Hat die Armee über Wochen hinweg eine Warnung vor einem Sicherheits-Leck im Learning Management System (LMS) der Armee ignoriert? Darauf hin deuteten Medienberichte und ein Armee-interner Bericht, der inside-it.ch vorliegt.

Nein, erklären ein Armee-Vertreter und ein Kadermitglied des Software-Herstellers Swissteach via Telefon. Es liege ein Missverständnis vor – es habe 2 Lecks gegeben.

Das erste Leck wurde Armee-intern von einem Zug der Cyberrekrutenschule den LMS-Verantwortlichen in einem Vulnerability-Report "LMS Sensitive Data Exposure" am 25. Januar gemeldet. Den üblichen Dienstweg gingen die Autoren offenbar nicht, wie sie zum Schluss festhielten, da frühere andere Warnungen offenbar ignoriert worden waren.

Dieses Leck entstand durch eine falschen Konfiguration des LMS im Rollen- und Rechtemanagement, so dass Unbefugte ganz unterschiedliche Daten von Armeeangehörigen und andern Usern einsehen und in Form von Reports herunterladen konnten.

Im Prinzip konnte jeder Rekrut und jeder andere registrierte User Name, AHV-Nummer, Rang, Geburtsdatum, Telefon, Zugehörigkeit zu einer militärischen Einheit, frühere Zugehörigkeiten, private E-Mail-Adressen oder Prüfungsresultate kopieren. Es habe sich um mindestens 400'000 betroffene Accounts gehandelt, so der Report.

Und diese Daten müssten auch im LMS gespeichert sein, damit beispielsweise Prüflinge mit Vorgesetzten kommunizieren könnten und um unterschiedliche Reports zu erstellen.

Der Konfigurationsfehler habe "nur kurze Zeit" bestanden, versichern Armee und Hersteller inside-it.ch unisono. Wie lange konkret, können sie nicht sagen. Der LMS-Verantwortliche erklärt, man habe am 25. Januar innert Stunden reagiert und den Fehler behoben.

Und wer betreibt das LMS? Die Ruag. Im Report belehren die Autoren die Armee und die Ruag, dass es sich um eine schwere Lücke handle. Sie stufen sie im Overall CVSS mit 6.1 ein.

Sie halten fest, dass man mit den sensiblen Daten die gesamte Armeestruktur rekonstruiert könne, das Leck macht Spear-Phishing-Angriffe möglich, enttarnt Verantwortliche in wichtigen Ämtern oder nicht öffentlich Verantwortliche in wichtigen oder nicht öffentlich zugänglichen Ämtern. Nicht zuletzt dient die ebenfalls kopierbare AHV-Nummer als Identifikator für X Behördendienstleistungen und wird künftig noch öfter verwendet werden. Damit hätte man viele weitere Angriffe unternehmen können.

Anders ist die Lücke, die der Armee laut Eigenaussagen am 24. Februar gemeldet worden war und die sie am 4. März aktiv thematisierte.

Gefunden wurde die Lücke weder vom Hersteller, noch vom Kunden, noch vom Betreiber, sondern von einem Rekruten. Sie befand sich an der Schnittstelle zwischen einer alten, bei der Bundesverwaltung noch aktiven Version des LMS und der neuen User-Oberfläche des VBS.

Sie sei "durch den Nutzer nur aufgrund seiner funktionsbedingt vorhandenen internen Kenntnissen auszumachen" gewesen, schrieb die Armee dazu. Konkret heisst dies: Der Rekrut war ausgetreten und sein Account war gelöscht worden, doch eine URL hatte er noch gespeichert und konnte dann via einen neuen Gast-Account auf das Adressbuch im LMS zugreifen. Also auf alle Benutzerprofile mit einer AHV-Nummer. Da die AHV-Nummer beim Log-in als Identifikator dient, dürften erneut alle Datensätze offengelegen sein.

"Im Webbrowser wurden zwar nicht alle Informationen dargestellt. Doch im Zwischenspeicher des Proxy-Servers, den der Mann dazwischen geschaltet hatte, waren auch die vertraulichen Informationen wie private E-Mail-Adressen und Handynummern vorhanden. Ein Export dieser Daten wäre problemlos möglich gewesen", so die 'NZZ' ergänzend.

Mit "internen Kenntnissen" sei die URL gemeint, so der Armeesprecher, denn die könne nur ein irgendwann registrierter User kennen. "Eine URL haben wir nicht geprüft", gibt der Swissteach-Sprecher zu, als man die Schnittstelle gebaut habe, die beim Bund nötig gewesen sei.

"Der Fehler hätte nicht passieren sollen", so der Hersteller zu inside-it.ch. Diese Lücke sei jedoch rasch geschlossen worden, die Gastaccount-Komponente gesperrt und nun würde die alte Version des LMS so rasch wie möglich "abgemanagt".

Es gebe zwar regelmässig Pen-Tests, sagt der Sprecher, doch Swissteach habe nun einige To-do-s für System und die Prozesse abzuarbeiten.

Der Rekrut erhielt für seine Meldung eine Bug Bounty: Laut 'NZZ' hat ihm die Armee eine Belohnung von 100 Franken zugesprochen.

Die Armee und der Hersteller glauben nicht, dass die Lücken ausgenutzt worden, doch die für eine Analyse verfügbaren Logfiles scheinen nicht für eine sichere Aussage zu genügen.

Was wird nun getan beim Hersteller, der Ruag und bei der Armee auf Ebene Menschen, Prozesse und Technologie, dass so etwas nicht mehr vorkommt? Diese Frage ist noch nicht beantwortet. "Um die Sicherheit des LMS Systems zu verbessern, werden verschiedene Massnahmen ergriffen, unter anderem werden fortlaufend Sicherheitstests durchgeführt", so die Aussage der Armee.

Dann mussten die Gesprächspartner das Telefon mit inside-it.ch abschliessen. Ihr nächster Termin beim "CDA", dem CERT der Armee, stand an.