Schweiz
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Husch ein Wlan installiert: Die «Schatten-Informatik» wird für die Armee zum Problem

Ein Bericht offenbart fragwürdige Praktiken im Herzen der Armee.

Sven Altermatt / ch media



Wie sicher sind die Informatiksysteme der Schweizer Armee? Ein Bericht der internen Revision des Verteidigungsdepartements (VBS) offenbart Lücken, die es ermöglichen könnten, in das Netz des Militärs einzudringen oder Daten von Soldaten abzuschöpfen. Teils haben die Lücken schier irrwitzige Züge.

Ein Soldat bedient einen Computer anlaesslich des ersten Cyber-Lehrgang, am Freitag, 21. September 2018, in der Kaserne Jassbach bei Thun. Die Armee schuetzt jederzeit – im Alltag wie in der Krise – ihre eigenen Informations- und Kommunikationssysteme vor Cyber-Angriffen. Dazu setzt sie Teile der Berufsorganisation der Fuehrungsunterstuetzungsbasis (FUB) ein, welche durch hoch spezialisierte Milizangehoerige der Armee unterstuetzt werden. (KEYSTONE/Peter Schneider)

Im Visier der VBS-Revisoren: Software und Hardware, die Mitarbeiter und Angehörige der Armee auf eigene Faust einsetzen. Bild: KEYSTONE

Aufhorchen lässt besonders, was die Prüfer auf dem Waffenplatz Bure im Jura vorfanden. Bei ihrem Besuch im Frühjahr bemerkten sie, «dass verschiedene WLAN-Zugangspunkte bestehen, deren Ursprung vor Ort nicht genau bekannt ist». Ebenso wenig konnten die Revisoren in Erfahrung bringen, an welche Netzwerke die Geräte angeschlossen sind.

Im Klartext: An einem der zentralen Standorte der Schweizer Armee gibt es Verbindungen ins Internet, von denen die Verantwortlichen nicht wissen, woher sie kommen. Das berge Risiken, warnen die VBS-Prüfer. Schlimmstenfalls könnten Hacker darüber in Netzwerke der Armee eindringen.

Höheres Sicherheitsrisiko

Der Prüfbericht der Revisoren lässt keine Zweifel daran, worum es geht: «Schatten-Informatik», lautet dessen Titel. Die Experten fahndeten nach Software und Hardware, die Mitarbeiter und Angehörige der Armee auf eigene Faust einsetzen.

«Schatten-Informatik», das bedeutet konkret: Es werden Netzwerkkabel gelegt, Router installiert oder Programme ausserhalb der offiziellen Systeme benutzt, obwohl Regelwerke genau das eigentlich verbieten. Was in vielen Fällen pragmatisch erscheinen mag, schafft heikle Lücken und erleichtert es Hackern, in eine Infrastruktur einzudringen. Der Albtraum eines jeden Sicherheitsverantwortlichen.

Bundesrat Parmelin beauftragte die Revisoren mit einer allgemeinen Risikoeinschätzung in seinem Departement. Insgesamt offenbare ihre Prüfung im VBS ein «gutes Gesamtbild», halten sie nach getaner Arbeit fest. Schlecht weg kommt jedoch ausgerechnet die Armee.

Bei der Gruppe Verteidigung bestehe Handlungsbedarf, heisst es. Besonders problematisch: Die von den Prüfern identifizierte «Schatten-Informatik» werde «allesamt für militärische Zwecke eingesetzt».

Urlaubsgesuche gehen fremd

Im Fall des Waffenplatzes Bure ist die Situation verworren. Man habe schlicht nicht klären können, wo die WLAN-Geräte genau stehen und wie sie vernetzt seien, konstatieren die Prüfer. Zumindest bei einem Gerät liege die Vermutung nahe, dass ein Armeeangehöriger es selbst installiert und nach Dienstende nicht deaktiviert habe. Die VBS-Revisoren sehen solche eigenhändige Installationen kritisch. Zumindest saubere Inventarlisten seien unabdingbar.

ARCHIV -- ZUM TAGESGESCHAEFT DER HERBSTSESSION AM MITTWOCH, 26. SEPTEMBER 2018, STELLEN WIR IHNEN FOLGENDES THEMENBILD ZUR VERFUEGUNG -- Des visiteurs regardent une demonstration d'un char de l'armee suisse lors des celebrations des 50 ans de la place d'armes de l'armee suisse ce samedi 16 juin 2018 a Bure dans le Jua. (KEYSTONE/Jean-Christophe Bott)

Ein Panzer auf dem Waffenplatz in Bure. Bild: KEYSTONE

Die Visite in Bure war eine Stichprobe. Wie sich die Lage an anderen Standorten der Armee präsentiert, ist offen. Genauer angeschaut haben sich die Prüfer auch die Schnittstellen zwischen dem VBS und der Miliz-Armee – ihr Befund ist wenig schmeichelhaft. Oft werde Hardware oder Software privater Natur verwendet, «um dienstliche Aufgaben effizienter erledigen zu können». Drei Beispiele:

Das Problem der Miliz

Die «Schatten-Informatik» bei der Miliz ist aus Sicht der internen Revision gleich doppelt fragwürdig. Einerseits, weil «sensitive Daten allenfalls ungenügend geschützt sind und daher in falsche Hände geraten könnten». Anderseits führten von privater Seite entwickelte Programme bisweilen zu «ungewollten Abhängigkeiten».

Die Gruppe Verteidigung nimmt die Befunde zur Kenntnis – und zeigt sich damit sogar «mehrheitlich einverstanden», wie sie in einer Stellungnahme zuhanden der VBS-Revisoren betont. Die WLAN-Zugangspunkte etwa seien überprüft und aktualisiert worden. «Kritisch und verboten» seien bei der Miliz allerdings nur diejenigen Geräte, die mit VBS-Infrastruktur verbunden sind.

Ein Soldat bedient einen Computer anlaesslich des ersten Cyber-Lehrgang, am Freitag, 21. September 2018, in der Kaserne Jassbach bei Thun. Die Armee schuetzt jederzeit – im Alltag wie in der Krise – ihre eigenen Informations- und Kommunikationssysteme vor Cyber-Angriffen. Dazu setzt sie Teile der Berufsorganisation der Fuehrungsunterstuetzungsbasis (FUB) ein, welche durch hoch spezialisierte Milizangehoerige der Armee unterstuetzt werden. (KEYSTONE/Peter Schneider)

Im September 2018 fand der erste Cyber-Lehrgang der Armee statt. Bild: KEYSTONE

Ohnehin dürfe man hinsichtlich «Schatten-Informatik» nicht vergessen: Die Armee stelle Informatikmittel nur für die eigentliche Ausbildung zur Verfügung. Insbesondere die Vorbereitungsarbeiten der Miliz-Kader könnten in diesem Rahmen «nicht abgedeckt werden», heisst es. «Es ist deshalb für die Miliz unumgänglich, private Mittel einzusetzen.»

Mit technischen und organisatorischen Massnahmen könne man die Risiken aber minimieren, sodass die Sicherheit nicht beeinträchtigt werde. Was damit konkret gemeint ist, bleibt unklar. Auf Anfrage wollte sich ein Armee-Sprecher nicht über die offizielle Stellungnahme hinaus äussern.

Speicherdienste: der Kampf gegen den Wildwuchs

Davon kann wohl jeder Informatiker ein Lied singen: Die Sicherheitsmassnahmen in einer Organisation können noch so gut sein – Schwachpunkt bleibt der Mensch.

Brenzlig wird es, wenn Mitarbeiter auf eigene Faust neue Software installieren. Die Informatikabteilung hat dann keinen Einfluss mehr, und Hackern öffnet sich ein potenzielles Einfallstor. «Schatten-Informatik» werde «mehrheitlich aus unbefriedigten Bedürfnissen» verwendet, schreibt die interne Revision des Verteidigungsdepartements (VBS) zu diesem Thema.

Will heissen: Die offiziellen Informatikangebote sind aus Mitarbeitersicht offenbar ungenügend. Der rasche technologische Fortschritt befördert den Wildwuchs.

Besonders heikel ist, wenn Online-Speicherdienste wie Dropbox oder Google Drive für berufliche Aufgaben genutzt werden. Diese sind schnell und kostengünstig, Daten können von mehreren Geräten aus gleichzeitig bearbeitet werden. Im VBS ist es gemäss internen Richtlinien zwar grundsätzlich verboten, solche Speicherdienste dienstlich zu verwenden.

Regeln allein genügten aber nicht, mahnen die Revisoren. Das VBS müsse die sogenannten Sperrlisten regelmässig aktualisieren und so die Nutzung von Speicherdiensten technisch blockieren. (aargauerzeitung.ch)

Hier fliegt ein historischer Panzer von einem LKW

Video: nico franzoni

Das könnte dich auch interessieren:

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

Migros erhöht Löhne um bis zu einem halben Prozent

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Themen
49 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
Fritzeli
09.11.2018 08:16registriert March 2016
Vielleicht wäre hier einmal angebracht etwas Budget in die Informatik zu stecken anstatt sinnlos Munition in einen Berg zu schiessen.
42428
Melden
Zum Kommentar
kuhrix
09.11.2018 08:32registriert June 2014
Durch die Kader wurde immer wiederholt wie dringend die Armee Informatiker braucht und wichtig die Cyber-Defense geworden ist. Ein konkretes Angebot oder etwas konnte ich aber noch nirgends finden. Das ganze kostet halt Geld, verdammt viel Geld. Eine "Cyber"-RS reicht da bei weitem nicht. Die teuersten Kampfjets bringen nichts, wenn alle IT-Systeme löchrig wie Schweizer Käse sind.
2953
Melden
Zum Kommentar
Madison Pierce
09.11.2018 08:15registriert September 2015
Nicht gut, aber war leider zu erwarten. Solche Konstrukte findet man bei ziemlich jeder grösseren Firma.
Einmal hat eine Abteilung einen ungenutzten Telefonanschluss genutzt, um auf eigene Kosten einen DSL-Anschluss aufschalten zu lassen. So konnte man surfen ohne lästige Firewall.
Da dank Hotspot heute jeder einen eigenen Internetzugang einrichten kann, werden solche Sachen immer schwieriger kontrollierbar.
1262
Melden
Zum Kommentar
49

Toter bei Unfall in Sprengstofffabrik im Oberwallis

Bei einem Arbeitsunfall in einer Sprengstofffabrik in Gamsen VS ist ein 44-jähriger Mitarbeiter am Montag ums Leben gekommen. Arbeitskollegen fanden den Mann in einem brachliegenden Produktionsgebäude auf dem Boden liegend vor.

Der Verunfallte hatte sich nach einem Kontrollrundgang nicht zurückgemeldet. Mit Atemschutzgeräten ausgerüstet, führten sie ihn ins Freie und begannen dort mit der Reanimation, wie die Kantonspolizei Wallis am Mittwoch mitteilte. Die Notärztin konnte jedoch nur noch …

Artikel lesen
Link zum Artikel