Bundesrat bestätigt peinliche, jahrelang offene Lücke in der Bundes-IT

Über zwei Jahre lang hätten Angreifer auf Anwendungen des Bundes zugreifen können. Haben sie das? Man weiss es nicht.
 
Der Bundesrat hat eine Interpellation des CVP-Nationalrates Marco Romano beantwortet. Dieser bezog sich auf Berichte der 'Weltwoche' und der 'Basler Zeitung' sowie weiterer Medien, die Ende Mai und Anfang Juni erschienen sind. Gemäss diesen Artikeln existierte in den IT-Systemen des Bundes zwischen 2014 und Anfang 2017 eine gravierende Sicherheitslücke. Diese hätte es Aussenstehenden erlauben können, auf einfache Weise auf das Intranet und Datenbanken des Bundes zuzugreifen.
 
Der Bundesrat hatte damals diese Berichte weder dementiert noch bestätigt. Als Antwort auf die Interpellation räumte er heute aber ein: "In der Tat hat zwischen 2014 und 2017 eine Sicherheitslücke bestanden." Wenn sie ausgenützt worden wäre, hätte sie unberechtigten Zugriff auf "eine beschränkte Anzahl von Anwendungen des Bundes" erlaubt.
 
Wieder keine Zugriffs-Logs
Spezialisten des Bundes hätten am 27. Januar 2017 ein "Fehlerverhalten des betreffenden Zugangsdienstes festgestellt." Danach hätten die zuständigen Fachleute den Mangel umgehend eingegrenzt und am 9. Februar 2017 endgültig behoben. Nach einer ersten Analyse der Situation sei dann der zuständige Departementsvorsteher Ueli Maurer am 15. Februar 2017 über die Sicherheitslücke und die eingeleiteten Massnahmen informiert worden.
 
Zur genauen Art und zum Ausmass der Lücke hält sich der Bundesrat weiterhin bedeckt. Sie sei, so versichert er aber, "endgültig behoben". Man habe die betroffenen Anwendungen und Departemente alle identifiziert und die Zuständigen informiert, wolle sie aber aus Sicherheitsgründen nicht bekannt geben.
 
Es gebe keine Hinweise darauf, dass die Sicherheitslücke tatsächlich ausgenützt worden sei, so der Bundesrat. Allerdings "lässt sich das nicht vollständig nachweisen und damit auch nicht vollständig ausschliessen. Die vorhandenen Aufzeichnungen des betroffenen Zugangsdienstes genügen für eine abschliessende Aussage dazu nicht."

Das erinnert an die RUAG-Affäre im letzten Jahr. Dort wusste man zwar, dass Daten entwendet worden waren, hatte aber aufgrund nicht adäquater Logs keinerlei Ahnung, was geklaut worden war.
 
Immerhin sagt der Bundesrat, dass man im Rahmen der Schliessung der Sicherheitslücke nun auch sichergestellt habe, dass "die Aufzeichnungen für Fälle wie den vorliegenden künftig genügend sind."
 
Vergessene Neukonfiguration nach Systemwechsel?
Die etwas kryptische Formulierung "Fehlerverhalten des betreffenden Zugangsdienstes" deutet unserer Meinung nach darauf hin, dass die 'Basler Zeitung' in ihrem Artikel vom 2. Juni wohl nicht weit danebenlag.
 
Aufgrund ihrer Recherchen berichtete die 'BaZ' damals, dass einem IT-Experten im Departement für auswärtige Angelegenheiten (EDA) Anfang 2017 aufgefallen sei, dass die Authentifizierung von Bundesangestellten nicht ordnungsgemäss funktioniert habe, wenn diese auf ihre Daten und E-Mails zugriffen. Bei der Authentifizierung sei nämlich gar nicht überprüft worden, ob das verwendete Sicherheitszertifikat gültig war.
 
IT-Spezialisten des EDA hätten danach auch festgestellt, dass sich eine beliebige Person von jedem Internetanschluss aus im Namen jedes beliebigen Bundesangestellten ein Sicherheitszertifikat ausstellen lassen konnte. So hätten sie Zugriff auf sämtliche Daten und Inhalte erhalten können, die dem entsprechenden Bundesangestellten zur Verfügung standen. Intern erklärte das Bundesamt für Informatik (BIT) laut 'BaZ', dass nach einem Systemwechsel 2014 die Herkunft von Zertifikaten nicht mehr in allen Aspekten geprüft worden sei. (hjm)