Zum Inhalt springen

IT-Sicherheitslücke Kontaktdaten der gesamten Kantonspolizei Bern entwendet

Unbekannte haben eine Schwachstelle gefunden und sind an Namen und Mobilnummern der Polizisten gelangt – auch weitere Institutionen sind betroffen.

Iron – eisern sollte die Applikation sein, mit der die Smartphones von rund 2800 Beamtinnen und Beamten der Kantonspolizei Bern ausgerüstet sind: «MobileIron», so der Name. Allerdings: In MobileIron klaffte während einer unbestimmten Zeit eine Lücke. Die Kantonspolizei Bern bestätigte entsprechende Recherchen von «10vor10».

Schatten einer Person mit einem Computer
Legende: Bei der Kantonspolizei Bern und anderen Institutionen kam es zu einer Datenlücke. REUTERS/Archiv/Kacper Pempel

MobileIron ist ein weltweit verbreitetes Programm der Firma Ivanti, das die Verbindung zwischen Smartphones oder Laptops im Aussendienst und den Servern von Firmenzentralen sicherstellen soll. Die Medienstelle der Kantonspolizei Bern teilte auf Anfrage von SRF mit, man sei am 21. Juli vom Nationalen Zentrum für Cybersicherheit (NCSC) informiert worden, dass MobileIron von einer zuvor unbekannten Sicherheitslücke betroffen sei. Darauf sei die Lücke umgehend geschlossen worden.

Unbekannte waren jedoch schneller, wie die Mediensprecherin der Kantonspolizei Bern, Flurina Schenk, bestätigt: «Es ist damals tatsächlich zu einem Datenabfluss gekommen, und zwar ist es so, dass die Namen und Telefonnummern unserer Mitarbeitenden, die ein Mobiltelefon haben, das sind bei uns eigentlich alle Mitarbeitenden, abgeflossen sind.»

Wer die Daten entwendet hat, sei nicht bekannt, so die Kantonspolizei Bern. Strafrechtliche Schritte seien eingeleitet worden. Es gebe bisher keine Hinweise, dass die Daten im Internet veröffentlicht worden seien.

Erhöhtes Risiko für Cyberangriffe auf Polizei

Die Vornamen, Namen sowie Mobiltelefonnummern aller Berner Polizeibeamtinnen und -beamten: Das sind sensible Daten. Denn je mehr Informationen Angreifer über ein potenzielles Ziel haben, desto schwieriger ist es, den Angriff zu bemerken: So könnte die Mobilnummer etwa für Betrugs-Anrufe, vermeintlich von Polizist zu Polizist, missbraucht werden. Sollten auch E-Mail-Adressen abgeflossen sein, so würde dies das Risiko von Phishing erhöhen, also betrügerische Mails, die fast authentisch aussehen.

Die Kantonspolizei räumt ein, es bestehe die Gefahr gezielter Angriffe auf die Mitarbeitenden. Diese seien informiert und sensibilisiert worden.

«MobileIron» -Lücke gemäss Behörden «kritisch»

Box aufklappen Box zuklappen

«MobileIron» wird von der weltweit tätigen IT-Firma Ivanti vertrieben, inzwischen unter dem Namen «Endpoint Manager Mobile» (EPMM). Damit können Betriebe die Geräte ihrer Angestellten verwalten, etwa Laptops und Smartphones. So lassen sich Software-Updates vornehmen oder Zugriffsrechte steuern, und zwar über das Internet, was besonders praktisch ist bei Homeoffice oder mit vielen Aussendienstmitarbeitenden.

Das Nationale Zentrum für Cybersicherheit NCSC in der Schweiz schreibt zur MobileIron-Lücke auf Anfrage von SRF: Die Sicherheitslücke mit der Bezeichnung CVE-2023-35078 werde als «kritisch» eingestuft. Sie ermögliche es Angreifern, an persönliche Daten zu gelangen und die Anwendung vollständig zu kompromittieren.

Die Sicherheitslücke bei EPMM/MobileIron wurde international Ende Juli bekannt. So verbreitete etwa das Deutsche Bundesamt für Sicherheit in der Informatik (BSI) am 31. Juli eine Meldung, wonach Ivanti die Lücke geschlossen habe. Einige Tage darauf hat Ivanti weitere Sicherheitslücken am ehemaligen «MobileIron» kommuniziert und Patches zum Schliessen der Lücke bereitgestellt.

Das Schadenspotential der MobileIron-Lücke sei aber noch grösser, sagt SRF-Digitalredaktor Guido Berger. Angreifer könnten über die Lücke theoretisch auf die Server gelangen und Schadsoftware installieren, sie könnten sich als Administratoren ausgeben und beispielsweise neue Apps auf die Smartphones installieren, alles aus der Ferne. Möglich sei auch, je nach Sicherheitsvorkehrungen, auf andere Server im Netzwerk zu gelangen, wie E-Mail-Server.

Einen Angriff dieser Grösse schliesst die Kantonspolizei Bern derzeit aus. Der Schaden begrenze sich nach heutigem Kenntnisstand auf das Entwenden der MobileIron-Nutzerdaten. Weiter in die Systeme hinein seien die Angreifer nicht vorgedrungen.

Weitere Schweizer Institutionen von Lücke betroffen

Box aufklappen Box zuklappen

Die Kantonspolizei Bern ist offensichtlich nicht die einzige betroffene Institution in der Schweiz. Wie das Nationale Zentrum für Cybersicherheit (NCSC) auf Anfrage von SRF schreibt, ist die Schwachstelle bei MobileIron bei Organisationen im In- und Ausland ausgenutzt worden. In der Schweiz seien „erst wenige Opfer bekannt“.

Weiter schreibt das NCSC, es seien sowohl private Firmen als auch Organisationen der öffentlichen Verwaltung über die Schwachstelle informiert worden. Die Mehrheit der durch das NCSC informierten Organisationen stammten aus dem öffentlichen Sektor.

Über die Art und Qualität der Missbräuche könne man keine Auskunft geben, so das NCSC. Es sei jedoch zu betonen, dass nicht bei allen von der Sicherheitslücke betroffenen Organisationen ein Missbrauch stattgefunden habe.

Zwölf Ministerien in Norwegen über «MobileIron» angegriffen

Dass in der App MobileIron eine Lücke klaffte, wurde international im Juli bekannt. Betroffen von der Sicherheitslücke sei eine «sehr begrenzte Anzahl von Kunden», schreibt Ivanti gemäss insite-it. Der Fachpresse sind Schätzungen zu entnehmen, die weit darüber hinaus gehen: Ungefähr 3000 MobileIron-Server seien online verfügbar, das lässt sich mittels Suchmaschinen eruieren. In der Schweiz sind es rund 70. Wie viele davon kompromittiert wurden, ist nicht bekannt. Die Firma Ivanti, Vertreiberin von MobileIron, hat auf eine Anfrage von SRF nicht reagiert.

Zu den Kunden gehört die norwegische Regierung, zwölf Ministerien sind über die Lücke angegriffen worden – dort drangen Angreifer bis zu Mail-Servern vor. Offenbar waren es die norwegischen Behörden, die die Lücke entdeckt und den Hersteller gewarnt hatten. Die Informatiksicherheitsstellen von Deutschland und den USA warnen inzwischen vor mehreren Sicherheitslücken in verschiedenen Versionen von MobileIron.

10vor10, 18. August 2023, 21:50 Uhr

Meistgelesene Artikel