IT-Sicherheit sorgt im Bund für Verständigungsprobleme

Leistungserbringer und -bezüger des Bundes haben Kommunikationsschwierigkeiten bei IT-Sicherheitsvorfällen. Dies sagt ein Bericht der Eidgenössischen Finanzkontrolle (EFK), der in Kürze auf www.efk.admin.ch veröffentlicht werden wird und Computerworld vorab zugestellt wurde. Der Bericht ist aus dem Jahr 2012 und moniert unter anderem, dass es keine bundesweiten Security Incident Management Prozesse gibt. Die Folge: Die Leistungserbringer definieren eigene Prozesse und Kriterien für die Einstufung und Priorisierung eines Sicherheitsvorfalls. Einheitliche Kriterien, wann ein Vorfall als kritisch einzustufen ist, bestehen nicht.  Die zwei grössten der acht untersuchten Leistungserbringer, das Bundesamt für Informatik (BIT) und die Führungsunterstützungsbasis (FUB), die das VBS betreut, machen es besser als der Rest. Sie besitzen Teams für die Erkennung und Bewältigung von sicherheitsrelevanten Vorfällen. Allerdings sei die Kommunikation zwischen den beiden Teams ebenfalls verbesserungswürdig, es fände lediglich ein informeller Informationsaustausch statt, für den aber keine verbindliche Basis bestehe, heisst es im Bericht.

Durch die fehlenden Grundlagen werde das Informatiksteuerorgan des Bundes (ISB) nicht immer zeitgerecht in Vorfälle involviert, schreibt die EFK. Sie unterstützt darum eine starke Führungsrolle des ISB in übergeordneten Sicherheitsbelangen. Diese würde auch helfen, eine weitere Schwachstelle zu beseitigen, den nicht koordinierten horizontalen Informationsaustausch zwischen den Leistungserbringern. Doch auch dem ISB werden selbst verschuldete Kommunikationsprobleme bescheinigt. Wenn schwerwiegende Sicherheitsereignisse eintreten und die Bundesanwaltschaft eingeschaltet wird, sei das ISB unsicher, wie die Leistungserbringer informiert werden sollen. Denn die Bundeanwaltschaft beansprucht immer Informationshoheit. Das ISB möchte aber die IT-Verantwortlichen informieren können und muss dazu teilweise Einzelheiten aus dem Vorfall bekanntgeben. Da die Bundesanwaltschaft dem zustimmen muss und das offenbar nicht immer tut, erhalten die Leistungserbringer keine vollständigen Informationen. Aus Sicht der EFK ist in solchen Fällen «klar abzuwägen zwischen den strafrechtlichen und sicherheitsbezogenen Aspekten mit dem Ziel, der Alarmierung der betroffenen Stellen Priorität einzuräumen». ISB und die Bundesanwaltschaft sollten sich darum darüber unterhalten, wie sie bei schwerwiegenden Sicherheitsereignissen vorgehen wollen.

Ausser den Kommunikationsschwierigkeiten hat die EFK im Bericht «Querschnittsprüfung Teil II Informatik-Sicherheit in der Bundesverwaltung» der IT-Sicherheit im Bund ein gutes Zeugnis ausgestellt. Zwar wurden noch kleinere Dinge wie nicht beachtete Passwortanforderungen moniert, allerdings sind diese gemäss Nachfrage der Computerworld mittlerweile verbessert. Für den Bericht hat die EFK die Punkte «Einhaltung der Passwortanforderungen», «zeitgerechte Korrektur von Sicherheitslücken», «verbessertes Informationsmanagement» und «intensivierte Netzwerbüberwachung» bei folgenden acht Leistungserbringer und dem ISB untersucht

Dazu wurden auch die drei Leistungsbezüger EZV, ESTV und BK untersucht, auf deren Untersuchung in diesem Artikel aber nicht eingegangen wurde, da der EFK nichts Besonderes aufgefallen ist.