Schweizer Parlamentarier bocken bei Security-Vorschriften

Zumindest wenn es um sie selbst geht. Aber die Auslagerung der Netzwerkdienste des Parlaments hat drei Viertel (!) der Kosten eingespart.
 
Im Jahr 2011 hat man sich im Bundeshaus entschieden, verschiedene Netzwerkservices für das Parlament, die bis dahin das Bundesamt für Informatik und Telekommunikation (BIT) erbrachte, an Swisscom auszulagern. Dazu gehörten unter anderem die Festnetztelefonie, LAN und WLAN, der Internetzugang und eine WAN-Infrastruktur.
 
Nun hat die Eidgenössische Finanzkontrolle (EFK) einen Bericht darüber veröffentlicht, wie sich das bei den Parlamentsdiensten in Sachen Wirtschaftlichkeit und Sicherheit bewährt hat. Und kommt zu einem sehr positiven Urteil: "Sowohl mit dem Transfer der ursprünglichen Leistungen, als auch bei den Erweiterungen, wurden die Erwartungen weit übertroffen." Die vom BIT prognostizierten jährlichen Kosten für Netzwerk und Telefonie hätten von drei Millionen Franken auf 700'000 Franken gesenkt werden können.
 
Etwas weniger gut findet die EFK allerdings, dass sie dies anscheinend weitgehend selbst ausrechnen musste. Die Entscheidungsgrundlage für die Bundesversammlung aus dem Jahr 2010 sei zwar korrekt erarbeitet und transparent dargestellt gewesen. Aber es habe keinerlei Nachkalkulation zur Umsetzung des Business Case gegeben. Die EFK habe deshalb selbst die Realisierungs- und Betriebskosten zum Prüfungszeitpunkt zusammentragen und den früheren Kosten gegenüberstellen müssen. Die Prüfung durch die EFK fand von Ende September 2016 bis Mitte April 2017 statt.
 
Wie so oft gibt es allerdings kritische Anmerkungen zum Thema Governance: Die IT-Governance sei bei der Parlaments-IT "strukturgemäss nicht stark ausgeprägt". Es fehle eine klare Zuweisung der Verantwortlichkeit für die IT-Governance.
 
Security im Prinzip gut, aber…
Die Risikoabwägungen und Bestimmung der Sicherheitsanforderungen erfolgten primär durch die Ressorts Informatik (Ressort IT) und den Informatiksicherheitsbeauftragten (Ressort ISBD) der Parlamentsdienste, so die EFK. Die getroffenen Sicherheitsmassnahmen beruhten somit vor allem auf der Einschätzung der Parlamentsdienste. Diesen stellt die EFK ein gutes Zeugnis aus. Die Parlamentsdienste hätten "ein gutes Sicherheitsbewusstsein." Das Ressort IT lasse sich zudem in sensiblen Bereichen punktuell immer wieder durch externe Spezialisten beurteilen. Man habe bei Server-Konfigurationen nur vereinzelt Abweichungen von technischen Vorgaben gefunden.
 
Allerdings scheint es für die Parlamentsdienste nicht ganz einfach, auch ihre Schäfchen, die Parlamentarier, Security-mässig unter Kontrolle zu halten. Es bestehe "eine tiefe Akzeptanz der Benutzer (Räte) für notwendige Sicherheitsvorkehrungen, welche sie in der Nutzung der IKT Dienste direkt betreffen." Inside-it.ch nimmt an, diese tiefe Akzeptanz betrifft vor allem Sicherheitsvorkehrungen, die halt auch etwas Mehrarbeit bedeuten. Auch Parlamentarier sind wohl nur normale User, könnte man sagen.
 
Auf jeden Fall schliesst das EFK, dass es "sowohl für die Verwaltungsdelegation als auch die Ressorts IT und ISBD schwierig ist, einige wichtige technische und organisatorische Sicherheitsmassnahmen, die heutzutage verbreitet als gute Praxis anerkannt sind … einzufordern und umzusetzen." (Hans Jörg Maron)