VerteidigungArmee verschweigt gefährliche Lücken in der IT-Sicherheit
sob
3.7.2020
Ausgerechnet die Armee hat Sicherheitslücken im IT-Bereich und schweigt. Bestehende Mängel in den Computersystemen könnten von Angreifern ausgenützt werden. Nun schlägt die Finanzkontrolle Alarm.
Die Bundesverwaltung kennt minimale Vorgaben im Bereich IT-Sicherheit, die alle Departemente und Ämter erfüllen müssen. Ist ihnen das nicht möglich, brauchen sie eine Ausnahmebewilligung. Vorgeschrieben ist etwa, dass die Festplatten auf allen Rechnern verschlüsselt sein müssen, damit sie auch im Fall eines Diebstahls geschützt sind. Oder dass die Topologie der IT-Netzwerke inklusive ihrer Komponenten und Konfigurationen stets aktuell dokumentiert sein muss.
Jetzt kommt ans Tageslicht, dass die Armee längst nicht alle Vorgaben eingehalten und dafür auch keine Ausnahmebewilligung eingeholt hat. Das geht aus dem Bericht «Informatiksicherheit Bund 2019» hervor, den die NZZ gestützt auf das Öffentlichkeitsgesetz erhalten hat, wie die NZZ schreibt. Schlimmer noch: Die Armee hat die gravierenden Mängel auch intern verschwiegen.
Bei externer Kontrolle aufgeflogen
Die Sicherheitslücken kamen erst bei einer Kontrolle zutage – denn das Verteidigungsdepartement hatte sie nicht vorschriftsgemäss rapportiert. Entdeckt wurden die Mängel durch die Eidgenössische Finanzkontrolle Ende letzten Jahres bei einer Prüfung. Sie waren so gravierend, dass die Finanzkontrolle umgehend den Bundesrat informiert hat, wie deren Direktor Michel Huissoud gemäss NZZ bestätigt. Das war am 13. Dezember 2019.
Die Prüfer der Finanzkontrolle waren dem Vernehmen nach überzeugt, dass die Cyberexperten die Sicherheitslücken bewusst nicht gemeldet hatten. So war dies zumindest auch in einer ersten Version des Berichts festgehalten, wie die NZZ weiter schreibt.
Armee setzt sich bewusst über Regeln hinweg
Dazu passe auch die in der Armee vorhandene Ansicht, dass zivile Stellen keine Aufsicht über die Waffensysteme von Luftwaffe oder Heer ausüben könnten. In dieser Logik müssten sich die Cyberexperten auch nicht für Sicherheitsmängel rechtfertigen oder dafür gar eine Ausnahmebewilligung einholen – obwohl die entsprechenden Verordnungen des Bundesrats eigentlich klar sind. Brisant: Der Chef der Cyberexperten-Basis war von 2018 bis Ende 2019 der heutige Armeechef Thomas Süssli.