Armee muss IT-Security-Massnahmen für neue Drohnen nachbessern

Für 250 Millionen Franken beschafft Armasuisse (ar) ein Aufklärungs-Drohnensystem beim israelischen Hersteller Elbit System, bestehend aus sechs Drohnen, den zugehörigen "Bodenkomponenten", Logistik und Simulator. Gesteuert wird die Drohne vom Boden aus mit verschlüsselten Funk- bzw. Satellitenverbindungen. Dieses Aufklärungsdrohnensystem 15 (ADS 15) wird aktuell eingeführt und beinhaltet ein System zur automatischen Detektion von anderen Luftfahrzeugen.
 
Die eidgenössische Finanzkontrolle (EFK) hat die Beschaffung dieser von Bern mitfinanzierten Neuentwicklung untersucht und stellt diverse Mängel fest, speziell in den Informationen zur Rüstungsbotschaft bezüglich Risiken, Varianten und Alternativen. "Zudem liegt kein Risikomanagement beispielsweise in Bezug auf das Ausfallrisiko von Lieferquellen vor", schreibt die EFK.
 
Nicht zuletzt fragt das Kontrollorgan: "Entspricht das Cyber-Risikomanagement ADS 15 einer anerkannten Best practice (ISO 27001), auch mit Blick auf mögliche IT-Schnittstellen von Elbit auf IT-Systeme des VBS?"
 
Nein, so die Prüfer, es bestehe "Verbesserungspotenzial". Zur Weiterbildung der Leser des Prüfberichts halten die Kontrolleure fest: "ADS 15 ist ein vernetztes System und bietet damit Angriffsflächen für Cyberattacken. Das stellt eine potenzielle Gefahr dar. Bei einem unerlaubten Zugriff könnten sensible Daten gestohlen werden."
 
Das war dem Bundesamt für Rüstung offenbar nicht 100-prozentig klar, auch wenn man Cybersecurity seit 2011 mitdachte. "Als Resultat der internen Audits von Wissenschaft und Technologie zur Informationssicherheit und zum Datenschutz wurde eine Massnahmenliste zur Erhöhung des IT-Schutzes definiert." Aber, so kritisieren die Kontrolleure, diese Massnahmen seien ungenügend.
 
Gewisse organisatorische und betriebliche Massnahmen habe Armasuisse zwar erkannt und umgesetzt. Aber die Neuentwicklung hat IT-Securtiy-Mängel. Nötig sei konkret die Anpassung von Systemarchitektur und Software. Im 250-Millionen-Projekt war jedoch dafür kein Rappen reserviert. So wurde die Cybersecurity nach hinten geschoben. "Eine Überprüfung aller Kontrollpunkte gemäss dem Informatiksicherheitsstandard ISO 27001/2 kann erst (…) beim Projektabschluss erfolgen."
 
Die Rüstungsexperten müssen nochmals über die Bücher, raten die Prüfer. "Die EFK empfiehlt Armasuisse, die identifizierten Massnahmen zur Schliessung der bestehenden Sicherheitslücken nochmals eingehend zu prüfen und wo nötig umzusetzen."
 
"Armasuisse ist mit dieser Empfehlung einverstanden", antworten die Militärs kurz und knapp.
 
Die Drohnenbeschaffung stand während Jahren immer wieder im Rampenlicht. So unter anderem wegen Änderungswünschen der Schweizer Armee, technischen Bedenken oder wegen mangelhafter Kommunikation. In einer Prüfung 2017 schrieben Finanzkontrolleure zudem: "Die EFK erwartet eine klare Kostendarstellung". Sie lobten andererseits auch, der Bedarf nach den Drohnen sei nachgewiesen, es habe klare Anforderungen und ein faires Beschaffungsverfahren gegeben. (mag)