Ungereimtheiten

Standard

 

Der Bund und die Informatik! Die unendliche Geschichte erhält ein neues Kapitel: Das VBS und die IT-Sicherheit.

Wir halten uns an die Zwei-Quellen-Regel: konkret an das VBS-Communiqué vom 4. März 2021 und an die heutige NZZ, Seite 9. Es geht um:

  • einen jungen, unbescholtenen Schweizer, der mit wenigen Kniffen an gut 400’000 Datensätze gelangte: “Die Handynummer des Armeechefs, persönliche E-Mail-Adressen einiger Bundesräte, Namen und Kontaktangaben von Mitarbeitern des NDB oder des Bundesamtes für Polizei.” Dies meldete der junge Schweizer pflichtgemäss, wofür er 100 Franken Belohnung erhielt.
  • Schon im Januar fand ein Zug der Cyber-RS in Jassbach, unbestritten eine Eliteformation, eine Sicherheitslücke in der E-Learning-Plattform LMS. Der Server, der von der RUAG bedinet wird, war “falsch programmiert.”

Zum Glück haben wir die Cyber-RS

Zum auch für Armeegegner unerschöpflichen Themenkomplex “VBS und IT” türmt sich ein Berg von Ungereimtheiten auf:

  • Wie konnte es geschehen, dass registrierte Nutzer an Daten gelangten, die ihnen nicht zustanden?
  • Gravierender noch: Wie gelang das jeder und jedem, wenn er nur die richtig Web-Adresse besass?
  • Wie konnte die RUAG den Server des weit herum verbreiteten LMS-Learnings “falsch progammieren”? Ohne dass das unsere Sicherheitsspezialisten entdeckten, denen zum Glück ein Jassbacher RS-Zug auf die Sprünge half?

Zur Identifikation des “ausgeschiedenen Rekruten”

Truth will out! Nun sucht das VBS Transparenz, soweit das die Regeln der Geheimhaltung zulassen. Der Transparenz würde die korrekte Identifikation des jungen Schweizers auch ohne dessen Namensnennung dienen. Verwirrlich ist der erste Satz des NZZ-Textes, die den jungen Mann als “ausgeschiedenen Rekruten” darstellt.

  • Schied er aus der RS aus, aus der Armee? Lief er zu den Zivis über? Wenn er die RS ohne Fehl und Tadel beendete und in einer Miliz-Einheit eingeteilt wurde, was anzunehmen ist, dann war er richtig bezeichnet “ausexerziert”, aber gewiss nicht ausgeschieden.
  • Warum wird er nicht mit seiner korrekten Funktion und dem neuen Grad identifiziert? Das wäre auch militärisch gute Kommunikation und würde die Rätsel auflösen.
  • Und dann die Belohnung. In der alten Armee oder in ausländischen Streitkräften hätte er gebührenden Dank und eine positive Hervorhebung verdient. Erhielt er 100 Franken, bekommt dann der Soldat, der in einem riskanten Einsatz drei Kameraden das Leben rettete, 300 Franken?

Insgesamt eine Bilanz zum Nachdenken

So unbestritten es ist, das nach wie vor “booths on the ground”, die Kampftruppen, den Krieg entscheiden, so gewiss ist auch, dass wir in einem künftigen hybriden Krieg unsere digitale Abwehr gewaltig stärken müssen.

In der Nacht zum 1. März 2014 besetzte die russische Armee die Krim, ohne einen einzigen Schuss abzugeben. In einer umfassenden Cyber-Aktion hatte sie den Gegner total lahmgelegt. Die Ukraine stand wehrlos da, als Speznaz-Verbände ohne Funktions- Grad- und Hoheitabzeichen die Krim übernahmen.

Die neuen Meldungen geben zu denken. Bis unsere digitale Verteidigung steht, gibt es noch viel zu tun, im VBS, in der Armee, in der RUAG. Wenn ein junger, unschuldiger Schweizer an 400’000 Datensätze gelangt – warum soll das auch nicht Kräften, die uns böse gesinnt sind, gelingen, zum Beispiel feindlichen Geheimdiensten?