Datenpanne bei Armee: Zwei Sicherheitslücken in einem Monat gemeldet
In einem Monat wurden auf der Lernplattform der Schweizer Armee gleich zwei Sicherheitslücken gefunden. Die Armee nimmt nun Stellung zu den Datenpannen.
Das Wichtigste in Kürze
- Auf der Lernplattform der Armee wurden in einem Monat zwei Sicherheitslücken gefunden.
- Das Militär nahm nun Stellung zu Medienberichten, wonach die Lecks über Wochen bestanden.
- Beide Probleme seien innerhalb weniger Stunden behoben worden.
Nicht eine, sondern zwei Sicherheitslücken hat die Lernplattform LMS der Armee innerhalb eines Monats aufgewiesen.
Das Militär nahm am Dienstag Stellung zu Medienberichten, wonach ein Datenleck über Wochen hinweg nicht behoben worden sei.
Zwei Datenpannen in einem Monat
Richtig sei, dass beide Lecks innerhalb weniger Stunden gestopft wurden. Die Lecks seien unabhängig voneinander entdeckt worden, teilte der Informationsdienst der Armee am Abend mit. Am 25. Januar meldete die Cyber-Rekrutenschule demnach eine Schwachstelle im Learning Management System (LMS).
Diese erlaubte es Nutzenden, sich die Daten anderer Personen anzusehen. Grund war ein Konfigurationsfehler, der verschiedenen Nutzenden falsche Rollen und Berechtigungen zugeteilt hatte. Dieser Fehler wurde nach Darstellung der Armee innert Stunden behoben.
Am 24. Februar meldete ein Nutzer der Lernplattform der Datenschutzstelle des Bundes eine zweite mögliche Sicherheitslücke. Nach seinen Angaben hatte er eine Möglichkeit gefunden, sich Zugriff zu Daten wie Mailadressen oder Personalnummern anderer Nutzender zu verschaffen. Der Betreiber ergriff zusammen mit der Herstellerfirma umgehend Massnahmen zur Behebung der Schwachstelle.
Sicherheitslücken nicht voneinander abhängig
Nach aktuellen Erkenntnissen der Armee handelt es sich dabei um zwei voneinander unabhängige Sicherheitslücken. Die Lücke beim zweiten Vorfall liess sich an einer Schnittstelle zwischen einer alten, noch aktiven Version der Lernplattform lokalisieren. Der meldende Rekrut fand die Schwachstelle aufgrund seiner Computerkenntnisse.
Wie die Armee weiter schreibt, unterzieht sie das System laufend erneuten Sicherheitstests. Zur Verbesserung der Sicherheit würden verschiedene Massnahmen ergriffen.
Die erste Sicherheitslücke war am 4. März bekannt geworden. Damals meldete die Armee, bei einer Überprüfung seien keine unberechtigten Zugriffe auf Daten ans Tageslicht gekommen. «20 Minuten» hatte am Dienstag berichtet, die Armee wisse seit Ende Januar von einer Sicherheitslücke in dem Lernsystem.
Die Lernplattform LMS wird von Angehörigen der Armee sowie von Mitarbeitenden des Bundes für Ausbildungen, Kurse und virtuelle Sitzungen genutzt.
