Das Bundesamt für Informatik (BIT) sucht ein Tool für das Information Security Management System (ISMS), das es der Bundesverwaltung zur Verfügung stellen kann. In einem ISMS werden Regeln und Verfahren definiert, mit denen sich die Informationssicherheit kontrollieren und verbessern lässt. Wie den Ausschreibungsunterlagen des BIT zu entnehmen ist, sind in verschiedenen Ämtern solche Systeme aufgebaut worden, es mangelt aber an Werkzeugen und Hilfsmitteln. Nun soll noch 2024 ein zentrales System mit mehreren Mandanten realisiert werden und Abhilfe schaffen.

Die Beschaffung kommt nicht überraschend. Die Information Security wird mit dem neuen Informationssicherheitsgesetz (ISG), das Anfang 2024 in Kraft treten soll, stärker gewichtet. Das ISMS war auch nach dem Xplain-Hack, bei dem hochsensible Daten gestohlen wurden, ein Thema. Derzeit suchen das Bundesamt für Polizei (Fedpol) und das Bundesamt für Rüstung (Armasuisse) einen Beauftragten für die Information Security (ISBO). Beim VBS ist zudem eine Stelle als Auditleiter ausgeschrieben, der das ISMS weiterentwickelt. Viel Bewegung in Bern.

Nun soll das BIT ein Standardtool für die Bewältigung der Aufgabe beschaffen, wie der Ausschreibung zu entnehmen ist. Ein Anbieter soll vorerst drei Mandanten realisieren und der Bundesverwaltung bei Migration, Dokumentation und Schulung helfen. Schliesslich wird der Dienstleister auch Wartung und 3rd-Level-Support verantworten. Die Kunden, die die ersten drei Mandanten erhalten, sind das Finanzdepartement (EFD) und das VBS.

Der Anbieter wird die bestehenden Daten und Dokumente für die ersten drei Mandanten in die neue IT-Lösung übernehmen. Er muss deshalb unterschreiben, über das Geheimschutzverfahren bei Aufträgen mit militärisch klassifiziertem Inhalt informiert worden zu sein. Beim VBS werden 3500 Schutzobjekte migriert – die "Kronjuwelen des Staates", wie es in der Ausschreibung heisst: schützenswerte Infrastruktur, sensible Anwendungen, heikle Datensammlungen und andere Informationen, wie sie beim Xplain-Hack gestohlen wurden. Beim EFD geht es um 400 Objekte. Dazu müssen 2000 Dokumente aus dem VBS und 5000 aus dem Finanzdepartement ins neue System.

Der Gewinner der Ausschreibung wird Konzepte für die Systemarchitektur, Schnittstellen, Integration, Betrieb, Monitoring und Testing vorlegen müssen. Er wird gemeinsam mit dem Bundesamt für Informatik das System in Betrieb nehmen. In den Ausschreibungsunterlagen finden sich diverse Use Cases vom Risikomanagement über Berichterstattung bis zum Vorfallmanagement. Man gewinnt den Eindruck, dass man diesmal alles richtig machen will.

Der Bund rechnet optional mit bis zu 57'000 Stunden für Inbetriebsetzung, Konfiguration, Migration und Schulungen. Bis zu 10'000 Stunden können dann als Option für die Weiterentwicklung noch abgerufen werden – bei einem Stundensatz von 150 Franken sind das etwas über 10 Millionen Franken. Insgesamt könnten bis zu 77 Mandanten aus den Ämtern gewünscht werden, für diese werden dann auch noch Lizenzen und Support fällig.