![](\"https:\/\/cache.pressmailing.net\/thumbnail\/story_big\/bba43bdd-433c-4eea-b2f8-abf9e6e9d743\/Layout_rechner_v2.jpg\" "\\"Symbolbild")
<\/p>\n<\/p>\n
Bonn (ots) – Die Bundeswehr betritt am 22. Oktober 2020 Neuland im Hinblick auf ihre IT-Sicherheit. Interessierte IT-Sicherheitsforschende sind dazu aufgerufen, bisher unentdeckte Sicherheitsl\u00fccken durch „gutgesinnte Hackerangriffe“ gem\u00e4\u00df der ab sofort geltenden Regeln aufzudecken und der Bundeswehr mitzuteilen. Generalmajor J\u00fcrgen Setzer, Chief Information Security Officer der Bundeswehr (CISOBw), stellt im Interview die neue Policy vor. Diese schafft die rechtlichen Rahmenbedingungen, um auf Schwachstellen in eigenen Netzwerken und auf Servern aktiv hinzuweisen. „Im Fokus steht die Sicherheit des eigenen IT-Systems der Bundeswehr, um es den b\u00f6swilligen Hackern schwerer zu machen in unser Netzwerk einzudringen oder andere Sch\u00e4den anzurichten“, erkl\u00e4rt General Setzer im Interview. Herr General, seit heute verf\u00fcgt die Bundeswehr \u00fcber eine eigene Vulnerability Disclosure Policy der Bundeswehr (VDPBw). Was kann man sich darunter vorstellen? Die Vulnerability Disclosure Policy dient dazu rechtliche Rahmenbedingungen zu schaffen, damit externe Dritte ihre Kenntnisse \u00fcber Schwachstellen in \u00f6ffentlichen Bundeswehr-Webauftritten und Netz\u00fcberg\u00e4ngen sicher mit uns teilen k\u00f6nnen. Warum ist gerade f\u00fcr die Bundeswehr eine solche Policy wichtig? Die Bundeswehr legt gr\u00f6\u00dften Wert auf die Sicherheit ihrer IT-Systeme. Trotz sorgf\u00e4ltiger Implementierung, Konfiguration und Tests k\u00f6nnen dennoch Schwachstellen vorhanden sein. Die Anwendung der Vulnerability Disclosure Policy der Bundeswehr kann als Erg\u00e4nzung zu eigenen Untersuchungen Informationen zu unbekannten Schwachstellen und Sicherheitsl\u00fccken in unseren Systemen liefern. Sie ist damit die Voraussetzung, diese Schwachstellen und L\u00fccken zu schlie\u00dfen und so das Risiko eines erfolgreichen Angriffs gegen unsere IT zu vermindern. An wen richtet sich die VDPBw? Die VDPBw richtet sich an alle IT-Sicherheitsforscherinnen und -forscher, also die gutgesinnten Hacker, die uns als Bundeswehr eine in unseren Systemen entdeckte Schwachstelle mitteilen m\u00f6chten. Einfach gesagt, fordern Sie nun Hacker aktiv auf in die Netze der Bundeswehr einzudringen. Besteht da nicht f\u00fcr die Cyber-Sicherheit der Bundeswehr eine gro\u00dfe Gefahr? Keineswegs. Wir fordern die IT-Sicherheitsforschenden auf, sich an unsere unter http:\/\/www.bundeswehr.de\/de\/security-policy ver\u00f6ffentlichten Regeln zu halten. Dazu geh\u00f6rt zum Beispiel, dass die Schwachstelle oder das Problem nicht ausgenutzt, Informationen \u00fcber die Schwachstelle auch nicht an dritte Personen oder Institutionen, ohne die Zustimmung der Bundeswehr, weitergegeben werden d\u00fcrfen. Erkennen wir kriminelle oder nachrichtendienstliche Absichten, oder werden dabei aktive Angriffe auf unsere IT-Systeme, die Infrastruktur und Personen in der Bundeswehr bemerkt, werden wir uns nat\u00fcrlich weiterhin vorbehalten die Strafverfolgungsbeh\u00f6rden zu informieren. Immer wieder wird betont, dass Cyber-Sicherheit nur gesamtstaatlich gew\u00e4hrleistet werden kann. Gibt es denn bereits andere Organisationen, die eine solche Policy nutzen, um Schwachstellen in ihrem IT-System zu identifizieren? Der Gesch\u00e4ftsbereich BMVg sowie die Bundeswehr sind im deutschen Beh\u00f6rdenumfeld Vorreiter einer solchen Policy. Bei vielen Wirtschaftsunternehmen in Deutschland (wie zum Beispiel der Deutschen Telekom) hat sich bereits die M\u00f6glichkeit der Schwachstellenmeldung als Mehrwert etabliert. Nat\u00fcrlich sind daher auch im Beh\u00f6rdenumfeld solche Meldestellen erstrebenswert, denn oft bleiben die Sicherheitsl\u00fccken unbemerkt und werden dann erfolgreich bei Cyber-Angriffen ausgenutzt. Gefundene Schwachstellen in IT-Systemen werden in der freien Wirtschaft teuer bezahlt. Warum sollen nun gerade Cyber-Spezialistinnen und -Spezialisten Ihnen – ohne finanziellen Ausgleich – helfen das IT-System der Bundeswehr sicherer zu machen? Wir kaufen keine Schwachstellen an. Im Fokus steht die Sicherheit des eigenen IT-Systems der Bundeswehr, um es den b\u00f6swilligen Hackern schwerer zu machen in unser Netzwerk einzudringen oder andere Sch\u00e4den anzurichten. Wir setzen auf das Wissen und die Hilfe der Cybercommunity f\u00fcr eine erfolgreiche Cyber Defense in Deutschland und Europa. Zudem nutzen wir meist weit verbreitete kommerzielle Hard- und Software von Herstellern und k\u00f6nnen als staatliche Institution gegebenenfalls mehr Druck zur Verbesserung von fehlerhafter Software \u00fcber das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) auf Hersteller aus\u00fcben als dass vielleicht der einzelne Finder oder die einzelne Finderin machen k\u00f6nnte. Wir wissen, die meisten Experten sind auf der Seite der „Guten“ und so erwarten wir hier eher die Motivation, auch etwas Gutes im Sinne des Gemeinwohls zu leisten. Es steht der gemeinsame Sicherheitsgedanke des Internets im Vordergrund. Daf\u00fcr haben wir Respekt und zeigen dies auch \u00f6ffentlich. Denn wenn Sicherheitsforschende uns eine Schwachstelle melden, erkennen wir diese Leistung mit der Namensnennung des Entdeckers auf unserer Dankesseite an. Wer kann schon von sich \u00f6ffentlich behaupten, dass mit seiner Hilfe eine Schwachstelle bei der Bundeswehr gefunden und das Internet wieder ein wenig sicherer gemacht wurde? Als CISOBw sind Sie f\u00fcr die Regelung und \u00dcberwachung der Informationssicherheit in der gesamten Bundeswehr verantwortlich. Welche weiteren Tools und M\u00f6glichkeiten haben Sie in der Bundeswehr zur Verf\u00fcgung, um Ihre eigenen Netze zu sch\u00fctzen und sicherer zu machen? Die Bundeswehr verf\u00fcgt bereits \u00fcber mehrstufige technische Absicherungsma\u00dfnahmen. Hierzu z\u00e4hlt unter anderem nicht nur die Firewall-, Filter- und Sensortechnologie, sondern auch der Schutz der Endpunkte, an dem unsere Mitarbeiterinnen und Mitarbeiter tagt\u00e4glich ihre Arbeit verrichten. Dort k\u00f6nnen selbstverst\u00e4ndlich auch menschliche Fehler oder Unachtsamkeiten auftreten. Dem entgegnen wir mit Ausbildung und Awareness. Zur \u00dcberpr\u00fcfung der Wirksamkeit der technischen und organisatorischen Ma\u00dfnahmen setzen wir Sicherheitsinspektionen und Auditings, Schwachstellenanalysen, Penetration Testing und Red Teaming ein. Pressekontakt: Kommando Cyber- und Informationsraum Presse- und Informationszentrum Johanna-Kinkel-Stra\u00dfe 2-4 53175 Bonn Tel.: 0228-53683-3333 Email: mailto:kdocirpizcir@bundeswehr.org Weiteres Material: http:\/\/presseportal.de\/pm\/129406\/4741260 OTS: Presse- und Informationszentrum Cyber- und Informationsraum ( CIR) Original-Content von: Presse- und Informationszentrum Cyber- und Informationsraum (CIR), \u00fcbermittelt durch news aktuell<\/p>\n