Als Folge des Xplain-Hacks verschickte der Bund im Juli 2023 ein Schreiben an alle IT-Firmen, die für die Bundesverwaltung arbeiten. Im Brief, über den inside-it.ch exklusiv berichtet hatte, ging es um "Informationen und Empfehlungen zur Informationssicherheit".

Die Unternehmen müssten in der Lage sein, Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Daten und Informationen sowie die Nachvollziehbarkeit des Umgangs mit Daten und Informationen zu gewährleisten, hiess es im Schreiben. Der Brief war Teil eines Auftrags des Bundesrates, "die Verträge der Departemente und der Bundeskanzlei zu IKT-Leistungen punkto Cybersicherheit zu überprüfen".

Dies geht aus einer jetzt publizierten Antwort des Bundesrats auf die Ende Dezember eingereichte Interpellation "Externe IKT-Zulieferer des Bundes" des Nationalrats Dominik Blunschy (Mitte/SZ) hervor. Der Bund habe den Auftrag erteilt, "die Mustervertragsklausel der Beschaffungskonferenz des Bundes betreffend Cyberbedrohungen und die Allgemeinen Geschäftsbedingungen des Bundes zu ergänzen und bis Ende 2023 an das neue Bundesgesetz über die Informationssicherheit beim Bund anzupassen". Das EJPD habe ein Schreiben an seine "wichtigsten externen IKT-Leistungserbringer gesandt, diese an ihre Pflichten zur Wahrung des IT-Grundschutzes erinnert und diesbezügliche Auskünfte verlangt". Das Bundesamt für Bauten und Logistik (BBL) und das Bundesamt für Rüstung (Armasuisse) hätten in Ergänzung dazu "sämtlichen relevanten IKT-Leistungserbringern der Bundesverwaltung ein Schreiben zukommen lassen, in dem diese zusätzlich über die vom Bundesrat beauftragte Vertragsüberprüfung informiert wurden".

Gemäss der Antwort auf die Interpellation – die vom VBS kommt – wurden bis Ende 2023 rund 7000 bestehende Verträge mit IT-Dienstleistern überprüft. Dabei seien "2200 Verträge als sicherheitsrelevant" eingestuft worden. "Bei der Hälfte dieser Verträge konnte festgestellt werden, dass diese punkto Cybersicherheit angemessene Bestimmungen enthalten". Von der zweiten Hälfte müssten noch "rund 600 Verträge, die nicht in den nächsten Monaten auslaufen, vertieft geprüft und allenfalls angepasst werden", heisst es weiter.

Blunschy fragte auch: "Hat der Bundesrat einheitlich definiert, nach welchen Kriterien in Bezug auf die Informationssicherheit die Zusammenarbeit mit fehlbaren IKT-Zulieferern beendet wird?"

Das VBS schreibt im Namen des Bundesrates: "Grundsätzlich obliegt es der Verwaltungseinheit in eigener Zuständigkeit, die Risiken abzuwägen und die entsprechenden Konsequenzen zu ziehen. Konnte eine Anbieterin aber bereits in der Vergangenheit ihren Pflichten betreffend die Informationssicherheit nicht nachkommen, riskiert sie, für zukünftige Aufträge nicht berücksichtigt zu werden."