Die jüngsten Enthüllungen rund um die „Taurus“-Abhöraffäre werfen nicht nur Fragen zur Sicherheit deutscher Kommunikationssysteme auf, sondern auch zu den verwendeten Plattformen für die Veröffentlichung von offiziellen Statements. Das Bundesministerium der Verteidigung stellte ein Pressestatement von Bundesminister Boris Pistorius zur abgehörten Luftwaffen-Kommunikation online, doch die gewählte Plattform und ihre Sicherheitsaspekte geben Anlass zur Diskussion.

Über den Link Pressestatement Bundesminister der Verteidigung wurde das Statement zugänglich gemacht, und das Passwort „1234“ sollte den Zugriff ermöglichen. Die Erwartung, ein PDF-Dokument vorzufinden, wurde jedoch enttäuscht, denn stattdessen handelte es sich um eine MP3-Datei mit fragwürdiger Audioqualität.

Die Verwendung von Nextcloud, einer eigenen Cloud-Instanz der Bundeswehr, wirft Sicherheitsfragen auf. Die Plattform war passwortgeschützt, was auf Compliance-Anforderungen hindeutet. Das gewählte Passwort „1234“ mag zwar simpel erscheinen, aber es könnte darauf hinweisen, dass die Plattform so konfiguriert wurde, um aus Gründen der Compliance Passwortschutz zu erzwingen.

Die Plattform, die als „(c) 2024 Pilotumgebung Link and More“ bezeichnet wird, wirkte experimentell und enthielt zuvor sogar kryptische Begriffe wie „s6 dev gru“ und „b0rn 2 l33t“. Trotz solcher Details wurde die Plattform öffentlich gezeigt, was auf eine gewisse Absicht hinweisen könnte. Die Entscheidung, eine MP3-Datei statt eines PDFs bereitzustellen, sowie die fragwürdige Audioqualität, könnten darauf hindeuten, dass das Einwählen per Telefon Absicht war, um die Kommunikation mitschneiden zu lassen.

Es ist wichtig anzumerken, dass die Veröffentlichung auf einer unter bundeswehr.de gehosteten Plattform erfolgte, was darauf hinweist, dass die Bundeswehr Handlungsfähigkeit demonstrieren wollte und sicherstellen wollte, dass die Informationen als authentisch gelten. Trotzdem wirft der gesamte Vorfall Fragen zur Sicherheit und Handhabung von sensiblen Informationen auf.

Im Zusammenhang mit der Sicherheit von Nextcloud gilt es zu beachten, dass die Plattform, wie alle anderen Cloud-Umgebungen, nicht fehlerfrei ist. Es erfordert kontinuierliche Patching und Überwachung, um die Sicherheit zu gewährleisten. Die Entscheidung, eine Nextcloud-Instanz mit dem Internet zu teilen, ist grundsätzlich bedenklich, da dies eine erhebliche Angriffsfläche bietet.

In einem anderen Blog-Beitrag vom 5. März 2024 wird über einen Brandanschlag gegen ein Tesla-Werk und einen damit verbundenen Stromausfall in Erkner berichtet. Interessanterweise wird erwähnt, dass die Russen die abgehörten Informationen nur aufgrund einer telefonischen Einwahl erhalten haben sollen. Kritik wird an der scheinbaren Verzögerung in der Aufklärung geübt, und es wird bemängelt, dass keine weiteren Details oder Sicherheitscodes bereitgestellt wurden.

Die Berichterstattung schließt mit einem Hinweis auf eine einstimmige Entscheidung des US Supreme Court, wonach einzelne Bundesländer Trump nicht vom Wahlzettel nehmen dürfen, selbst nach seinem Versuch eines Staatsstreichs.

Es bleibt abzuwarten, wie die Bundesregierung auf die Sicherheitsbedenken und die Kritik reagieren wird, während die Debatte über die Sicherheit von Kommunikationssystemen und Plattformen für offizielle Statements weitergeht.