Auch für die Armeespitze war überraschend, was ein ehemaliger Rekrut auf der E-Learning-Plattform LMS alles finden konnte: die Handynummer des Armeechefs, persönliche E-Mail-Adressen einiger Bundesräte, Namen und Kontaktangaben von Mitarbeitern des Nachrichtendienstes oder des Bundesamts für Polizei. Auf über 400'000 Datensätze konnte er zugreifen – mit ein paar wenigen Kniffen.
Die Funktion war sogar über den Gast-Account für jedermann zugänglich – wenn man die richtige Webadresse kannte. Seine Entdeckung meldete der ausgeschiedene Soldat Ende Februar der Armee. Als das Leck bekannt wurde, sei die Nervosität in der Verwaltung gross gewesen, sagte Armeesprecher Daniel Reist damals «20 Minuten». Nach der Meldung der Sicherheitslücke sei diese innert Stunden geschlossen worden. «Wir haben das sehr ernst genommen und entsprechend reagiert.»
«Schwachstellen sind nie komplett ausgeschlossen»
Nun aber will das Verteidigungsdepartement (VBS) die regelmässig auftretenden Sicherheitslücken endlich stopfen. Dazu ist ein siebenköpfiges Forscherteam gebildet worden. Es soll die Cyber-Abwehr verstärken sowie unbekannte Schwachstellen und damit mögliche Angriffspunkte in den Informatiksystemen des Departements aufspüren. Und das möglichst bevor es Hacker tun können.
«Selbst bei hochsicheren Systemen können Schwachstellen nie komplett ausgeschlossen werden», erklärt das zuständige Bundesamt für Rüstung Armasuisse. «Deshalb ist das systematische Aufspüren und schnelle Beheben der entdeckten Schwachstellen ein wichtiger Bestandteil der Cyber-Abwehr.»
Werden Schwachstellen gefunden, informiert das neue Team des Cyber-Defence-Campus die betroffenen Stellen sowie das Nationale Zentrum für Cyber-Sicherheit NCSC. Gleichzeitig würden die Hersteller und Betreiber bei der Verbesserung ihrer Software unterstützt.
«Neu sucht dieses Team proaktiv nach Sicherheitslücken», sagt Armasuisse-Sprecher Kaj-Gunnar Sievert gegenüber BLICK. Bisher sei das nur auf direkten Auftrag etwa bei Systemabnahmen geschehen. Die neue Arbeitsweise «erhöht deutlich die Chance, dass Sicherheitslücken wie bei LMS in der Zukunft schneller gefunden und behoben werden».
Jede Lücke bietet ein Ziel für Cyber-Angriffe
Die Sicherheitslücke vom Februar ist kein Einzelfall. Bereits im Januar machte ein Zug der Cyber-Rekrutenschule auf Probleme mit der LMS-Plattform aufmerksam. Die Server, die vom staatseigenen Rüstungskonzern Ruag betrieben werden, waren falsch konfiguriert. Wie lange die Lücke offen stand, ist auch dort unklar.
Das ist nicht auf die leichte Schulter zu nehmen. Informationen wie Handynummern oder persönliche E-Mail-Adressen lassen sich für Angriffe nutzen. Etwa für gezielte Phishing-Attacken, bei denen die Empfänger mit einer glaubwürdigen Nachricht zum Installieren einer Schadsoftware bewegt werden.
Sogar die Ruagwurde schon erfolgreich angegriffen. Wie 2016 bekannt wurde, hatten russische Hacker damals geheime Daten von Militärangehörigen gestohlen.
Armee spielte Probleme herunter
Gegen aussen hin hatte die Armee die Probleme zuletzt eher heruntergespielt. Sie argumentierte, dass die auf der LMS-Plattform entdeckten Daten nicht geheim seien – und teilweise auch im Internet auffindbar seien.
Das aber trifft nur auf einen Teil der Daten zu. Das Missbrauchspotenzial bleibt riesig. So wird heute etwa die AHV-Nummer in vielen Bereichen der Verwaltung zur Identifikation eingesetzt, was auch aus datenschützerischer Sicht Probleme birgt. (dba)