IT-Sicherheit sorgt im Bund für Verständigungsprobleme

In einem Untersuchungsbericht moniert die Eidgenössische Finanzkontrolle, dass im Bund eigentlich jeder alles machen kann, wenn IT-Sicherheitsprobleme auftreten. Einheitliche Richtlinien und verstärkte Kompetenzen werden gefordert.

» Von Fabian Vogt , 29.04.2014 12:05.

weitere Artikel

Leistungserbringer und -bezüger des Bundes haben Kommunikationsschwierigkeiten bei IT-Sicherheitsvorfällen. Dies sagt ein Bericht der Eidgenössischen Finanzkontrolle (EFK), der in Kürze auf www.efk.admin.ch veröffentlicht werden wird und Computerworld vorab zugestellt wurde. Der Bericht ist aus dem Jahr 2012 und moniert unter anderem, dass es keine bundesweiten Security Incident Management Prozesse gibt. Die Folge: Die Leistungserbringer definieren eigene Prozesse und Kriterien für die Einstufung und Priorisierung eines Sicherheitsvorfalls. Einheitliche Kriterien, wann ein Vorfall als kritisch einzustufen ist, bestehen nicht. 

Die zwei grössten der acht untersuchten Leistungserbringer, das Bundesamt für Informatik (BIT) und die Führungsunterstützungsbasis (FUB), die das VBS betreut, machen es besser als der Rest. Sie besitzen Teams für die Erkennung und Bewältigung von sicherheitsrelevanten Vorfällen. Allerdings sei die Kommunikation zwischen den beiden Teams ebenfalls verbesserungswürdig, es fände lediglich ein informeller Informationsaustausch statt, für den aber keine verbindliche Basis bestehe, heisst es im Bericht.

ISB braucht mehr Einfluss

Durch die fehlenden Grundlagen werde das Informatiksteuerorgan des Bundes (ISB) nicht immer zeitgerecht in Vorfälle involviert, schreibt die EFK. Sie unterstützt darum eine starke Führungsrolle des ISB in übergeordneten Sicherheitsbelangen. Diese würde auch helfen, eine weitere Schwachstelle zu beseitigen, den nicht koordinierten horizontalen Informationsaustausch zwischen den Leistungserbringern.

Doch auch dem ISB werden selbst verschuldete Kommunikationsprobleme bescheinigt. Wenn schwerwiegende Sicherheitsereignisse eintreten und die Bundesanwaltschaft eingeschaltet wird, sei das ISB unsicher, wie die Leistungserbringer informiert werden sollen. Denn die Bundeanwaltschaft beansprucht immer Informationshoheit. Das ISB möchte aber die IT-Verantwortlichen informieren können und muss dazu teilweise Einzelheiten aus dem Vorfall bekanntgeben. Da die Bundesanwaltschaft dem zustimmen muss und das offenbar nicht immer tut, erhalten die Leistungserbringer keine vollständigen Informationen. Aus Sicht der EFK ist in solchen Fällen «klar abzuwägen zwischen den strafrechtlichen und sicherheitsbezogenen Aspekten mit dem Ziel, der Alarmierung der betroffenen Stellen Priorität einzuräumen». ISB und die Bundesanwaltschaft sollten sich darum darüber unterhalten, wie sie bei schwerwiegenden Sicherheitsereignissen vorgehen wollen.

Fehler behoben

Ausser den Kommunikationsschwierigkeiten hat die EFK im Bericht «Querschnittsprüfung Teil II Informatik-Sicherheit in der Bundesverwaltung» der IT-Sicherheit im Bund ein gutes Zeugnis ausgestellt. Zwar wurden noch kleinere Dinge wie nicht beachtete Passwortanforderungen moniert, allerdings sind diese gemäss Nachfrage der Computerworld mittlerweile verbessert.

Für den Bericht hat die EFK die Punkte «Einhaltung der Passwortanforderungen», «zeitgerechte Korrektur von Sicherheitslücken», «verbessertes Informationsmanagement» und «intensivierte Netzwerbüberwachung» bei folgenden acht Leistungserbringer und dem ISB untersucht

  • SCI-BK, als Leistungserbringer der Bundeskanzlei
  • ISCeco, als Leistungserbringer des EVD
  • TSCB, als Leistungserbringer der Arbeitslosenversicherung
  • IT-EDA, als Leistungserbringer des EDA
  • BIT, als Leistungserbringer für EFD, UVEK und EDI sowie für Teile des EJPD
  • ISC-EJPD, als Leistungserbringer des EJPD
  • PD-DINT, als Leistungserbringer der Parlamentsdienste
  • FUB, als Leistungserbringer des VBS,
  • ISB, als Betreiber der Melde- und Analysestelle Informationssicherung (MELANIE)

Dazu wurden auch die drei Leistungsbezüger EZV, ESTV und BK untersucht, auf deren Untersuchung in diesem Artikel aber nicht eingegangen wurde, da der EFK nichts Besonderes aufgefallen ist. 

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.