Schweizer Armee schliesst Sicherheits­lücke im E-Learning

4. März 2021 um 15:48
  • schweiz
  • security
  • lücke
  • verwaltung
image

Ein User entdeckte, wie man in der Lernumgebung des Bundes Daten erbeuten könnte und warnte das VBS.

Ein User hat im Learning Management System (LMS) der Schweizer Armee eine Sicherheitslücke entdeckt und gemeldet. Dies gibt das VBS bekannt.
Die Lücke sei zusammen mit der Herstellerfirma umgehend geschlossen worden. Wäre sie ausgenutzt worden, so hätte ein Unberechtigter Zugriff auf Daten wie beispielsweise Mailadressen oder Personalnummern von im LMS registrierten Benutzerinnen und Benutzern erhalten können.
Das wären nicht nur VBS-User, sondern auch solche aus anderen Departementen gewesen, denn das LMS steht grundsätzlich allen Bundesangestellten für Ausbildungen, Kurse und virtuelle Sitzungen zur Verfügung. Im Falle der Armee beinhaltet es keine vertraulichen oder gar geheimen Informationen, sondern beispielsweise nicht klassifizierte Reglemente oder Pflichtlektionen für Rekruten im Rahmen ihres Corona-bedingten E-Learnings. Dies erklärt ein Armeesprecher auf Anfrage von inside-it.ch.
Beim Entdecker habe es sich um einen berechtigten User gehandelt, der das LMS gut kenne. Er konnte die Lücke "nur aufgrund seiner funktionsbedingt vorhandenen internen Kenntnissen ausmachen", schreibt das VBS ergänzend. Die Lücke "wurde im Bereich einer Schnittstelle zwischen einer alten, noch aktiven Version der Lernplattform und der aktuellen Benutzeroberfläche lokalisiert".
Es habe keine unautorisierten Zugriffe gegeben. Ähnliche Lücken sollen laut VBS nicht mehr auftreten: "Damit das LMS System zukünftig sicher bleibt, werden fortlaufend Sicherheitstests durchgeführt."
Auffällig ist, dass das VBS über die Lücke und deren Schliessung überhaupt informiert. Es handle sich dabei nicht um eine neue Kommunikationsstrategie bezüglich Cybersecurity, erklärt der Armeesprecher. Man folge den dem Prinzip "poet" – proaktiv, offen, ehrlich, transparent.

Loading

Mehr zum Thema

image

Strafverfolger schalten Geldwäschedienst für Ransomware ab

Internationale Behörden unter Beteiligung des Fedpols haben die Plattform "AudiA6" zerschlagen. Über diese wurden Millionen in Kryptowährungen gewaschen.

publiziert am 12.6.2026
image

Github verschärft npm-Sicherheitsstandards

Künftig werden Installationsskripte sowie bestimmte Abhängigkeiten standardmässig blockiert und nur noch nach expliziter Freigabe ausgeführt.

publiziert am 11.6.2026
image

Servicenow meldet Sicherheitsproblem

Der Softwarekonzern hat eine Sicherheitslücke in seiner Cloud-Plattform geschlossen. Zuvor war ein unautorisierter Zugriff auf Servicenow-Instanzen möglich gewesen.

publiziert am 10.6.2026
image

Anthropic lanciert Claude Fable 5 für alle Nutzer

Parallel dazu startet mit Claude Mythos 5 eine Variante mit erweiterten Cybersecurity-Fähigkeiten, die zunächst nur ausgewählten Organisationen zugänglich ist.

publiziert am 10.6.2026