Wie der SRF, der Schweizer Rundfunk am Freitag 18.08.23 berichtete berichtete, sorgte eine Schwachstelle in der MDM Applikation MobileIron des kalifornischen Security Softwareherstellers Ivanti Inc. mit Hauptsitz in Mountain View, Santa Clara County, Kalifornien, für einen Abfluss von Daten von 2.800 Namen und Mobiltelefon-Nummern der Beamten der Kantonspolizei Bern.
Weiter berichtet das SRF das auch weitere Kunden von Ivanti Inc. , darunter 12 Ministerien in Norwegen über die gleiche Schwachstelle angegriffen wurden, und bis zu den Mail-Servern der Ministerien vordrangen.
Womit sich erneut die Frage nach der Sinnhaftigkeit von geschlossenen mobilen Betriebssystemen wie dem iOS von Apple stellt, auf welche Security Hersteller nur technisch aufsetzen können ohne selbst auf Kernelebene einzugreifen oder zu überwachen. Hier sind Android Systeme die auf dem Linux Kernel basieren als Mobile Devices deutlich zu bevorzugen und auch technische Aufklärung in den Diensstellen und Firmen zu betreiben, damit Cybersicherheit wirken kann. Es sollte aber auch innerhalb der kantonischen Ploizei Bern die Frage gestellt werden, weswegen es im 21. Jahrhundert und ausreichend verfügbaren Securitywissens noch möglich ist Wunschsmartphones anzuschaffen und nicht auf die Risiken solcher mobilen Plattformen hinzuweisen.
Dieser Datenverlust zeigt auch auf, dass offenbar nur eine unzureichende Schwachstellen und technische Architekturprüfung der MobileIron Enterprise Applikation im Vorfeld der Anschaffung erfolgt ist. Behördern sollten sich dabei nicht nur auf die Aussagen der Hersteller verlassen sondern auch eigene Kapazitäten aufbauen – um zumindest die wichtigsten Schwachstellenangriffe selbst durchführen zu können. Ja natürlich hierfür könnten auch regionale Rechenzentren Kapazitäten ausbauen, oder vermehrt Spezialisten mit der Archtiekturprüfung beauftragen. Das hängt natürlich auch von der Bezahlung ab die Security Spezialisten anlockt und nicht vom öffentlichen Dienst abschreckt.
Oder es wäre ein sinnvolle Ergänzung sich Information Security Officer und um CISO’s zu bemühen die eindeutig per technischer Spezialiserung in der IT-Sicherheitsinformatik zu Hause sind. Die Cipher Punks hatten einmal als Codex: ‘Jeder von uns coded’ – Eine Tugend die sicherlich auch die Enterprise Security positiv und die ISMS verbessern würde, denn Theorie der Sicherheit ist eine Sache, die realen Schwachstellen die technischer Natur sind; Eine Andere.
Natürlich senden wir die Hinweise wieder einmal an den freundlichen unbekannten Server im Nirvana.