Damit ist es aber nun wirklich nicht getan. So ein System für mehrere tausend Nutzer stabil im Betrieb zu halten (und auch die Nutzer mit Updates versorgen) braucht dann doch dauerhaft Ressourcen.
Die gute Nachricht, die Bundeswehr/das BWI hat genau das getan: sie hat sich als Basis nur für elements und matrix entschieden.
Eine weitere Anmerkung: der Inhalt des Gesprächs war wahrscheinlich nicht „streng geheim“, aber wahrscheinlich höher als „nur für den Dienstgebrauch“ (welches das Maximum ist, für das Webex zugelassen ist).
Wenn es die Firewall vor Ort (Singapur) war, kann die Plattform nichts dafür. Wir haben bei uns in der Firma unsere VK-Plattform auch geschützt, dass wir Einwahlen nur aus definierten Ländern erlauben. Frage wäre also, wie die BW ihren WebEx-Tenant eingestellt hat.
Und gleiches gilt auch für die Einwahl per Telefon. Natürlich geht das grundsätzlich bei WebEx. Auch da die Frage, wie die BW es für sich eingestellt hat, oder wenn es an sich offen ist, ob es dann Regelungen gab, was der Organisator des Termins zu befolgen hat.
Ich weiß nicht, warum man hier meint, Signal wäre besser als Matrix als BWMessanger. Gerade für die Bundeswehr ist doch so ein dezentraler Messanger, der auch noch funktioniert, wenn der Satcom Link mal nicht da ist, genau das, was man braucht.
Vom Konzept her hat die Bw das mit dem Matrix mal gar nicht so schlecht angefangen. Es wurde nur wieder aufgesattelt, so dass es quasi „nie“ fertig wird. Das wäre aber mit Signal auch passiert. Da fehlt dann noch Feature x und y und so weiter…
Bei dem abgehörten Gespräch hoher Luftwaffenoffiziere über Optionen für eine Taurus-Lieferung an die Ukraine war auch Luftwaffeninspekteur Ingo Gerhartz über eine ungesicherte Verbindung zugeschaltet. Das teilte Verteidigungsminister Boris Pistorius nach einer Sondersitzung des Verteidigungsausschusses am (heutigen) Montag mit. Bisher war nur bekannt gewesen, dass einer der Teilnehmer der Telekonferenz aus Singapur über eine ungesicherte Verbindung zugeschaltet war und so vermutlich der russische Geheimdienst das Gespräch mitschneiden konnte.
Signal oder BWMessenger sind keine Lösungen für Sicherheitsprobleme, Deutschland braucht eine sichere Ende-zu-Ende-Kommunikation, was bedeutet, dass alles vom Chip bis zum Mikrofon selbst gebaut werden sollte.
End-to-End ist in seriösen großen Tech-Unternehmen schon lange Standard. Bei Google zum Beispiel benutzen die meisten Mitarbeiter selbstgebaute Chromebooks, auf denen man nur Webbrowser öffnen kann, keine USB-Anschlüsse nutzbar sind und keine Apps verwendet werden können.
Samsung ist sogar noch strenger: Man kann nur in Samsung-Gebäuden telefonieren und arbeiten und darf keine persönliche Elektronik in diese Gebäude mitbringen, auch keine Kopfhörer und Ladegeräte.
End-to-End ist wichtig, da die ausländischen Geräte sogenannte Backdors haben können/müssen. Zum Beispiel unterliegen alle in den USA hergestellten oder entwickelten Geräte dem Telekommunikationsgesetz (Tellecommunication Act):
„reuired to appropriate authorization to activate interception of communications or access to call-identifying information“.
Ich habe persönlich als SW-Entwickler mit den Behörden zusammengearbeitet, um dies zu ermöglichen, und ich habe mehrere Zeugenaussagen gehört, dass die NSA nicht nur Telekommunikationsunternehmen, sondern auch Hardware-Firmen („hard disk“, Chips) für einige Dinge beauftragt.
