Update: Armee wusste schon seit Wochen über Sicherheitslücke Bescheid
Ein Benutzer des Learning-Management-Systems der Schweizer Armee konnte auf persönliche Daten anderer Benutzer zugreifen. Die Herstellerfirma behob den Fehler unterdessen. Einem Bericht zufolge habe die Armee bereits seit Ende Januar Bescheid gewusst. Mittlerweile ist von 420'000 betroffenen Accounts die Rede.
Update vom 10.03.2021: Einem Bericht von Angehörigen der Cyber-Rekrutenschule zufolge hätte die Schweizer Armee bereits Ende Januar vom Datenleck in der E-Learning-Plattform gewusst, berichtet "20 Minuten".
Die IT-Experten der Armee hätten bereits am 25. Januar 2021 vor einer Sicherheitslücke, die eine "grossflächige Offenlegung von hochsensiblen Benutzerdaten" ermögliche, gewarnt. Der Bericht sei direkt an hohe Funktionäre im Militär übermittelt worden. Anstatt von bisher angenommenen 250'000 sei darin von 420'000 betroffenen Accounts die Rede. Alle Accounts würden "einen uneingeschränkten Zugriff auf die aufgeführten sensiblen Daten" bieten, zitiert 20 Minuten die Autoren des Berichts.
Laut Armee kein Zusammenhang mit neuem Datenleck
Die Daten, die auf diese Weise gestohlen werden könnten, seien hochsensibel: "Die gesamte Armeestruktur kann nachgebildet, Kapazitätsinformationen können abgeleitet werden. Zudem werden Verantwortliche in wichtigen und nicht öffentlich zugänglichen Ämtern enttarnt." Laut Markus Eggli, Chef für E-Learning bei der Armee, hätte diese richtig reagiert: "Wir haben die entsprechenden Massnahmen sofort eingeleitet und das Problem gelöst." Mit dem Datenleck, das nun von einem Ex-Soldaten gemeldet wurde, gäbe es jedoch keinen Zusammenhang, so Eggli. Der Bericht soll 20 Min vorliegen.
Update vom 09.03.2021: Datenpanne in Lernplattform der Armee schwerwiegender als gedacht
Das Ausmass der Sicherheitsprobleme bei der Schweizer Armee ist schlimmer, als es die ursprüngliche Pressemitteilung vermuten liess. Wie 20min.ch berichtet, seien über das Learning Management System (LMS) der Armee mehr als 250'000 Datensätze von Angehörigen der Armee sowie Fedpol- und Nachrichtendienst-Mitarbeitenden einsehbar gewesen.
Ein ehemaliger Soldat wird zitiert, er habe "AHV-Nummern, E-Mail-Adressen, Handynummern oder Benutzernamen - nicht nur von Rekruten oder anderen Armeeangehörigen, sondern auch von Angestellten der Bundesverwaltung, Personal der Bundespolizei, Mitarbeitenden des Nachrichtendienstes (NDB) sowie zwei Bundesräten" abrufen können.
Auch Gast-Account gewährte Einsicht
Nachdem er der Armee die Datenflut gemeldet hatte, sperrte diese seinen persönlichen Zugang. Auch über den Gast-Account konnte er jedoch sämtliche Datensätze einsehen. "Das heisst: Jeder hätte darauf zugreifen können - zum Beispiel aus Russland oder aus den USA", so der Ex-Soldat, dem die Armee für seine Aufrichtigkeit eine Belohnung in Höhe von 100 Franken in Aussicht gestellt haben soll.
Danilo Loepfe, Head of Sales bei Swissteach, der Herstellerfirma des Armee-LMS, beteuert, dass zum Ausnützen der Sicherheitslücke eine Registrierung vonnöten gewesen wäre. Dass Informationen ins Ausland abgeflossen wären, schliesse er dennoch nicht aus - eine "hunderprozentige Sicherheit" gäbe es nie. Einen solchen Hackerangriff habe es aber laut seinen Informationen nicht gegeben.
Originalmeldung vom 05.03.2021: Sicherheitslücke in der Lernplattform der Armee behoben
Nach den technischen Problemen bei der Anmeldung für die Rekrutenschule im Homeoffice sind nun auch Sicherheitsprobleme aufgetreten. Das E-Learning-System, das die Schweizer Armee für ihre Rekrutenschulen eingerichtet hat, habe Sicherheitslücken aufgewiesen, teilt das VBS mit. Ein Ende Februar auf der Plattform registrierter Benutzer meldete, dass er im Learning Management System (LMS) des VBS eine Möglichkeit gefunden hatte, auf persönliche Informationen anderer Nutzer wie E-Mails und Telefon zuzugreifen. Der Betreiber des Systems traf zusammen mit der Herstellerfirma umgehend Massnahmen zur Behebung der Schwachstellen, wie das VBS weiter schreibt.
Der besagte Nutzer fand dank interner Kenntnisse, die mit seiner Funktion zusammenhängen, einen Fehler in der Schnittstelle zwischen der aktiven Version der Plattform und einer älteren Version. Die Sicherheitslücke wurde gemäss dem VBS inzwischen behoben. Nach Einschätzung der Systemverantwortlichen hatten keine weiteren Unbefugten Zugriff auf die Daten anderer Nutzer. Damit das LMS zukünftig sicher bleibt, werden fortlaufend Sicherheitstests durchgeführt.
Trend Micro setzt sich damit auseinander, wie Cyberkriminelle künstliche Intelligenz nutzen und wie sie diese in den nächsten Jahren für Cybercrime nutzen könnten. Wie erschreckend das Potenzial künstlicher Intelligenz ist, können Sie hier nachlesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.