Nach dem Cyberangriff auf den IT-Dienstleister Xplain hatte die Verwaltung einiges an Hausaufgaben zu erledigen. Unter anderem wurden hunderte von Verträgen mit IT-Dienstleistern überprüft und überarbeitet. Laut der 'NZZ am Sonntag' ('NZZaS') scheint es beim VBS aber noch immer gravierende Mängel zu geben.

Die Zeitung beruft sich auf einen internen Prüfbericht zum Schutz von heiklen Daten bei externen IT-Partnern, den Bundesrätin Viola Amherd in Auftrag gegeben hat. Demnach wird beim VBS nicht systematisch erfasst, wo sensible Daten gespeichert werden. "Nur mit zeitintensiven und manuellen Arbeitsschritten kann eine Übersicht erstellt werden, wo gegebenenfalls sensitive Daten an externe Lieferanten herausgegeben werden", zitiert die 'NZZaS' (Paywall) aus dem Bericht.

"Das VBS muss wissen, welche Daten sich wo befinden. Sonst ist es angreifbar und im Ernstfall hilflos, weil es den Schaden nicht feststellen und damit auch keine Massnahmen treffen kann", sagt Grüne-Nationalrat und IT-Unternehmer Gerhard Andrey. Dies sei beim Xplain-Vorfall deutlich geworden. Bei diesem Angriff wurde beispielsweise eine Liste ehemaliger Mitarbeitenden der Spionageabwehr gestohlen und im Darkweb veröffentlicht. Das VBS hat die Betroffenen aber erst nach medialer Berichterstattung informiert.

Noch immer fehle ein zentrales Register für externe IT-Lieferanten, obwohl die interne Revisionsstelle bereits zweimal auf diesen Mangel hingewiesen habe, heisst es im Bericht weiter.

Zudem arbeite das VBS mit seinen IT-Dienstleistern teilweise mit veralteten Verträgen. Nur in einem Bruchteil der Verträge sei ein Auditrecht festgehalten, schreibt die 'NZZaS'. Das wiederum bedeute, dass das VBS bei den meisten externen Entwicklern keine Audits durchführen darf. Dass das ein Problem ist, verdeutlichte der Angriff auf Xplain exemplarisch. Die Firma verfügte über höchst sensible Daten der Verwaltung, aber 15 Jahre lang haben die Bundesbehörden keine Audits beim IT-Dienstleister vorgenommen.