Ein User hat im Learning Management System (LMS) der Schweizer Armee eine Sicherheitslücke entdeckt und gemeldet. Dies gibt das VBS bekannt.
Die Lücke sei zusammen mit der Herstellerfirma umgehend geschlossen worden. Wäre sie ausgenutzt worden, so hätte ein Unberechtigter Zugriff auf Daten wie beispielsweise Mailadressen oder Personalnummern von im LMS registrierten Benutzerinnen und Benutzern erhalten können.
Das wären nicht nur VBS-User, sondern auch solche aus anderen Departementen gewesen, denn das LMS steht grundsätzlich allen Bundesangestellten für Ausbildungen, Kurse und virtuelle Sitzungen zur Verfügung. Im Falle der Armee beinhaltet es keine vertraulichen oder gar geheimen Informationen, sondern beispielsweise nicht klassifizierte Reglemente oder Pflichtlektionen für Rekruten im Rahmen ihres Corona-bedingten E-Learnings. Dies erklärt ein Armeesprecher auf Anfrage von inside-it.ch.
Beim Entdecker habe es sich um einen berechtigten User gehandelt, der das LMS gut kenne. Er konnte die Lücke "nur aufgrund seiner funktionsbedingt vorhandenen internen Kenntnissen ausmachen", schreibt das VBS ergänzend. Die Lücke "wurde im Bereich einer Schnittstelle zwischen einer alten, noch aktiven Version der Lernplattform und der aktuellen Benutzeroberfläche lokalisiert".
Es habe keine unautorisierten Zugriffe gegeben. Ähnliche Lücken sollen laut VBS nicht mehr auftreten: "Damit das LMS System zukünftig sicher bleibt, werden fortlaufend Sicherheitstests durchgeführt."
Auffällig ist, dass das VBS über die Lücke und deren Schliessung überhaupt informiert. Es handle sich dabei nicht um eine neue Kommunikationsstrategie bezüglich Cybersecurity, erklärt der Armeesprecher. Man folge den dem Prinzip "poet" – proaktiv, offen, ehrlich, transparent.