Schatten-IT macht auch vor der Armee nicht halt

Im letzten Dezember hat VBS-Chef Guy Parmelin die interne Revision um Aufklärung über den Umfang der im VBS eingesetzten «Schatten-Informatik» gebeten. Der Prüfbericht liegt seit Juni vor.
 
Wie unschwer zu erwarten war, sind die Revisoren davon ausgegangen, dass Schatten-IT in Verwaltung und Wirtschaft "heute ein gängiges Phänomen" darstellen. Zur Erinnerung: VMware hatte vor nicht allzu langer Zeit in einer Studie nachgewiesen, dass die Schatten-IT von gestern die Mainstream-IT von heute ist.
 
Doch zurück zum VBS. Ihm wird attestiert, "in ausreichender Menge und in guter Qualität (über) Weisungen und Richtlinien" zu verfügen, die den "sicheren Umgang mit Informatikmitteln beschreiben". Es gäbe Sensibilisierungskampagnen für alle Mitarbeitenden und bei den IT-Chefs im VBS wie in der Führungsunterstützungsbasis sei das Thema präsent. Ausserdem sei VBS-weit ein IT-Sicherheits-Management-Systems eingeführt worden, das alle IT-Schutzobjekte konsequent erfasse und bewirtschafte.
 
Nach so viel Lob dann aber die unvermeidliche Feststellung, dass man im VBS sehr wohl Schatten-IT gefunden habe. Genannt wird etwa der Cloud-Bereich: "Verschiedene der heute gängigsten Cloud-Dienste (sind) nicht blockiert und damit frei zugänglich", wird beispielsweise mit Hinweis auf SecureSafe, Filesync, Speicherbox, Woelkli und Google Docs festgehalten. Zudem sei die Swisscom MyCloud zwar auf dem Armee-eignen sogenannten Buraut-PC (kein Typo) gesperrt, aber der Zugriff über iPhones und iPads möglich. Die Sperrlisten, die sämtliche unerwünschten Internet-Adressen und Apps umfassen, war zuletzt Mitte 2016 aktualisiert worden.
 
Weiter wird auf die problematische Nutzung noch bestehender DSL-Direktanschlüsse hingewiesen. Sie werden "beispielsweise als Internetzugang für Dritte, für Überwachungs- und Alarmierungssysteme oder auch für die Fernsteuerungen von Seilbahnen verwendet". Doch habe die Prüfung ergeben, dass "die jeweilige Nutzungsbegründung «nicht in jedem Fall klar und nachvollziehbar dargelegt ist". Unklar sei zudem, ob tatsächliche alle DSL-Anschlüsse protokolliert sind.
 
Ausserdem stellten die Prüfer fest, dass beim Besuch des Standorts Bure verschiedene WLAN-Zugänge bestehen, deren Standorte genauso ungeklärt waren. Und es war unklar, ob für sie Zugänge zum VBS- oder Armeenetzwerk bestehen. "Zumindest in einem Fall liegt die Vermutung nahe, dass ein auf dem Waffenplatz dienstleistender Truppenverband selbstständig ein WLAN-Gerät installiert und dieses nach Dienstende nicht deaktiviert hat", so der Revisionsbericht.
 
Schliesslich habe man noch Schnittstellen "zwischen der Gruppe Verteidigung sowie Angehörigen der Armee (AdA)" vorgefunden, bei denen "oft private Hard- oder Software verwendet (werden), um dienstliche Aufgaben effizienter erledigen zu können", heisst es weiter. Verwiesen wird auf die Software zur Bewirtschaftung der Instandhaltung von Armeefahrzeugen und auf private Web- und Mailserver. So nutze etwa in einzelnen Bereichen die Führungsunterstützungsbasis zur Kommunikation mit den AdA 1 Services, die ein externen Provider betreibt.

Als Schatten-IT wird aber auch die Webseite urlaubsgesuch.ch eingestuft, eine private Homepage, die kostenpflichtig die elektronische Bewirtschaftung von Urlaubsgesuchen anbietet. Nicht zuletzt weil dabei militärische Personendaten ausgetauscht werden, haben sie die Revisoren in ihrem Bericht aufgenommen.
 
Die Prüfer haben dem VBS Gelegenheit gegeben, ihre Ergebnisse zu kommentieren. Mehrheitlich sei man mit Bericht und den Empfehlungen einverstanden, heisst es dort.
 
Empfohlen wird übrigens, die Sperrlisten für Buraut-PC's und iPhones sowie iPads abzugleichen, eine "risikoorientierte Erhebung" und Beurteilung von DSL-Direktanschlüssen und WLAN-Zugängen durchzuführen sowie die Risiken von Schnittstellen zur Schatten-IT von der Gruppe Verteidigung zur Miliz zu ermitteln. (vri)