MobileIron: Diebstahl persönlicher Daten von Polizei-Mitarbeitern in der Schweiz
Durch einen Datendiebstahl, ermöglicht durch eine Zero-Day-Schwachstelle in MobileIron, flossen persönliche Daten der Mitarbeiter der Berner Kantonspolizei ab.
(Bild: muhammadtoqeer/Shutterstock.com)
- Tom Sperlich
Die Kantonspolizei Bern ist Opfer einer Sicherheitslücke in der Mobile-Device-Managementsoftware MobileIron von Ivanti geworden. Das berichtete das Nachrichtenmagazin "10 vor 10" des Schweizer Fernsehens SRF am Freitagabend. Betroffen sind alle 2800 Beamten der Kantonspolizei mit einem Smartphone, auf dem MobileIron installiert ist – also die komplette Belegschaft. Ihre Namen und Telefonnummern seien von Cyberkriminellenerbeutet worden.
Alle Mitarbeiter mit Smartphone betroffen
Es sei zu einem Datenabfluss gekommen, bestätigte eine Mediensprecherin der Kantonspolizei in der Nachrichtensendung. Der Schaden begrenze sich auf den Diebstahl der persönlichen Daten, weiter ins System seien die Angreifer nicht vorgedrungen. Man sei am 21. Juli vom Nationalen Zentrum für Cybersicherheit (NCSC) informiert worden, dass MobileIron von einer Sicherheitslücke betroffen sei, so die Kantonspolizei. Es handelte sich laut NCSC um die Zero-Day Schwachstelle CVE-2023-35078, die als "kritisch" eingestuft ist, so das SRF.
Die Lücke in MobileIron (jetzt Endpoint Manager Mobile, EPMM) ermögliche es Angreifern, an persönliche Daten zu gelangen und die Anwendung vollständig zu kompromittieren, so das NCSC. Zwar sei die Lücke umgehend geschlossen worden, doch war es bereits zu spät. Wer die Namen und Telefonnummern entwendete, ist unbekannt, strafrechtliche Schritte wurden eingeleitet. Bislang gebe es keine Hinweise auf eine Nutzung oder ein Angebot der abgeflossenen Daten im Darknet.
Durch den Datenleak steige die Gefahr gezielter Angriffe auf die Polizei-Mitarbeiter, etwa mittels Spoofing (dem Vortäuschen einer falschen Identität), so die Kantonspolizei. Die Mitarbeiter seien informiert und sensibilisiert worden. Aber auch die Gefahr von Angriffen auf erreichbare Management- und Mail-Server steige durch solche Schwachstellen. Die Firma Ivanti äußerte sich auf Nachfragen von 10 vor 10 nicht dazu, hieß es in der Sendung.
MobileIron/EPMM ist eine Applikation, mit der Mitarbeiter ihr Smartphone mit den Servern ihres Arbeitgebers verbinden können. Sie wird weltweit eingesetzt. Sicherheitslücken wurden deshalb auch international bekannt. Ende Juli informierte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) über Schwachstellen in MobileIron/EPMM. Und die nationale Sicherheitsbehörde Norwegens teilte kurz zuvor mit, dass die Schwachstelle für Angriffe auf zwölf norwegische Ministerien verwendet wurde.
(tiw)
