Bund muss allenfalls 600 Verträge mit IT-Dienstleistern anpassen

27. Februar 2024 um 08:50
image
Illustration: Erstellt durch inside-it.ch mit Dall-E / GPT-4

Der Bund hat 7000 Verträge mit IT-Dienstleistern geprüft. 2200 sind sicherheitsrelevant – und nur die Hälfte davon enthält angemessene Bestimmungen punkto Cybersicherheit.

Als Folge des Xplain-Hacks verschickte der Bund im Juli 2023 ein Schreiben an alle IT-Firmen, die für die Bundesverwaltung arbeiten. Im Brief, über den inside-it.ch exklusiv berichtet hatte, ging es um "Informationen und Empfehlungen zur Informationssicherheit".
Die Unternehmen müssten in der Lage sein, Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Daten und Informationen sowie die Nachvollziehbarkeit des Umgangs mit Daten und Informationen zu gewährleisten, hiess es im Schreiben. Der Brief war Teil eines Auftrags des Bundesrates, "die Verträge der Departemente und der Bundeskanzlei zu IKT-Leistungen punkto Cybersicherheit zu überprüfen".

Dienstleister wurden über Vertragsüberprüfung informiert

Dies geht aus einer jetzt publizierten Antwort des Bundesrats auf die Ende Dezember eingereichte Interpellation "Externe IKT-Zulieferer des Bundes" des Nationalrats Dominik Blunschy (Mitte/SZ) hervor. Der Bund habe den Auftrag erteilt, "die Mustervertragsklausel der Beschaffungskonferenz des Bundes betreffend Cyberbedrohungen und die Allgemeinen Geschäftsbedingungen des Bundes zu ergänzen und bis Ende 2023 an das neue Bundesgesetz über die Informationssicherheit beim Bund anzupassen". Das EJPD habe ein Schreiben an seine "wichtigsten externen IKT-Leistungserbringer gesandt, diese an ihre Pflichten zur Wahrung des IT-Grundschutzes erinnert und diesbezügliche Auskünfte verlangt". Das Bundesamt für Bauten und Logistik (BBL) und das Bundesamt für Rüstung (Armasuisse) hätten in Ergänzung dazu "sämtlichen relevanten IKT-Leistungserbringern der Bundesverwaltung ein Schreiben zukommen lassen, in dem diese zusätzlich über die vom Bundesrat beauftragte Vertragsüberprüfung informiert wurden".

7000 Verträge wurden überprüft

Gemäss der Antwort auf die Interpellation – die vom VBS kommt – wurden bis Ende 2023 rund 7000 bestehende Verträge mit IT-Dienstleistern überprüft. Dabei seien "2200 Verträge als sicherheitsrelevant" eingestuft worden. "Bei der Hälfte dieser Verträge konnte festgestellt werden, dass diese punkto Cybersicherheit angemessene Bestimmungen enthalten". Von der zweiten Hälfte müssten noch "rund 600 Verträge, die nicht in den nächsten Monaten auslaufen, vertieft geprüft und allenfalls angepasst werden", heisst es weiter.
Blunschy fragte auch: "Hat der Bundesrat einheitlich definiert, nach welchen Kriterien in Bezug auf die Informationssicherheit die Zusammenarbeit mit fehlbaren IKT-Zulieferern beendet wird?"
Das VBS schreibt im Namen des Bundesrates: "Grundsätzlich obliegt es der Verwaltungseinheit in eigener Zuständigkeit, die Risiken abzuwägen und die entsprechenden Konsequenzen zu ziehen. Konnte eine Anbieterin aber bereits in der Vergangenheit ihren Pflichten betreffend die Informationssicherheit nicht nachkommen, riskiert sie, für zukünftige Aufträge nicht berücksichtigt zu werden."

Möchten Sie uns unterstützen?

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr erfahren

Mehr zum Thema

image

Thurgau beginnt mit der M365-Einführung

Für die kantonale Verwaltung soll ein "umfassender digitaler Arbeitsplatz" auf Microsoft-Cloud-Basis umgesetzt werden.

publiziert am 16.4.2024
image

Was das Unispital Zürich von seinem KIS-Anbieter erwartet

Das USZ hat eine Ausschrei­bung für ein neues Klinik­informations­system publiziert. Zunächst trifft das Spital eine Vorauswahl.

publiziert am 15.4.2024
image

Samsung erhält Milliarden für Bau einer US-Chipfabrik

Der südkoreanische Konzern will neue Standorte für Entwicklung und Fertigung in den USA bauen und erhält dafür Subventionen in Milliardenhöhe.

publiziert am 15.4.2024
image

Deutsche Hilfe für Schweizer Drohnen

Der deutsche Rüstungskonzern Diehl Defence soll Drohnen des Schweizer Unternehmens Skysec Defence zur militärischen Drohnenabwehr weiter entwickeln.

publiziert am 15.4.2024