Namen, Vornamen und Telefonnummern aller 2800 Mitarbeitenden der Berner Kantonspolizei sind zu Hackern abgeflossen. Grund dafür ist eine gravierende Sicherheitslücke in der Mobileiron-App, die auf Smartphones der Kapo installiert ist. Die Lücke ist inzwischen geschlossen.

Es sei zu einem Datenabfluss gekommen, sagte Flurina Schenk, Mediensprecherin der Kantonspolizei Bern, in der Sendung '10 vor 10' des Schweizer Fernsehens SRF vom Freitag, 18. August. Betroffen seien alle Mitarbeitenden mit einem Smartphone – also die komplette Belegschaft von rund 2800 Mitarbeitenden. Für sie besteht nun die Gefahr, dass Cyberkriminelle die Daten für gezielte Angriffe nutzen. Die Mitarbeitenden seien darüber informiert und sensibilisiert worden, sagt die Polizei.

Bisher gebe es keine Hinweise darauf, dass die Daten im Internet publiziert wurden. Wer die Namen und Telefonnummern entwendete, ist unbekannt. Strafrechtliche Schritte seien eingeleitet worden.

Das Nationale Zentrum für Cybersicherheit (NCSC) hatte die Berner Kantonspolizei bereits am 21. Juli über die zuvor unbekannte Sicherheitslücke in der "Mobileiron"-App informiert. Die Lücke wurde zwar rasch geschlossen, die Daten waren da jedoch schon abgeflossen, so die Kapo. Ivanti, der Hersteller von Mobileiron, informierte erst am 2. August über die Lücke CVE-2023-35082. Man habe die Problemstelle zwar bereits früher erkannt, so Ivanti. Zuerst habe man sie aber nicht als Verwundbarkeit eingestuft und zudem gedacht, sie betreffe nur ältere Versionen und sei mit dem Update 11.3 bereits "zufällig" geschlossen worden.

Bei Mobileiron handelt es sich um eine Anwendung, mit der Mitarbeitende unterwegs ihren Laptop mit den Servern ihres Arbeitgebers verbinden können. Sie wird weltweit von vielen Unternehmen und Behörden verwendet.

Auch im Ausland wurden bereits Behörden Opfer der "MobileIron"-Sicherheitslücke, so etwa der norwegische Staat. Dort wurden mehrere Ministerien über die Schwachstelle angegriffen.