Im Reich der «Schatten-Informatik»

Private Mailserver, ominöse Netzwerke und sensible Daten in fremden Händen: Revisoren stossen auf Lücken, die es ermöglichen könnten, in das Netz des Militärs einzudringen.

Wie sicher sind die Informatiksysteme der Schweizer Armee? Ein Bericht der internen Revision des Verteidigungsdepartements (VBS) offenbart Lücken, die es ermöglichen könnten, in das Netz des Militärs einzudringen oder Daten von Soldaten abzuschöpfen. Teils haben die Lücken schier irrwitzige Züge. Aufhorchen lässt besonders, was die Prüfer auf dem Waffenplatz Bure im Jura vorfanden. Bei ihrem Besuch im Frühjahr bemerkten sie, «dass verschiedene WLAN-Zugangspunkte bestehen, deren Ursprung vor Ort nicht genau bekannt ist». Ebenso wenig konnten die Revisoren in Erfahrung bringen, an welche Netzwerke die Geräte angeschlossen sind.

Im Klartext: An einem der zentralen Standorte der Schweizer Armee gibt es Verbindungen ins Internet, von denen die Verantwortlichen nicht wissen, woher sie kommen. Das berge Risiken, warnen die VBS-Prüfer. Schlimmstenfalls könnten Hacker darüber in Netzwerke der Armee eindringen.

Höheres Sicherheitsrisiko
Der Prüfbericht der Revisoren lässt keine Zweifel daran, um was es geht: «Schatten-Informatik», lautet dessen Titel. Die Experten fahndeten nach Software und Hardware, die Mitarbeiter und Soldaten auf eigene Faust einsetzen.

«Schatten-Informatik», das bedeutet konkret: Es werden Netzwerkkabel gelegt, Router installiert oder Programme ausserhalb der offiziellen Systeme benutzt, obwohl Regelwerke genau das eigentlich verbieten. Was in vielen Fällen pragmatisch erscheinen mag, schafft heikle Lücken und erleichtert es Hackern, in eine Infrastruktur einzudringen. Der Albtraum eines jeden Sicherheitsverantwortlichen.

Bundesrat Parmelin beauftragte die Revisoren mit einer allgemeinen Risikoeinschätzung in seinem Departement. Insgesamt offenbare ihre Prüfung im VBS ein «gutes Gesamtbild», halten sie nach getaner Arbeit fest. Schlecht weg kommt jedoch ausgerechnet die Armee. Bei der Gruppe Verteidigung bestehe Handlungsbedarf, heisst es. Besonders problematisch: Die von den Prüfern identifizierte «Schatten-Informatik» werde «allesamt für militärische Zwecke eingesetzt».

Urlaubsgesuche auf fremden Servern
Im Fall des Waffenplatzes Bure ist die Situation verworren. Man habe schlicht nicht klären können, wo die WLAN-Geräte genau stehen und wie sie vernetzt seien, konstatieren die Prüfer. Zumindest bei einem Gerät liege die Vermutung nahe, dass ein Armeeangehöriger es selbst installiert und nach Dienstende nicht deaktiviert habe. Die VBS-Revisoren sehen solche eigenhändige Installationen kritisch. Zumindest saubere Inventarlisten seien unabdingbar.

Die Visite in Bure war eine Stichprobe. Wie sich die Lage an anderen Standorten der Armee präsentiert, ist offen. Genauer angeschaut haben sich die Prüfer auch die Schnittstellen zwischen dem VBS und der Miliz-Armee – ihr Befund ist wenig schmeichelhaft. Oft werde Hardware oder Software privater Natur verwendet, «um dienstliche Aufgaben effizienter erledigen zu können». Drei Beispiele:

In der Führungsunterstützungsbrigade 41, der grössten ihrer Art, haben Armeeangehörige selber einen Mailserver installiert, um untereinander zu kommunizieren. Der Server wird mit Geldern der Armee finanziert, betrieben allerdings von einer externen Firma. Die Prüfer bemängeln das, weil der Server ganz klar einen militärischen Zweck habe.
Für Argwohn sorgen private Websites mit militärischem Nutzen, namentlich das Portal «urlaubsgesuch.ch». Dieses privat betriebene, kostenpflichtige Angebot nennt sich «Schweizer Plattform für online Urlaubsgesuche im Militär». Soldaten können ihre Gesuche darüber einreichen, inklusive Beilagen wie Briefe des Arbeitgebers, Vorladungen oder Buchungsbestätigungen. Vor allem aber bietet das Portal den Führungspersonen die Möglichkeit, die Gesuche zu bewirtschaften und Statistiken darüber zu führen. Die Website stösst bei Kadern auf Anklang. Sie reduziere den Arbeitsaufwand signifikant, lässt sich ein Kommandant zitieren. Bedenklich dabei: Sensible Personendaten verlassen die Armee und landen auf auswärtigen Servern.
In welchem Zustand befindet sich ein Militärfahrzeug? Solche Informationen der Bewirtschaftung sind wichtig und sollten nicht in fremde Hände gelangen. Die Software zur Instandhaltungslage aller betreuten Fahrzeuge auf dem Waffenplatz Bure ist eine Eigenentwicklung eines Armeeangehörigen. Das Tool wird jeweils einfach von Zugführer zu Zugführer weitergegeben – auf einem USB-Stick.

Die «Schatten-Informatik» bei der Miliz ist aus Sicht der internen Revision gleich doppelt fragwürdig. Einerseits, weil «sensitive Daten allenfalls ungenügend geschützt sind und daher in falsche Hände geraten könnten». Anderseits führten von privater Seite entwickelte Programme bisweilen zu «ungewollten Abhängigkeiten».

Das Problem der Miliz
Die Gruppe Verteidigung nimmt die Befunde zur Kenntnis – und zeigt sich damit sogar «mehrheitlich einverstanden», wie sie in einer Stellungnahme zuhanden der internen Revision betont. Die WLAN-Zugangspunkte etwa seien überprüft und aktualisiert worden. «Kritisch und verboten» seien bei der Miliz allerdings nur diejenigen Geräte, die mit VBS-Infrastruktur verbunden sind.

Ohnehin dürfe man hinsichtlich «Schatten-Informatik» nicht vergessen: Die Armee stelle Informatikmittel nur für die eigentliche Ausbildung zur Verfügung. Insbesondere die Vorbereitungsarbeiten der Miliz-Kader könnten in diesem Rahmen «nicht abgedeckt werden», heisst es. «Es ist deshalb für die Miliz unumgänglich, private Mittel einzusetzen.» Mit technischen und organisatorischen Massnahmen könne man die Risiken aber minimieren, sodass die Sicherheit nicht beeinträchtigt werde. Was damit konkret gemeint ist, bleibt unklar. Auf Anfrage wollte sich ein Armee-Sprecher nicht über die offizielle Stellungnahme hinaus äussern.

Speicherdienste: Kampf gegen Wildwuchs

Jeder Informatiker kann ein Lied davon singen: Die Sicherheitsmassnahmen in einer Organisation können noch so gut sein – Schwachpunkt bleibt der Mensch. Brenzlig wird es, wenn Mitarbeiter auf eigene Faust neue Software installieren. Die Informatikabteilung hat dann keinen Einfluss mehr, und Hackern öffnet sich ein potenzielles Einfallstor. «Schatten-Informatik» werde «mehrheitlich aus unbefriedigten Bedürfnissen» verwendet, schreibt die interne Revision des Verteidigungsdepartements (VBS) zu diesem Thema. Will heissen: Die offiziellen Informatikangebote sind aus Mitarbeitersicht offenbar ungenügend.

Der rasche technologische Fortschritt befördert den Wildwuchs. Besonders heikel ist, wenn Online-Speicherdienste wie Dropbox oder Google Drive für berufliche Aufgaben genutzt werden. Diese sind schnell und kostengünstig, Daten können von mehreren Geräten aus gleichzeitig bearbeitet werden. Im VBS ist es gemäss internen Richtlinien zwar grundsätzlich verboten, solche Speicherdienste dienstlich zu verwenden. Regeln allein genügten aber nicht, mahnen die Revisoren. Das VBS müsse die sogenannten Sperrlisten regelmässig aktualisieren und so die Nutzung von Speicherdiensten technisch blockieren.

Dieser Text erschien am 9. November 2018 in den Zeitungen der Redaktion CH Media.

(Foto: Archiv CH Media)