Wenn Transparenz zur Schwachstelle wird: Bundeswehr-Ausschreibungen und die Gefährdung der Informationssicherheit

Vor wenigen Monaten sorgte ein ungewöhnlicher Vorfall in Erfurt für Schlagzeilen: Militär-Lkw der Bundeswehr standen in Flammen. Im Internet, vor allem auf russischsprachigen Telegram-Kanälen, verbreiteten sich Videos der brennenden Fahrzeuge rasant und erreichten über eine Million Nutzer. Dabei entstand eine Welle von Desinformationen, die den Vorfall nicht nur darstellten, sondern auch aktiv interpretierten: Die Geräte seien ursprünglich für die Ukraine bestimmt gewesen und später „absichtlich verbrannt“ worden.

Solche Narrative sind darauf ausgelegt, mehrere Effekte zu erzielen: Einerseits sollen sie das Vertrauen in die Verteidigungsfähigkeit Deutschlands schwächen, andererseits sollen sie Misstrauen gegenüber staatlichen Institutionen säen und Verwirrung über die tatsächlichen Abläufe stiften. Der Brand von Erfurt ist ein exemplarisches Beispiel dafür, wie physische Ereignisse in Deutschland von russischen Informationsoperationen aufgegriffen und im Kontext der hybriden Kriegsführung genutzt werden.

Angriffspunkte innerhalb der Bundeswehr

Der Vorfall in Erfurt ist keineswegs ein Einzelfall, sondern reiht sich in eine systematische Praxis hybrider Angriffe ein, bei der physische Zwischenfälle, Cyberattacken und Spionageaktivitäten ineinandergreifen. Besonders brisant ist, dass die Bundeswehr dabei selbst unbeabsichtigt Angriffsflächen bietet.

Eine Artikel der ZEIT hat gezeigt, dass die digitale Infrastruktur der Bundeswehr deutlich durchlässiger ist, als es sich eine Armee mit globalen Einsatzverpflichtungen leisten kann. Die IT-Sicherheitsexpertin Flora Schäfer entdeckte unter anderem ein nur schwach gesichertes Administrationssystem des Truppenradios „Radio Andernach” sowie offene Cloudspeicher mit Konfigurationsdateien für das Satelliteninternet, das ein zentrales Element für die Kommunikationsfähigkeit von SoldatInnen im Auslandseinsatz darstellt.

Besonders heikel war der Fund eines Luftbilds, das die Netzwerkverbindungen einer Einsatzbasis zeigte: ein direkter „interessanter Ansatzpunkt“ für gegnerische Geheimdienste, wie Schäfer betonte. Hinzu kamen falsch konfigurierte Server von Dienstleistern, über die interne Daten abflossen, sowie Zugangsdaten für das Kommunikationssystem „Connect-D“, mit dem SoldatInnen im Ausland private Verbindungen nach Hause herstellen können. Einige dieser Passwörter tauchten sogar in Leaks von Cyberkriminellen auf und waren noch Monate nach der Meldung an die Bundeswehr gültig.

Bundeswehr-Ausschreibung als Sicherheitsrisiko 

Noch gravierender sind die Probleme im Bereich der Beschaffung. Eine gemeinsame Recherche von Süddeutscher Zeitung, NDR und WDR hat ergeben, dass in öffentlichen Ausschreibungen der Bundeswehr sensible Informationen veröffentlicht werden. Aus Sicht von ExpertInnen stellen diese Informationen eine wertvolle Quelle für fremde Nachrichtendienste dar.

Bei der Beschaffung von Ausrüstung, Infrastruktur und Dienstleistungen ist die Bundeswehr rechtlich verpflichtet, das Vergaberecht einzuhalten. Zuständig ist das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw). Was eigentlich Transparenz und Rechtssicherheit gewährleisten soll, hat sich jedoch in mehreren Fällen als erhebliches Sicherheitsrisiko erwiesen.

Laut der Recherche, waren in den Ausschreibungsunterlagen nicht nur technische Anforderungen enthalten, sondern auch hochsensible Informationen wie Standortkoordinaten von Verlegebahnhöfen im Baltikum, Angaben zu Truppenverlegungen, technische Spezifikationen von Kommunikationssystemen und sogar Satellitenbilder mit markierten Materiallagern. Solche Details mögen für potenzielle AuftragnehmerInnen notwendig erscheinen, für fremde Nachrichtendienste sind sie jedoch eine wertvolle Quelle. Mithilfe dieser Informationen lassen sich Truppenbewegungen nachvollziehen, logistische Abläufe rekonstruieren und potenzielle Schwachstellen aufdecken.

Zudem wurden Unterlagen veröffentlicht, die detailliert über Waffensysteme, militärische Standorte und die Nutzung von Infrastruktur informierten, darunter Zeitpläne für Kasernen und Satellitenbilder mit markierten Liegenschaften. Fachleute wie die Präsidentin des Bundesamtes für den Militärischen Abschirmdienst (BAMAD), Martina Rosenberg, warnen bereits seit Längerem vor einer deutlichen Zunahme russischer Spionage- und Einflussaktivitäten, die heute ähnlich aggressiv betrieben werden wie zu Zeiten des Kalten Kriegs. In diesem Kontext erscheinen unbedacht veröffentlichte Ausschreibungen vielen BeobachterInnen wie eine „gefährliche Einladung“ an fremde Dienste.

Ein besonders eindrückliches Beispiel ist eine Ausschreibung zu Wach- und Sicherheitsdiensten in einer hessischen Kaserne: Neben Dienstzeiten und Ausstattungsdetails der Wachen waren dort auch Informationen zu Alarmanlagen und Telefonnummern verzeichnet. Für gegnerische Akteure können solche Angaben ein entscheidender Baustein bei der Planung möglicher Sabotageakte sein.

Offene Flanken in hybriden Bedrohungsszenarien

Die Ausschreibungen der Bundeswehr ist somit weit mehr als eine rein administrative Aufgabe. Sie bildet einen sicherheitsrelevanten Knotenpunkt, über den nicht nur Material und Dienstleistungen, sondern auch sensible Informationen fließen. Solange dieser Bereich nicht wirksam abgesichert ist, bleibt er eine offene Flanke in einer sicherheitspolitischen Landschaft, die längst von hybriden Bedrohungen geprägt ist.