Sicherheitsprobleme bei Digitalisierung des Ratsbetriebs kritisiert

Die Eidgenössische Finanzkontrolle (EFK) hat bei den IT-Projekten für die Digitalisierung des Rats- und Kommissionsbetriebs teilweise gravierende Sicherheitsmängel festgestellt. Angesichts der Projektrisiken und der ungeklärten strategischen Vorgaben wurde auch eine Sistierung des Projekts CURIAplus ins Spiel gebracht. 

Die EFK hat das strategische IT-Projekt CURIAplus geprüft. Weil dieses auf den Arbeiten des Projekts Cervin basiert, wurden auch relevante Themen dieses Vorhabens geprüft, wie aus dem am Montag veröffentlichten Bericht hervorgeht.

Die Finanzkontrolle stellte fest, dass in beiden Projekten wesentliche Probleme und Risiken bestehen, insbesondere im Hinblick auf die Informationssicherheit. Sie kam zum Schluss, dass die Ursachen mehrheitlich bei der ungenügenden Governance und Einhaltung von Weisungen sowie den fehlenden Architekturvorgaben zu finden sind. Die Parlamentsdienste haben die Feststellungen grundsätzlich bereits erkannt, aber anders beurteilt als die EFK.

Die Projekte CURIAplus und Cervin hielten nach Einschätzung der Finanzkontrolle geltende Richtlinien und Weisungen nicht ausreichend ein. Vorgeschriebene Sicherheitskonzepte blieben im Anfangsstadium stecken. Somit seien nicht alle Sicherheitsanforderungen und -massnahmen in das Pflichtenheft, die Ausschreibung und den Werkvertrag aufgenommen worden. Beim Projekt Cervin, das seit Ende 2019 von den Parlamentarierinnen und Parlamentariern genutzt wird, blieben wichtige Betriebsfragen ungeklärt.

Festgestellt wurden auch Lücken in der Informationssicherheit bei Cervin mit entsprechenden Auswirkungen auf CURIAplus. Die Behebung von identifizierten Schwachstellen, die gemäss Auditbericht schnellstmöglich hätte geschehen sollen, sei nicht erfolgt. Es sei auch unklar, ob die Behebung der Schwachstellen in allen Fällen möglich sei.

Ausserdem fehlten Voraussetzungen, um zu erkennen, ob Angreifer bereits Sicherheitslücken ausgenutzt hätten. Schwachstellen in Cervin wirkten sich vielfach direkt oder indirekt auch auf CURIAplus aus, das mehr sensible Daten und Funktionen für die Mitglieder des Parlaments zur Verfügung stelle.

Angesichts der Projektrisiken und der ungeklärten strategischen Vorgaben sei zu klären, ob eine Sistierung des Projekts CURIAplus angebracht wäre, heisst es in dem Bericht. Die Parlamentsdienste sahen aber keinen Anlass, die Frage der Weiterführung des Projekts CURIAplus vertieft zu prüfen. Es seien keine nennenswerten Einführungsrisiken ersichtlich.

Im Gegensatz zur Finanzkontrolle erachteten es die Parlamentsdienste nicht als sinnvoll, erneut eine vollständige Gefahren- und Risikoanalyse durchzuführen. Zum einen sei die Portalplattform im Rahmen des Projekts Cervin gründlich geprüft und verbesserungswürdige Punkte seien in der Umsetzung. CURIAplus werde weitere sicherheitstechnische Überprüfungen dann vornehmen, wenn die Schnittstellenanbindungen zu den benützten Anwendungen erfolgt seien, da vorher kein Datenaustausch möglich sei.

Mit einem Umsetzungsplan von 2016 haben die Parlamentsdienste drei für die Digitalisierung der Parlamentsdienste wichtige Projekte lanciert: Das Projekt Cervin beinhaltet die Bereitstellung der neuen digitalen Arbeitsplattform (Applikationsportal) sowie die Ablösung der bestehenden Intra- und Extranet-Lösungen (Parlnet). Erste produktive Einführung war Ende 2019, das Projektende ist noch offen.

CURIAplus umfasst die Ablösung der bestehenden CURIA-Anwendung und stellt die digitale Infrastruktur zur Unterstützung der Parlamentarier und der parlamentarischen Geschäftsprozesse bereit. Das Projekt ist in Realisierung seit Anfang 2021. CURIAplus basiert auf den von Cervin geschaffenen technischen Grundlagen.

Das dritte Projekt mit der Bezeichnung Soprane, das die Entwicklung von Business-Intelligence-Systemen zur Unterstützung der parlamentarischen Arbeit vorsah, wurde ab 2018 realisiert und nach einem Pilotbetrieb im Sommer 2020 abgebrochen.