Bericht zeigt gravierende Sicher­heits­mängel beim VBS

3. März 2025 um 10:45
image
Foto: VBS-DDPS

Das VBS erfasst IT-Lieferanten nicht systematisch und weiss nicht, wo seine Daten sind: Zwei Jahre nach dem Cyberangriff auf Xplain zeigt ein Bericht noch immer Lücken auf.

Nach dem Cyberangriff auf den IT-Dienstleister Xplain hatte die Verwaltung einiges an Hausaufgaben zu erledigen. Unter anderem wurden hunderte von Verträgen mit IT-Dienstleistern überprüft und überarbeitet. Laut der 'NZZ am Sonntag' ('NZZaS') scheint es beim VBS aber noch immer gravierende Mängel zu geben.
Die Zeitung beruft sich auf einen internen Prüfbericht zum Schutz von heiklen Daten bei externen IT-Partnern, den Bundesrätin Viola Amherd in Auftrag gegeben hat. Demnach wird beim VBS nicht systematisch erfasst, wo sensible Daten gespeichert werden. "Nur mit zeitintensiven und manuellen Arbeitsschritten kann eine Übersicht erstellt werden, wo gegebenenfalls sensitive Daten an externe Lieferanten herausgegeben werden", zitiert die 'NZZaS' (Paywall) aus dem Bericht.
"Das VBS muss wissen, welche Daten sich wo befinden. Sonst ist es angreifbar und im Ernstfall hilflos, weil es den Schaden nicht feststellen und damit auch keine Massnahmen treffen kann", sagt Grüne-Nationalrat und IT-Unternehmer Gerhard Andrey. Dies sei beim Xplain-Vorfall deutlich geworden. Bei diesem Angriff wurde beispielsweise eine Liste ehemaliger Mitarbeitenden der Spionageabwehr gestohlen und im Darkweb veröffentlicht. Das VBS hat die Betroffenen aber erst nach medialer Berichterstattung informiert.

Kein zentrales Register, veraltete Verträge

Noch immer fehle ein zentrales Register für externe IT-Lieferanten, obwohl die interne Revisionsstelle bereits zweimal auf diesen Mangel hingewiesen habe, heisst es im Bericht weiter.
Zudem arbeite das VBS mit seinen IT-Dienstleistern teilweise mit veralteten Verträgen. Nur in einem Bruchteil der Verträge sei ein Auditrecht festgehalten, schreibt die 'NZZaS'. Das wiederum bedeute, dass das VBS bei den meisten externen Entwicklern keine Audits durchführen darf. Dass das ein Problem ist, verdeutlichte der Angriff auf Xplain exemplarisch. Die Firma verfügte über höchst sensible Daten der Verwaltung, aber 15 Jahre lang haben die Bundesbehörden keine Audits beim IT-Dienstleister vorgenommen.

Loading

Mehr zum Thema

imageAbo

Schweizerisches Nationalmuseum gibt Einblick in Digitalprojekte

Das Nationalmuseum hat einen neuen Leiter für Digitale Transformation ernannt. Die Institution erläutert den Stand ihrer Digitalisierung.

publiziert am 12.6.2026
image

Millionen für neues IT-Meldesystem des BAG

Der Bundesrat hat 45,3 Millionen Franken für eine neue digitale Plattform zur Überwachung und Bekämpfung übertragbarer Krankheiten freigegeben. Das System soll 2034 fertig sein.

publiziert am 12.6.2026
imageAbo

Solothurn erneuert IT-System für Gefängnisse

Cancom liefert eine neue Lösung für die Verwaltung der Gesundheitsdaten in den kantonalen Gefängnissen. Das bisherige System von CGM wird abgelöst.

publiziert am 12.6.2026
imageAbo

GPK kritisiert externen Personalbedarf von IT-Basel-Stadt

Die Kommission des Basler Parlaments empfiehlt, die externen Dienstleistungen zu überprüfen. Die Abhängigkeit im operativen Betrieb sei hoch.

publiziert am 11.6.2026