Die "Schatten-Informatik" wird für die Armee zum Problem
Ein Bericht des Verteidigungsdepartements zeigt Lücken in den Informatiksystemen der Schweizer Armee auf. Die Prüfer berichteten von WLAN-Zugangspunkten, deren Ursprung nicht genau bekannt ist und von Schatten-Informatik.
Wie sicher sind die Informatiksysteme der Schweizer Armee? Ein Bericht der internen Revision des Verteidigungsdepartements (VBS) offenbart Lücken, die es ermöglichen könnten, in das Netz des Militärs einzudringen oder Daten von Soldaten abzuschöpfen. Teils haben die Lücken schier irrwitzige Züge.
Aufhorchen lässt besonders, was die Prüfer auf dem Waffenplatz Bure im Jura vorfanden. Bei ihrem Besuch im Frühjahr bemerkten sie, "dass verschiedene WLAN-Zugangspunkte bestehen, deren Ursprung vor Ort nicht genau bekannt ist". Ebenso wenig konnten die Revisoren in Erfahrung bringen, an welche Netzwerke die Geräte angeschlossen sind.
Im Klartext: An einem der zentralen Standorte der Schweizer Armee gibt es Verbindungen ins Internet, von denen die Verantwortlichen nicht wissen, woher sie kommen. Das berge Risiken, warnen die VBS-Prüfer. Schlimmstenfalls könnten Hacker darüber in Netzwerke der Armee eindringen.
Höheres Sicherheitsrisiko
Der Prüfbericht der Revisoren lässt keine Zweifel daran, worum es geht: "Schatten-Informatik", lautet dessen Titel. Die Experten fahndeten nach Software und Hardware, die Mitarbeiter und Angehörige der Armee auf eigene Faust einsetzen.
"Schatten-Informatik", das bedeutet konkret: Es werden Netzwerkkabel gelegt, Router installiert oder Programme ausserhalb der offiziellen Systeme benutzt, obwohl Regelwerke genau das eigentlich verbieten. Was in vielen Fällen pragmatisch erscheinen mag, schafft heikle Lücken und erleichtert es Hackern, in eine Infrastruktur einzudringen. Der Albtraum eines jeden Sicherheitsverantwortlichen.
Bundesrat Parmelin beauftragte die Revisoren mit einer allgemeinen Risikoeinschätzung in seinem Departement. Insgesamt offenbare ihre Prüfung im VBS ein "gutes Gesamtbild", halten sie nach getaner Arbeit fest. Schlecht weg kommt jedoch ausgerechnet die Armee.
Bei der Gruppe Verteidigung bestehe Handlungsbedarf, heisst es. Besonders problematisch: Die von den Prüfern identifizierte "Schatten-Informatik" werde "allesamt für militärische Zwecke eingesetzt".
Urlaubsgesuche gehen fremd
Im Fall des Waffenplatzes Bure ist die Situation verworren. Man habe schlicht nicht klären können, wo die WLAN-Geräte genau stehen und wie sie vernetzt seien, konstatieren die Prüfer. Zumindest bei einem Gerät liege die Vermutung nahe, dass ein Armeeangehöriger es selbst installiert und nach Dienstende nicht deaktiviert habe. Die VBS-Revisoren sehen solche eigenhändige Installationen kritisch. Zumindest saubere Inventarlisten seien unabdingbar.
Die Visite in Bure war eine Stichprobe. Wie sich die Lage an anderen Standorten der Armee präsentiert, ist offen. Genauer angeschaut haben sich die Prüfer auch die Schnittstellen zwischen dem VBS und der Miliz-Armee – ihr Befund ist wenig schmeichelhaft. Oft werde Hardware oder Software privater Natur verwendet, "um dienstliche Aufgaben effizienter erledigen zu können". Drei Beispiele:
In der Führungsunterstützungsbrigade 41, der grössten ihrer Art, haben Armeeangehörige selber einen Mailserver installiert, um untereinander zu kommunizieren. Der Server wird mit Geldern der Armee finanziert, betrieben allerdings von einer externen Firma. Die Prüfer bemängeln das, weil der Server ganz klar einen militärischen Zweck habe.
Für Argwohn sorgen private Websites mit militärischem Nutzen, namentlich das Portal "urlaubsgesuch.ch". Dieses privat betriebene, kostenpflichtige Angebot nennt sich "Schweizer Plattform für online Urlaubsgesuche im Militär". Soldaten können ihre Gesuche darüber einreichen, inklusive Beilagen wie Briefe des Arbeitgebers, Vorladungen oder Buchungsbestätigungen. Vor allem aber bietet das Portal den Führungspersonen die Möglichkeit, die Gesuche zu bewirtschaften und Statistiken darüber zu führen. Die Website stösst bei Kadern auf Anklang. Sie reduziere den Arbeitsaufwand signifikant, lässt sich ein Kommandant zitieren. Bedenklich dabei: Sensible Personendaten verlassen die Armee und landen auf auswärtigen Servern.
In welchem Zustand befindet sich ein Militärfahrzeug? Solche Informationen der Bewirtschaftung sind wichtig und sollten nicht in fremde Hände gelangen. Die Software zur Instandhaltungslage aller betreuten Fahrzeuge auf dem Waffenplatz Bure ist eine Eigenentwicklung eines Armeeangehörigen. Das Tool wird jeweils einfach von Zugführer zu Zugführer weitergegeben – auf einem USB-Stick.
Das Problem der Miliz
Die "Schatten-Informatik" bei der Miliz ist aus Sicht der internen Revision gleich doppelt fragwürdig. Einerseits, weil "sensitive Daten allenfalls ungenügend geschützt sind und daher in falsche Hände geraten könnten". Anderseits führten von privater Seite entwickelte Programme bisweilen zu "ungewollten Abhängigkeiten".
Die Gruppe Verteidigung nimmt die Befunde zur Kenntnis – und zeigt sich damit sogar "mehrheitlich einverstanden", wie sie in einer Stellungnahme zuhanden der VBS-Revisoren betont. Die WLAN-Zugangspunkte etwa seien überprüft und aktualisiert worden. "Kritisch und verboten" seien bei der Miliz allerdings nur diejenigen Geräte, die mit VBS-Infrastruktur verbunden sind.
Ohnehin dürfe man hinsichtlich "Schatten-Informatik" nicht vergessen: Die Armee stelle Informatikmittel nur für die eigentliche Ausbildung zur Verfügung. Insbesondere die Vorbereitungsarbeiten der Miliz-Kader könnten in diesem Rahmen "nicht abgedeckt werden", heisst es. "Es ist deshalb für die Miliz unumgänglich, private Mittel einzusetzen."
Mit technischen und organisatorischen Massnahmen könne man die Risiken aber minimieren, sodass die Sicherheit nicht beeinträchtigt werde. Was damit konkret gemeint ist, bleibt unklar. Auf Anfrage wollte sich ein Armee-Sprecher nicht über die offizielle Stellungnahme hinaus äussern.
Speicherdienste: der Kampf gegen den Wildwuchs
Davon kann wohl jeder Informatiker ein Lied singen: Die Sicherheitsmassnahmen in einer Organisation können noch so gut sein – Schwachpunkt bleibt der Mensch.
Brenzlig wird es, wenn Mitarbeiter auf eigene Faust neue Software installieren. Die Informatikabteilung hat dann keinen Einfluss mehr, und Hackern öffnet sich ein potenzielles Einfallstor. "Schatten-Informatik" werde "mehrheitlich aus unbefriedigten Bedürfnissen" verwendet, schreibt die interne Revision des Verteidigungsdepartements (VBS) zu diesem Thema.
Will heissen: Die offiziellen Informatikangebote sind aus Mitarbeitersicht offenbar ungenügend. Der rasche technologische Fortschritt befördert den Wildwuchs.
Besonders heikel ist, wenn Online-Speicherdienste wie Dropbox oder Google Drive für berufliche Aufgaben genutzt werden. Diese sind schnell und kostengünstig, Daten können von mehreren Geräten aus gleichzeitig bearbeitet werden. Im VBS ist es gemäss internen Richtlinien zwar grundsätzlich verboten, solche Speicherdienste dienstlich zu verwenden.
Regeln allein genügten aber nicht, mahnen die Revisoren. Das VBS müsse die sogenannten Sperrlisten regelmässig aktualisieren und so die Nutzung von Speicherdiensten technisch blockieren.
Partner
Update: Softwareone-Aktionäre wechseln fast alle Verwaltungsräte aus
Swisscom ärgert Stammkundschaft mit automatischem Abo-Wechsel
Eiskunstlaufendes Hühnchen hebt ab
Securepoint geht auf Roadshow und macht Halt in Pfäffikon
Competec sucht CIO
Projektionswände, LEDs und Cloud: Das war der Secomp Partner Day
Wenn der Zufall Betrügern in die Hände spielt
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
Cyberkonferenz an der EPFL lädt zum Capture-the-Flag-Turnier
