Bericht: Schweizer Armee verschwieg jahrelang IT-Schwachstellen

3. Juli 2020, 12:48
image

Einige Systeme sollen die minimalen Anforderungen des Bundes noch immer nicht erfüllen. Gemeldet hat die Armee diese Mängel nicht.

Die Führungsunterstützungsbasis (FUB), der IT-Dienstleister der Armee, hat offenbar Probleme mit der IT-Security. So sollen nicht alle Armee-Systeme jene minimalen Anforderungen erfüllen, die für die gesamte Bundesverwaltung erlassen wurden. Entdeckt hat dies die Eidgenössische Finanzkontrolle (EFK), die die Probleme so gravierend fand, dass sie den Bundesrat informierte. Dies haben Recherchen der 'NZZ' ergeben. 
Die EFK entdeckte die Mängel beim IKT-Grundschutz der Armee bereits 2019 und teilte dies Mitte Dezember der Regierung mit. Offenbar bestanden die Probleme Anfang 2020 noch immer: Unter anderem sollen Systeme betroffen sein, die seit Jahren eingesetzt werden und nicht mehr abgesichert werden können.
Es sei etwa eine veraltete Version des Netzwerkprotokolls SMB im Einsatz, das die Systeme für die Ransomware Wannacry verwundbar mache, so die 'NZZ'. Ein weiterer Mangel sei bei den unzähligen Netzwerkzugängen zu suchen, die teilweise nicht dokumentiert seien. Dazu gehörten auch die Schnittstellen zu externen Dienstleistern. Derzeit werde an der vollständigen Dokumentation gearbeitet, die Ende 2020 abgeschlossen sein soll, teilte die FUB mit.
Die Armee habe es auch unterlassen, die Schwachstellen intern zu melden. Dies ist für alle Bundesstellen verpflichtend. Im Bericht "Informatiksicherheit Bund 2019" der EFK, den die 'NZZ' dank des Öffentlichkeitsgesetzes erhalten hat, wird davon berichtet, dass schon in früheren Jahren falsche Angaben gemacht wurden.
In einer ersten Version des Berichts war zudem offenbar die Rede davon, dass die FUB diese Mängel bewusst nicht gemeldet habe. Nun zeigt sich der IT-Dienstleister der Armee aber einsichtig: So schreibt er auf Anfrage der 'NZZ' (Paywall), dass die Empfehlungen der EFK akzeptiert seien: Bis Ende 2021 sollen die Vorgaben erfüllt oder entsprechende Ausnahmebewilligungen eingeholt werden.
Man sieht sich unweigerlich an den Ruag-Hack von 2016 erinnert. Damals hatten sich Hacker Zugriff auf Systeme des bundeseigenen Rüstungskonzerns verschafft und über Jahre rund 23 Gigabyte Daten abgezogen. Im Nachgang waren verschiedene Berichte verfasst und die Computer der Armee überprüft worden. Der damalige Armee-Chef André Blattmann sagte im Nachgang der Überprüfung, dass die Armee gut vor Cyberangriffen geschützt sei. 

Loading

Mehr zum Thema

image

Anti-Fake-News-Initiative ist vorerst vom Tisch

Mit einem Vorstoss sollten Betreiber in die Pflicht genommen werden, wenn auf ihren Onlineplattformen Falschinformationen verbreitet wurden. Zunächst sind aber Abklärungen nötig.

publiziert am 3.2.2023
image

Der Wandel im Beschaffungsrecht

Am 02. Februar 2023 ist das erste Event seiner Art – "E-Government im Fokus" – von inside-it.ch über die Bühne gegangen. Wir haben mit 4 Speakern diskutiert, die das Beschaffungswesen in- und auswendig kennen.

publiziert am 3.2.2023
image

Next Episode: Das neue Simap verzögert sich nochmals

Die Entwickler haben die "Komplexität analysiert" und sind zu einer neuen Schätzung gelangt. Dieses Jahr wird’s nichts mehr mit KISSimap.

publiziert am 3.2.2023
image

Der Kanton Bern präsentiert seine Digitalisierungs-Ideen

Die Berner Regierung hat 36 Schwerpunkte der Digitalisierung vorgestellt. Darunter ein Pioniervorstoss in Sachen E-ID und ein Problemprojekt.

publiziert am 3.2.2023