Iron – eisern sollte die Applikation sein, mit der die Smartphones von rund 2800 Beamtinnen und Beamten der Kantonspolizei Bern ausgerüstet sind: «MobileIron», so der Name. Allerdings: In MobileIron klaffte während einer unbestimmten Zeit eine Lücke. Die Kantonspolizei Bern bestätigte entsprechende Recherchen von «10vor10».
MobileIron ist ein weltweit verbreitetes Programm der Firma Ivanti, das die Verbindung zwischen Smartphones oder Laptops im Aussendienst und den Servern von Firmenzentralen sicherstellen soll. Die Medienstelle der Kantonspolizei Bern teilte auf Anfrage von SRF mit, man sei am 21. Juli vom Nationalen Zentrum für Cybersicherheit (NCSC) informiert worden, dass MobileIron von einer zuvor unbekannten Sicherheitslücke betroffen sei. Darauf sei die Lücke umgehend geschlossen worden.
Unbekannte waren jedoch schneller, wie die Mediensprecherin der Kantonspolizei Bern, Flurina Schenk, bestätigt: «Es ist damals tatsächlich zu einem Datenabfluss gekommen, und zwar ist es so, dass die Namen und Telefonnummern unserer Mitarbeitenden, die ein Mobiltelefon haben, das sind bei uns eigentlich alle Mitarbeitenden, abgeflossen sind.»
Wer die Daten entwendet hat, sei nicht bekannt, so die Kantonspolizei Bern. Strafrechtliche Schritte seien eingeleitet worden. Es gebe bisher keine Hinweise, dass die Daten im Internet veröffentlicht worden seien.
Erhöhtes Risiko für Cyberangriffe auf Polizei
Die Vornamen, Namen sowie Mobiltelefonnummern aller Berner Polizeibeamtinnen und -beamten: Das sind sensible Daten. Denn je mehr Informationen Angreifer über ein potenzielles Ziel haben, desto schwieriger ist es, den Angriff zu bemerken: So könnte die Mobilnummer etwa für Betrugs-Anrufe, vermeintlich von Polizist zu Polizist, missbraucht werden. Sollten auch E-Mail-Adressen abgeflossen sein, so würde dies das Risiko von Phishing erhöhen, also betrügerische Mails, die fast authentisch aussehen.
Die Kantonspolizei räumt ein, es bestehe die Gefahr gezielter Angriffe auf die Mitarbeitenden. Diese seien informiert und sensibilisiert worden.
Das Schadenspotential der MobileIron-Lücke sei aber noch grösser, sagt SRF-Digitalredaktor Guido Berger. Angreifer könnten über die Lücke theoretisch auf die Server gelangen und Schadsoftware installieren, sie könnten sich als Administratoren ausgeben und beispielsweise neue Apps auf die Smartphones installieren, alles aus der Ferne. Möglich sei auch, je nach Sicherheitsvorkehrungen, auf andere Server im Netzwerk zu gelangen, wie E-Mail-Server.
Einen Angriff dieser Grösse schliesst die Kantonspolizei Bern derzeit aus. Der Schaden begrenze sich nach heutigem Kenntnisstand auf das Entwenden der MobileIron-Nutzerdaten. Weiter in die Systeme hinein seien die Angreifer nicht vorgedrungen.
Zwölf Ministerien in Norwegen über «MobileIron» angegriffen
Dass in der App MobileIron eine Lücke klaffte, wurde international im Juli bekannt. Betroffen von der Sicherheitslücke sei eine «sehr begrenzte Anzahl von Kunden», schreibt Ivanti gemäss insite-it. Der Fachpresse sind Schätzungen zu entnehmen, die weit darüber hinaus gehen: Ungefähr 3000 MobileIron-Server seien online verfügbar, das lässt sich mittels Suchmaschinen eruieren. In der Schweiz sind es rund 70. Wie viele davon kompromittiert wurden, ist nicht bekannt. Die Firma Ivanti, Vertreiberin von MobileIron, hat auf eine Anfrage von SRF nicht reagiert.
Zu den Kunden gehört die norwegische Regierung, zwölf Ministerien sind über die Lücke angegriffen worden – dort drangen Angreifer bis zu Mail-Servern vor. Offenbar waren es die norwegischen Behörden, die die Lücke entdeckt und den Hersteller gewarnt hatten. Die Informatiksicherheitsstellen von Deutschland und den USA warnen inzwischen vor mehreren Sicherheitslücken in verschiedenen Versionen von MobileIron.
