Nicht eine, sondern zwei Sicherheitslücken hat das Lernplattform LMS der Armee innerhalb eines Monats aufgewiesen. Das Militär nahm am Dienstag Stellung zu Medienberichten, wonach ein Datenleck über Wochen hinweg nicht behoben worden sei. Richtig sei, dass beide Lecks innerhalb weniger Stunden gestopft wurden.
Die Lecks seien unabhängig voneinander entdeckt worden, teilte der Informationsdienst der Armee am Abend mit. Am 25. Januar meldete die Cyber-Rekrutenschule demnach eine Schwachstelle im Learning Management System (LMS).
Diese erlaubte es Nutzern, sich die Daten anderer Nutzer anzusehen. Grund war ein Konfigurationsfehler, der verschiedenen Nutzern falsche Rollen und Berechtigungen zugeteilt hatte. Dieser Fehler wurde nach Darstellung der Armee innert Stunden behoben.
Am 24. Februar meldete ein Nutzer der Lernplattform der Datenschutzstelle des Bundes eine zweite mögliche Sicherheitslücke. Nach seinen Angaben hatte er eine Möglichkeit gefunden, sich Zugriff zu Daten wie Mailadressen oder Personalnummern anderer Nutzer zu verschaffen. Der Betreiber ergriff zusammen mit der Herstellerfirma umgehend Massnahmen zur Behebung der Schwachstelle.
Nach aktuellen Erkenntnissen der Armee handelt es sich dabei um zwei voneinander unabhängige Sicherheitslücken. Die Lücke beim zweiten Vorfall liess sich an einer Schnittstelle zwischen einer alten, noch aktiven Version der Lernplattform lokalisieren. Der meldende Rekrut fand die Schwachstelle aufgrund seiner Computerkenntnisse.
Wie die Armee weiter schreibt, unterzieht sie das System laufend erneuten Sicherheitstests. Zur Verbesserung der Sicherheit würden verschiedene Massnahmen ergriffen.
Die erste Sicherheitslücke war am 4. März bekannt geworden. Damals meldete die Armee, bei einer Überprüfung seien keine unberechtigten Zugriffe auf Daten ans Tageslicht gekommen. «20 Minuten» hatte am Dienstag berichtet, die Armee wisse seit Ende Januar von einer Sicherheitslücke in dem Lernsystem.
Die Lernplattform LMS wird von Angehörigen der Armee sowie von Mitarbeitenden des Bundes für Ausbildungen, Kurse und virtuelle Sitzungen genutzt. (sda)