Rasche Reaktion auf Vorkommnisse im LMS der Armee
Bern, 10.03.2021 - Am gestrigen Dienstag wurde in verschiedenen Medien ein Bericht über ein Datenleck im Learning Management System (LMS) der Armee berichtet, welches über Wochen hinweg nicht behoben worden sein soll. Dies entspricht nicht den Tatsachen. Richtig ist, dass es innerhalb eines Monats zwei voneinander unabhängige Feststellungen über Mängel im LMS gab, die je innert Stunden angegangen wurden.
Am 25.1.2021 meldete die Cyber-Rekrutenschule ihrer vorgesetzten Stelle und der LMS Task Force des Kommandos Ausbildung eine Schwachstelle im System, welche es verschiedenen Nutzern ermöglichte, in Daten anderer Einsicht zu nehmen.
Die Task Force LMS stellte rasch einen Konfigurationsfehler im System fest, der verschiedenen Nutzern falsche Rollen und Berechtigungen zugeteilt hatte. Dieser Konfigurationsfehler wurde innert Stunden behoben.
Zwei voneinander unabhängige Vorkommnisse
Am 24.2.2021 meldete zudem ein registrierter Nutzer der Plattform der Datenschutzstelle des Bundes eine zweite mögliche Sicherheitslücke, die von der ersten, am 25.1.2021 nach heutigen Erkenntnissen unabhängig ist. Nach seinen Angaben hatte er im LMS VBS eine Möglichkeit gefunden, Daten wie beispielsweise Mailadressen oder Personalnummern von im LMS registrierten Benutzerinnen und Benutzern einzusehen. Der Betreiber hat zusammen mit der Herstellerfirma umgehend Massnahmen zur Behebung der Schwachstelle getroffen.
Die Lücke, welche durch den Nutzer auf Grund seines Systemzugangs als Rekrut und vorhandenen Kenntnissen auszumachen war, wurde im Bereich einer Schnittstelle zwischen einer alten, noch aktiven Version der Lernplattform und der aktuellen Benutzeroberfläche lokalisiert. Der Betreiber hat zusammen mit der Herstellerfirma umgehend Massnahmen zur Behebung der Schwachstelle getroffen.
Um die Sicherheit des LMS Systems zu verbessern, werden verschiedene Massnahmen ergriffen, unter anderem werden fortlaufend Sicherheitstest durchgeführt.
Adresse für Rückfragen
Daniel Reist
Armeesprecher
+41 58 464 48 08
Herausgeber
Gruppe Verteidigung
http://www.vtg.admin.ch
Generalsekretariat VBS
https://www.vbs.admin.ch/
