Bund will zentrales Tool für das Information Security Management

29. September 2023 um 14:04
  • security
  • e-government
  • Beschaffung
  • BIT
  • vbs
  • EFD
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Zwischen Xplain-Hack und ISG herrscht emsiges Treiben in Bern: 2024 sollen vorerst EFD und VBS ein neues ISMS-Tool für ihre "Kronjuwelen" erhalten.

Das Bundesamt für Informatik (BIT) sucht ein Tool für das Information Security Management System (ISMS), das es der Bundesverwaltung zur Verfügung stellen kann. In einem ISMS werden Regeln und Verfahren definiert, mit denen sich die Informationssicherheit kontrollieren und verbessern lässt. Wie den Ausschreibungsunterlagen des BIT zu entnehmen ist, sind in verschiedenen Ämtern solche Systeme aufgebaut worden, es mangelt aber an Werkzeugen und Hilfsmitteln. Nun soll noch 2024 ein zentrales System mit mehreren Mandanten realisiert werden und Abhilfe schaffen.
Die Beschaffung kommt nicht überraschend. Die Information Security wird mit dem neuen Informationssicherheitsgesetz (ISG), das Anfang 2024 in Kraft treten soll, stärker gewichtet. Das ISMS war auch nach dem Xplain-Hack, bei dem hochsensible Daten gestohlen wurden, ein Thema. Derzeit suchen das Bundesamt für Polizei (Fedpol) und das Bundesamt für Rüstung (Armasuisse) einen Beauftragten für die Information Security (ISBO). Beim VBS ist zudem eine Stelle als Auditleiter ausgeschrieben, der das ISMS weiterentwickelt. Viel Bewegung in Bern.
Nun soll das BIT ein Standardtool für die Bewältigung der Aufgabe beschaffen, wie der Ausschreibung zu entnehmen ist. Ein Anbieter soll vorerst drei Mandanten realisieren und der Bundesverwaltung bei Migration, Dokumentation und Schulung helfen. Schliesslich wird der Dienstleister auch Wartung und 3rd-Level-Support verantworten. Die Kunden, die die ersten drei Mandanten erhalten, sind das Finanzdepartement (EFD) und das VBS.
Die "Kronjuwelen" des Staates
Der Anbieter wird die bestehenden Daten und Dokumente für die ersten drei Mandanten in die neue IT-Lösung übernehmen. Er muss deshalb unterschreiben, über das Geheimschutzverfahren bei Aufträgen mit militärisch klassifiziertem Inhalt informiert worden zu sein. Beim VBS werden 3500 Schutzobjekte migriert – die "Kronjuwelen des Staates", wie es in der Ausschreibung heisst: schützenswerte Infrastruktur, sensible Anwendungen, heikle Datensammlungen und andere Informationen, wie sie beim Xplain-Hack gestohlen wurden. Beim EFD geht es um 400 Objekte. Dazu müssen 2000 Dokumente aus dem VBS und 5000 aus dem Finanzdepartement ins neue System.
Der Gewinner der Ausschreibung wird Konzepte für die Systemarchitektur, Schnittstellen, Integration, Betrieb, Monitoring und Testing vorlegen müssen. Er wird gemeinsam mit dem Bundesamt für Informatik das System in Betrieb nehmen. In den Ausschreibungsunterlagen finden sich diverse Use Cases vom Risikomanagement über Berichterstattung bis zum Vorfallmanagement. Man gewinnt den Eindruck, dass man diesmal alles richtig machen will.
Der Bund rechnet optional mit bis zu 57'000 Stunden für Inbetriebsetzung, Konfiguration, Migration und Schulungen. Bis zu 10'000 Stunden können dann als Option für die Weiterentwicklung noch abgerufen werden – bei einem Stundensatz von 150 Franken sind das etwas über 10 Millionen Franken. Insgesamt könnten bis zu 77 Mandanten aus den Ämtern gewünscht werden, für diese werden dann auch noch Lizenzen und Support fällig.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt spenden



Loading

Mehr zum Thema

image

Cyberangriff auf Zentralverein für das Blindenwesen

Bei einem Angriff auf das IT-Netzwerk sind Daten abgeflossen. Mittlerweile seien die Daten gesichert und die Systeme teilweise wieder hochgefahren worden.

publiziert am 25.4.2025
image

Infostealer, ungeschützte Repositories: Aktuelle Security-Trends

Hacker nutzen vermehrt alternative Angriffsmethoden, um Unternehmensnetzwerke zu knacken. Exploits bleiben trotzdem der Hauptangriffsvektor.

publiziert am 25.4.2025
image

Auch das Fedpol setzt auf ein US-Analysetool

Nach den Polizeibehörden in Bern und Zürich beschafft auch der Bund Chainalysis für Krypto-Verfolgungen. Der Auftrag wurde freihändig vergeben.

publiziert am 25.4.2025
image

Bern braucht Fachapplikation für Schutzräume

Der Kanton übernimmt ab 2026 die Bewirtschaftung von circa 50'000 Schutzräumen. Dafür möchte das zuständige Amt eine Fachanwendung beschaffen.

publiziert am 24.4.2025