Als das Leck bekannt wurde, sei die Nervosität in der Verwaltung gross gewesen, sagt Armeesprecher Daniel Reist.

«Die Sicherheitslücke war viel gravierender, als die Pressemitteilung der Armee vom letzten Donnerstag vermuten lässt»: Das sagt der ehemalige Soldat, der Ende Februar das IT-Leck entdeckt und der Armee gemeldet hat. So habe er – zuerst auf der LMS-Plattform selbst und danach über einen Proxy – auf Tausende Datensätze zugreifen können.

Entschädigung von 100 Franken

Er sei von der Datenflut auf der Armeeplattform überrascht worden, sagt der Mann. «Weil ich meinen Impfausweis in der Rekrutenschule verloren hatte, suchte ich im LMS einfach nach einer Adresse, die mir weiterhelfen könnte.» Er habe nicht damit gerechnet, auf ein solches IT-Leck zu stossen. Pflichtbewusst habe er die Sicherheitslücke sofort der Armee gemeldet, die ihn daraufhin kontaktierte und anschliessend seinen persönlichen Zugang zum LMS sperrte.

«Doch zu meinem grossen Erstaunen konnte ich mich als Gast registrieren und erhielt genau dieselbe Anzahl Datensätze mit den gleichen Parametern», so der Ex-Soldat. Diese seien auch komplett anonym über das sogenannte Tor-Netzwerk zugänglich gewesen. «Das heisst: Jeder hätte darauf zugreifen können – zum Beispiel aus Russland oder aus den USA.» Als Belohnung für die ordnungsgemässe Meldung und Unterstützung habe ihm die Armee eine Entschädigung von 100 Franken in Aussicht gestellt.

Armee: «Keine geheimen Informationen»

Auf Anfrage von 20 Minuten bestätigt die Armee den Sachverhalt: «Dank seinen internen Kenntnissen hatte der Ex-Soldat Einsicht in etwa 250’000 Datensätze», sagt Markus Eggli, Chef E-Learning der Armee. «Bei den im Hintergrund übermittelten Daten handelte es sich jedoch nicht um geheime Informationen: Die Telefonnummern und E-Mails der meisten Verwaltungsangestellten sind im Internet frei zugänglich.» Auch die Angaben der abgespeicherten rund 20 NDB-Mitarbeitenden in der Verwaltung und Bundesräten seien nicht als geheim klassifiziert.

Die Aussage, dass die Sicherheitslücke von jedem User ausgenutzt werden konnte, treffe nicht zu, sagt Danilo Loepfe, Head of Sales bei der Firma Swissteach, der Herstellerfirma der LMS-Plattform der Armee: So musste man im LMS registriert sein, um die Sicherheitslücke auszunutzen. Ausschliessen, dass trotzdem Informationen ins Ausland abgeflossen sind, will er trotzdem nicht: «Eine hundertprozentige Sicherheit gibt es nie – laut unseren Informationen kam es zu keinem solchen Hacker-Angriff.»