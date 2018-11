«Wir haben beim Bund praktisch jeden Tag Cyberangriffe», sagte Verteidigungsminister Guy Parmelin vor einem Jahr im Interview mit dieser Zeitung. Die Angreifer wollten oft Geheimnisse von Unternehmen stehlen, aber auch militärische Geheimnisse. Die erfolgreichen Cyberangriffe auf sein Departement und die bundeseigene Rüstungsschmiede Ruag im Jahr 2016 seien wie ein «Elektroschock» gewesen. «Viele glauben: Der Cyberkrieg findet anderswo statt. Das ist leider nicht richtig», warnte der VBS-Chef.

Eine grosse Herausforderung in Sachen IT-Sicherheit ist für Informatikabteilungen weltweit die sogenannte Schatten-IT: also private Geräte und Software, die einzelne Mitarbeiter oder Abteilung auf eigene Faust und ohne Wissen der IT-Abteilung einsetzen.

Just zu jenem Thema hat der Verteidigungsminister wenige Wochen nach dem Interview eine interne Revision in Auftrag gegeben. Die Untersuchung sollte herausfinden, in welchem Umfang auch VBS-Mitarbeiter und Militärangehörige eigene private Software, Hardware und Cloud-Dienste einsetzen. Die Revisoren gingen der Frage zwischen Januar bis März 2018 nach; veröffentlicht wurden die Ergebnisse vergangene Woche.

Wo kommt das Wi-Fi-Netzwerk her?

Die Revisoren stellen dem Departement generell gute Gesamtnoten aus. Bei der Gruppe Verteidigung bestehe jedoch Handlungsbedarf. Die Probleme illustriert dabei eindrücklich ein Besuch auf dem Waffenplatz Bure: Dort existieren gemäss dem Bericht gleich mehrere WLAN-Zugangspunkte, «deren Ursprung vor Ort nicht genau bekannt ist»–was heissen will, dass niemand sagen konnte, wo die WLAN-Geräte standen, die diese Wi-Fi-Signale erzeugten. In mindestens einem Fall habe ein Truppenverband wohl «selbstständig ein WLAN-Gerät installiert und dieses nach Dienstende nicht deaktiviert», vermuten die Revisoren. «Die Frage, wo diese WLAN-Geräte genau stehen und ob diese noch an einem Netzwerk angeschlossen sind, konnte nicht geklärt werden.»

Generell wird eine eher unübersichtliche Lage bei Anknüpfungen ans Internet bemängelt. So existieren im VBS gemäss einer internen Liste insgesamt 251 DSL-Direktanschlüsse, die beispielsweise als Internetzugang für Dritte, für Überwachungssysteme oder auch für die Fernsteuerung von Seilbahnen benutzt werden. Die Begründung für die Existenz dieser Anschlüsse sei nicht immer nachvollziehbar, und die Revisoren bezweifeln, dass die Liste vollständig sei.

«Wir sehen das Hauptrisiko, dass über DSL-Anschlüsse sowie WLAN-Zugänge Brücken in VBS- und Armeenetzwerke geschlagen werden könnten», urteilen die Revisoren.

Eigenen Mailserver installiert

Weitere Sicherheitslücken bestünden beim Verwenden von Tools, die zwar die Produktivität erhöhen, aber Risiken bergen. So bemängeln die Revisoren, dass Cloud-Dienste wie Google Drive, Dropbox und Swisscom MyCloud nicht blockiert und frei zugänglich seien.

In Bure habe eine Gruppe von Armeeangehörigen zum Beispiel selbst ein Programm entwickelt, dass die Instandhaltungslage aller betreuten Fahrzeuge auf dem Waffenplatz zeige. Dieses Tool werde auf einem USB-Stick jeweils von Zugführer zu Zugführer weitergereicht.

In der Führungsunterstützungsbrigade 41 hätten Armeeangehörige zudem auf eigene Faust einen Mailserver installiert, um miteinander zu kommunizieren. Der Server werde über die Armee finanziert, aber von einer externen Firma betrieben.

Die VBS-Gruppe Verteidigung nimmt im Bericht zur Kritik Stellung. Bei den WLAN-Zugangspunkten wird erwidert, solche Geräte seien nur kritisch und verboten, wenn sie direkt mit der VBS-Infrastruktur verbunden seien. Ob eine solche Verbindung existierte, oder ob sie weiterhin existiert, wird nicht erläutert. Auch VBS-Informationschef Renato Kalbermatten kann auf Anfrage dieser Zeitung keine weiteren Angaben zum Fall machen.

Zu den DSL-Leitungen hält Kalbermatten fest, dass diese in jedem Fall unabhängig vom VBS-Netzwerk seien. Es ginge lediglich darum, Soldaten einen Internetzugang zu bieten, oder in Infrastrukturen, wo das VBS keinen Netzwerkzugang hat, Zugriff auf den Service eines öffentlichen Serviceproviders (zum Beispiel der Swisscom) zu ermöglichen.

Keine Alternative zu privaten Laptops

Ganz generell wird in der Stellungnahme im Bericht infrage gestellt, ob der Begriff «Schatten-Informatik» auf die Milizarmee angewendet werden könne. Denn die Armee stelle Informatikmittel nur für «die eigentlichen Aus- und Fortbildungsdienste» sicher. «Die Bedürfnisse der Miliz ausserhalb dieser Dienste, insbesondere für den grössten Teil der Vorbereitungsarbeiten durch die Kader (mit Ausnahme des Korpskommandanten) können im Rahmen der materiellen Sicherstellung der Armee nicht abgedeckt werden.» Es sei deshalb unumgänglich, dass die Miliz private Mittel einsetzt.

Informationschef Kalbermatten bestätigt, dass ein Teil der Miliz-Kommandanten zum Beispiel ihre privaten Laptops bei der Vorbereitung nutze. Das wäre gar nicht anders möglich, so Kalbermatten. Allerdings seien alle angewiesen, die Barriere zwischen der Aussenwelt und der VBS-Infrastruktur strikte einzuhalten und keine sensiblen Daten auf ihren ungesicherten Geräten zu handhaben. Die Armee führe spezifische Schulungen dazu durch und sensibilisiere Armeeangehörige auf die Problematik.

Die Revisoren geben Kalbermatten recht: Im Prüfbericht wird ausdrücklich gelobt, «dass im VBS in ausreichender Menge und in guter Qualität Weisungen und Richtlinien bestehen, welche den sicheren Umgang mit Informatikmitteln beschreiben.» Trotzdem empfiehlt der Bericht eine vertiefte Risikobeurteilung an der Schnittstelle zur Miliz.

(Redaktion Tamedia)