Bundesrat bestätigt peinliche, jahrelang offene Lücke in der Bundes-IT

31. August 2017, 14:47
  • security
  • bund
image

Über zwei Jahre lang hätten Angreifer auf Anwendungen des Bundes zugreifen können. Haben sie das? Man weiss es nicht.

Über zwei Jahre lang hätten Angreifer auf Anwendungen des Bundes zugreifen können. Haben sie das? Man weiss es nicht.
Der Bundesrat hat eine Interpellation des CVP-Nationalrates Marco Romano beantwortet. Dieser bezog sich auf Berichte der 'Weltwoche' und der 'Basler Zeitung' sowie weiterer Medien, die Ende Mai und Anfang Juni erschienen sind. Gemäss diesen Artikeln existierte in den IT-Systemen des Bundes zwischen 2014 und Anfang 2017 eine gravierende Sicherheitslücke. Diese hätte es Aussenstehenden erlauben können, auf einfache Weise auf das Intranet und Datenbanken des Bundes zuzugreifen.
Der Bundesrat hatte damals diese Berichte weder dementiert noch bestätigt. Als Antwort auf die Interpellation räumte er heute aber ein: "In der Tat hat zwischen 2014 und 2017 eine Sicherheitslücke bestanden." Wenn sie ausgenützt worden wäre, hätte sie unberechtigten Zugriff auf "eine beschränkte Anzahl von Anwendungen des Bundes" erlaubt.
Wieder keine Zugriffs-Logs
Spezialisten des Bundes hätten am 27. Januar 2017 ein "Fehlerverhalten des betreffenden Zugangsdienstes festgestellt." Danach hätten die zuständigen Fachleute den Mangel umgehend eingegrenzt und am 9. Februar 2017 endgültig behoben. Nach einer ersten Analyse der Situation sei dann der zuständige Departementsvorsteher Ueli Maurer am 15. Februar 2017 über die Sicherheitslücke und die eingeleiteten Massnahmen informiert worden.
Zur genauen Art und zum Ausmass der Lücke hält sich der Bundesrat weiterhin bedeckt. Sie sei, so versichert er aber, "endgültig behoben". Man habe die betroffenen Anwendungen und Departemente alle identifiziert und die Zuständigen informiert, wolle sie aber aus Sicherheitsgründen nicht bekannt geben.
Es gebe keine Hinweise darauf, dass die Sicherheitslücke tatsächlich ausgenützt worden sei, so der Bundesrat. Allerdings "lässt sich das nicht vollständig nachweisen und damit auch nicht vollständig ausschliessen. Die vorhandenen Aufzeichnungen des betroffenen Zugangsdienstes genügen für eine abschliessende Aussage dazu nicht."
Das erinnert an die RUAG-Affäre im letzten Jahr. Dort wusste man zwar, dass Daten entwendet worden waren, hatte aber aufgrund nicht adäquater Logs keinerlei Ahnung, was geklaut worden war.
Immerhin sagt der Bundesrat, dass man im Rahmen der Schliessung der Sicherheitslücke nun auch sichergestellt habe, dass "die Aufzeichnungen für Fälle wie den vorliegenden künftig genügend sind."
Vergessene Neukonfiguration nach Systemwechsel?
Die etwas kryptische Formulierung "Fehlerverhalten des betreffenden Zugangsdienstes" deutet unserer Meinung nach darauf hin, dass die 'Basler Zeitung' in ihrem Artikel vom 2. Juni wohl nicht weit danebenlag.
Aufgrund ihrer Recherchen berichtete die 'BaZ' damals, dass einem IT-Experten im Departement für auswärtige Angelegenheiten (EDA) Anfang 2017 aufgefallen sei, dass die Authentifizierung von Bundesangestellten nicht ordnungsgemäss funktioniert habe, wenn diese auf ihre Daten und E-Mails zugriffen. Bei der Authentifizierung sei nämlich gar nicht überprüft worden, ob das verwendete Sicherheitszertifikat gültig war.
IT-Spezialisten des EDA hätten danach auch festgestellt, dass sich eine beliebige Person von jedem Internetanschluss aus im Namen jedes beliebigen Bundesangestellten ein Sicherheitszertifikat ausstellen lassen konnte. So hätten sie Zugriff auf sämtliche Daten und Inhalte erhalten können, die dem entsprechenden Bundesangestellten zur Verfügung standen. Intern erklärte das Bundesamt für Informatik (BIT) laut 'BaZ', dass nach einem Systemwechsel 2014 die Herkunft von Zertifikaten nicht mehr in allen Aspekten geprüft worden sei. (hjm)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Ransomware-Bande Conti gibts nicht mehr

Die Bande griff die Universität Neuenburg oder den Storenbauer Griesser an. Aber zu früh freuen sollte man sich über den "Rücktritt" nicht, die Kriminellen haben noch ein Ass im Ärmel.

publiziert am 20.5.2022
image

Online-Ads: Nutzer-Daten werden Milliarden Mal pro Tag verarbeitet

Eigentlich weiss man es: Beim Besuch einer Website werden eine Menge Informationen verfolgt und geteilt. Ein Bericht verdeutlicht nun, wie häufig dies geschieht und stellt die Frage: Ist das legal?

publiziert am 20.5.2022
image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werden, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022