Schweiz
Armee

«Schatten-Informatik»: Inspektoren rügen Armee für fragwürdige Praktiken

Husch ein Wlan installiert: Die «Schatten-Informatik» wird für die Armee zum Problem

Ein Bericht offenbart fragwürdige Praktiken im Herzen der Armee.
09.11.2018, 07:5609.11.2018, 08:23
Sven Altermatt / ch media
Mehr «Schweiz»

Wie sicher sind die Informatiksysteme der Schweizer Armee? Ein Bericht der internen Revision des Verteidigungsdepartements (VBS) offenbart Lücken, die es ermöglichen könnten, in das Netz des Militärs einzudringen oder Daten von Soldaten abzuschöpfen. Teils haben die Lücken schier irrwitzige Züge.

Ein Soldat bedient einen Computer anlaesslich des ersten Cyber-Lehrgang, am Freitag, 21. September 2018, in der Kaserne Jassbach bei Thun. Die Armee schuetzt jederzeit – im Alltag wie in der Krise – i ...
Im Visier der VBS-Revisoren: Software und Hardware, die Mitarbeiter und Angehörige der Armee auf eigene Faust einsetzen.Bild: KEYSTONE

Aufhorchen lässt besonders, was die Prüfer auf dem Waffenplatz Bure im Jura vorfanden. Bei ihrem Besuch im Frühjahr bemerkten sie, «dass verschiedene WLAN-Zugangspunkte bestehen, deren Ursprung vor Ort nicht genau bekannt ist». Ebenso wenig konnten die Revisoren in Erfahrung bringen, an welche Netzwerke die Geräte angeschlossen sind.

Im Klartext: An einem der zentralen Standorte der Schweizer Armee gibt es Verbindungen ins Internet, von denen die Verantwortlichen nicht wissen, woher sie kommen. Das berge Risiken, warnen die VBS-Prüfer. Schlimmstenfalls könnten Hacker darüber in Netzwerke der Armee eindringen.

Höheres Sicherheitsrisiko

Der Prüfbericht der Revisoren lässt keine Zweifel daran, worum es geht: «Schatten-Informatik», lautet dessen Titel. Die Experten fahndeten nach Software und Hardware, die Mitarbeiter und Angehörige der Armee auf eigene Faust einsetzen.

«Schatten-Informatik», das bedeutet konkret: Es werden Netzwerkkabel gelegt, Router installiert oder Programme ausserhalb der offiziellen Systeme benutzt, obwohl Regelwerke genau das eigentlich verbieten. Was in vielen Fällen pragmatisch erscheinen mag, schafft heikle Lücken und erleichtert es Hackern, in eine Infrastruktur einzudringen. Der Albtraum eines jeden Sicherheitsverantwortlichen.

Bundesrat Parmelin beauftragte die Revisoren mit einer allgemeinen Risikoeinschätzung in seinem Departement. Insgesamt offenbare ihre Prüfung im VBS ein «gutes Gesamtbild», halten sie nach getaner Arbeit fest. Schlecht weg kommt jedoch ausgerechnet die Armee.

Bei der Gruppe Verteidigung bestehe Handlungsbedarf, heisst es. Besonders problematisch: Die von den Prüfern identifizierte «Schatten-Informatik» werde «allesamt für militärische Zwecke eingesetzt».

Urlaubsgesuche gehen fremd

Im Fall des Waffenplatzes Bure ist die Situation verworren. Man habe schlicht nicht klären können, wo die WLAN-Geräte genau stehen und wie sie vernetzt seien, konstatieren die Prüfer. Zumindest bei einem Gerät liege die Vermutung nahe, dass ein Armeeangehöriger es selbst installiert und nach Dienstende nicht deaktiviert habe. Die VBS-Revisoren sehen solche eigenhändige Installationen kritisch. Zumindest saubere Inventarlisten seien unabdingbar.

ARCHIV -- ZUM TAGESGESCHAEFT DER HERBSTSESSION AM MITTWOCH, 26. SEPTEMBER 2018, STELLEN WIR IHNEN FOLGENDES THEMENBILD ZUR VERFUEGUNG -- Des visiteurs regardent une demonstration d'un char de l&# ...
Ein Panzer auf dem Waffenplatz in Bure.Bild: KEYSTONE

Die Visite in Bure war eine Stichprobe. Wie sich die Lage an anderen Standorten der Armee präsentiert, ist offen. Genauer angeschaut haben sich die Prüfer auch die Schnittstellen zwischen dem VBS und der Miliz-Armee – ihr Befund ist wenig schmeichelhaft. Oft werde Hardware oder Software privater Natur verwendet, «um dienstliche Aufgaben effizienter erledigen zu können». Drei Beispiele:

  • In der Führungsunterstützungsbrigade 41, der grössten ihrer Art, haben Armeeangehörige selber einen Mailserver installiert, um untereinander zu kommunizieren. Der Server wird mit Geldern der Armee finanziert, betrieben allerdings von einer externen Firma. Die Prüfer bemängeln das, weil der Server ganz klar einen militärischen Zweck habe.
  • Für Argwohn sorgen private Websites mit militärischem Nutzen, namentlich das Portal «urlaubsgesuch.ch». Dieses privat betriebene, kostenpflichtige Angebot nennt sich «Schweizer Plattform für online Urlaubsgesuche im Militär». Soldaten können ihre Gesuche darüber einreichen, inklusive Beilagen wie Briefe des Arbeitgebers, Vorladungen oder Buchungsbestätigungen. Vor allem aber bietet das Portal den Führungspersonen die Möglichkeit, die Gesuche zu bewirtschaften und Statistiken darüber zu führen. Die Website stösst bei Kadern auf Anklang. Sie reduziere den Arbeitsaufwand signifikant, lässt sich ein Kommandant zitieren. Bedenklich dabei: Sensible Personendaten verlassen die Armee und landen auf auswärtigen Servern.
  • In welchem Zustand befindet sich ein Militärfahrzeug? Solche Informationen der Bewirtschaftung sind wichtig und sollten nicht in fremde Hände gelangen. Die Software zur Instandhaltungslage aller betreuten Fahrzeuge auf dem Waffenplatz Bure ist eine Eigenentwicklung eines Armeeangehörigen. Das Tool wird jeweils einfach von Zugführer zu Zugführer weitergegeben – auf einem USB-Stick.

Das Problem der Miliz

Die «Schatten-Informatik» bei der Miliz ist aus Sicht der internen Revision gleich doppelt fragwürdig. Einerseits, weil «sensitive Daten allenfalls ungenügend geschützt sind und daher in falsche Hände geraten könnten». Anderseits führten von privater Seite entwickelte Programme bisweilen zu «ungewollten Abhängigkeiten».

Die Gruppe Verteidigung nimmt die Befunde zur Kenntnis – und zeigt sich damit sogar «mehrheitlich einverstanden», wie sie in einer Stellungnahme zuhanden der VBS-Revisoren betont. Die WLAN-Zugangspunkte etwa seien überprüft und aktualisiert worden. «Kritisch und verboten» seien bei der Miliz allerdings nur diejenigen Geräte, die mit VBS-Infrastruktur verbunden sind.

Ein Soldat bedient einen Computer anlaesslich des ersten Cyber-Lehrgang, am Freitag, 21. September 2018, in der Kaserne Jassbach bei Thun. Die Armee schuetzt jederzeit – im Alltag wie in der Krise – i ...
Im September 2018 fand der erste Cyber-Lehrgang der Armee statt.Bild: KEYSTONE

Ohnehin dürfe man hinsichtlich «Schatten-Informatik» nicht vergessen: Die Armee stelle Informatikmittel nur für die eigentliche Ausbildung zur Verfügung. Insbesondere die Vorbereitungsarbeiten der Miliz-Kader könnten in diesem Rahmen «nicht abgedeckt werden», heisst es. «Es ist deshalb für die Miliz unumgänglich, private Mittel einzusetzen.»

Mit technischen und organisatorischen Massnahmen könne man die Risiken aber minimieren, sodass die Sicherheit nicht beeinträchtigt werde. Was damit konkret gemeint ist, bleibt unklar. Auf Anfrage wollte sich ein Armee-Sprecher nicht über die offizielle Stellungnahme hinaus äussern.

Speicherdienste: der Kampf gegen den Wildwuchs

Davon kann wohl jeder Informatiker ein Lied singen: Die Sicherheitsmassnahmen in einer Organisation können noch so gut sein – Schwachpunkt bleibt der Mensch.

Brenzlig wird es, wenn Mitarbeiter auf eigene Faust neue Software installieren. Die Informatikabteilung hat dann keinen Einfluss mehr, und Hackern öffnet sich ein potenzielles Einfallstor. «Schatten-Informatik» werde «mehrheitlich aus unbefriedigten Bedürfnissen» verwendet, schreibt die interne Revision des Verteidigungsdepartements (VBS) zu diesem Thema.

Will heissen: Die offiziellen Informatikangebote sind aus Mitarbeitersicht offenbar ungenügend. Der rasche technologische Fortschritt befördert den Wildwuchs.

Besonders heikel ist, wenn Online-Speicherdienste wie Dropbox oder Google Drive für berufliche Aufgaben genutzt werden. Diese sind schnell und kostengünstig, Daten können von mehreren Geräten aus gleichzeitig bearbeitet werden. Im VBS ist es gemäss internen Richtlinien zwar grundsätzlich verboten, solche Speicherdienste dienstlich zu verwenden.

Regeln allein genügten aber nicht, mahnen die Revisoren. Das VBS müsse die sogenannten Sperrlisten regelmässig aktualisieren und so die Nutzung von Speicherdiensten technisch blockieren. (aargauerzeitung.ch)

Hier fliegt ein historischer Panzer von einem LKW

Video: nico franzoni
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
51 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Fritzeli
09.11.2018 08:16registriert März 2016
Vielleicht wäre hier einmal angebracht etwas Budget in die Informatik zu stecken anstatt sinnlos Munition in einen Berg zu schiessen.
42428
Melden
Zum Kommentar
avatar
kuhrix
09.11.2018 08:32registriert Juni 2014
Durch die Kader wurde immer wiederholt wie dringend die Armee Informatiker braucht und wichtig die Cyber-Defense geworden ist. Ein konkretes Angebot oder etwas konnte ich aber noch nirgends finden. Das ganze kostet halt Geld, verdammt viel Geld. Eine "Cyber"-RS reicht da bei weitem nicht. Die teuersten Kampfjets bringen nichts, wenn alle IT-Systeme löchrig wie Schweizer Käse sind.
2953
Melden
Zum Kommentar
avatar
Madison Pierce
09.11.2018 08:15registriert September 2015
Nicht gut, aber war leider zu erwarten. Solche Konstrukte findet man bei ziemlich jeder grösseren Firma.

Einmal hat eine Abteilung einen ungenutzten Telefonanschluss genutzt, um auf eigene Kosten einen DSL-Anschluss aufschalten zu lassen. So konnte man surfen ohne lästige Firewall.

Da dank Hotspot heute jeder einen eigenen Internetzugang einrichten kann, werden solche Sachen immer schwieriger kontrollierbar.
1262
Melden
Zum Kommentar
51
Deutsche Finanzämter dürfen Schweizer Bankkonten abfragen

Schweizer Banken können Informationen zu Konten und Depots deutscher Kunden an die deutschen Finanzämter übermitteln. Das verletze kein Grundrecht und sei zur Bekämpfung von Steuerhinterziehung gerechtfertigt, entschied der deutsche Bundesfinanzhof in einem am Donnerstag veröffentlichten Urteil.

Zur Story