VBS-Angestellte fallen auf die ältesten Hacker-Tricks herein

Cyberattacken sind die Atombomben des 21. Jahrhunderts. Hacker können Kraftwerke kapern, die AHV-Kassen plündern oder Stauseen fluten. Falls sie in die entsprechenden Systeme vordringen können. Um das zu verhindern, hat der Bundesrat die nationale Strategie zum Schutz vor Cyber-Risiken eingeführt und ihr am Freitag ein zufriedenstellendes Zwischenzeugnis ausgestellt. Bloss: Wie soll man sich schützen, wenn die grösste Gefahrenquelle die eigenen Angestellten sind?

Die «SonntagsZeitung» berichtete (Artikel hinter einer Paywall), dass das Bundesamt für Verteidigung, Bevölkerungsschutz und Sport (VBS) bei 10 500 Berufsmilitärs und 1500 Angestellten des Bundesamts für Bevölkerungsschutz und der Rüstungsbeschaffungsstelle Armasuisse prüfte, wie sensibilisiert sie für IT-Bedrohungen sind. Die Tests sollen «unerfreulich» ausgefallen sein, berichtet die «SonntagsZeitung» mit Verweis auf «Quellen, die Einblick in die Auswertungen hatten». Um die Angestellten zu kontrollieren, dachten sich Spezialisten des Militärischen Nachrichtendienstes einen dreistufigen Test aus. In der ersten Prüfung wurden die VBS-Angestellten mit Rabattversprechen auf einen angeblichen Webshop der Verwaltung gelockt. Um von den Vergünstigungen zu profitieren, mussten die Angestellten die PIN ihrer Smartcard eingeben, mit der sich Bundesangestellte ins gesicherte Informatiknetz einloggen. Gemäss dem Artikel hätten die Angestellten reihenweise die vertraulichen Angaben verraten.

Für den zweiten Test wurde eine dem Anschein nach falsch adressierte interne Mail versendet, der eine Lohntabelle des Amts als Excel-Datei angehängt war. Bloss: wer sie anklickte, hätte im Ernstfall ein schädliches Computerprogramm gestartet. Auch hier sollen viele Angestellte der Verlockung erlegen und in die Falle getappt sein. Für die dritte Prüfung liess der militärische Nachrichtendienst in den Büros des VBS USB-Sticks mit der Aufschrift «vertraulich» herumliegen. Wer seine Neugier nicht in Zaum halten konnte und den Stick in seinen Computer einsteckte, erhielt die Nachricht: «Haben Sie die darauf enthaltene Datei geöffnet? Dann sind Sie Opfer eines Cyber-Angriffes geworden». Wie viele Personen bei welchen Tests versagten, ist nicht bekannt. Genaue Ergebnisse liegen nicht vor, das VBS nimmt dazu keine Stellung. Armeesprecher Walter Frik bestätigte in der Zeitung, dass Tests zur IT-Sicherheit stattgefunden hätten. Mehr konnte er «aus Sicherheitsgründen» nicht sagen. Der Armeestab informierte die Verantwortlichen über die schlechten Testresultate. In einzelnen Abteilungen sollen Nachbereitungen stattgefunden haben.