Das Security-Management beim BAG liegt im Argen

8. April 2024 um 14:07
letzte Aktualisierung: 10. April 2024 um 14:42
image
Foto: Hadi / Wikimedia / Lizenz: CC0 1.0 Deed

Das Gesetz sieht vor, dass das Bundesamt für Gesundheit ein Information Security Management System betreibt. Davon ist die Behörde allerdings noch weit entfernt. Jetzt soll ein externer Anbieter das Problem lösen.

Seit Anfang Jahr gilt das neue Bundesgesetz über die Informationssicherheit beim Bund. Darin werden die einheitlichen Mindestanforderungen an die Cybersicherheit für alle Bundesbehörden geregelt. Diese umfassen auch ein Information Security Management System (ISMS), das verschiedene Vorschriften, Verfahren und Massnahmen zur Verbesserung der Informationssicherheit enthält.
Das Bundesamt für Gesundheit (BAG) verfügt noch nicht über ein solches ISMS und muss aufrüsten. Dies geht aus einer Ausschreibung hervor, die die Behörde kürzlich im Rahmen von "Alpin 2.0" publiziert hat. In einem Mini-Tender-Verfahren sucht das BAG einen Anbieter, der das fehlende ISMS aufbaut, in Betrieb nimmt und zum späteren Zeitpunkt "eventuell zertifizieren" lässt.

Zahlreiche Baustellen

Im Lastenheft zur Ausschreibung sind haarsträubende Details zum derzeitigen Security-Management im BAG zu lesen. So ist schriftlich festgehalten, dass das BAG über kein einheitliches Schutzobjektregister verfügt. Weiter heisst es, dass es kein durchgängiges Risikomanagement auf der Stufe Amt gibt und Ausnahmegenehmigungen nicht nach einheitlichen Prozessen abgewickelt werden.
Zudem hat das BAG – Stand heute – keine konkreten Sicherheitsziele formuliert. Und auch die entsprechende "Strategie sowie die Security Policy sind auf Stufe BAG nicht vorhanden". Ein Lieferantenmanagement aus Sicht Security ist gemäss den Ausschreibungsunterlagen, die insie-it.ch vorliegen, im Aufbau. Ein aktives Lieferantenmanagement inklusive Lieferantensicherheitsprüfungen muss aber erst noch geschaffen werden.
So gibt es im BAG zwar ein Vorfallmanagement für die Informationssicherheit, aber eine "Verzahnung mit anderen ISMS-Themen ist noch zu überprüfen und zu verbessern". ISMS-Messungen und -Bewertungen existieren ebenfalls nicht. Es werden jedoch manche Schlüsselkennzahlen (KPI) gemessen und im Rahmen des jährlichen Sicherheitsberichts an die Amtsleitung rapportiert. Zudem gibt es regelmässige Managementberichte. Diese sollen im Hinblick auf das neue ISMS überprüft und allenfalls angepasst werden.
Im Bundesamt gibt es zwar Schulungen zur IT-Sicherheit für neue Mitarbeitende, für andere Zielgruppen wiederum gibt es keine solchen Schulungskonzepte. Ebenfalls fehlen Konzepte für Kommunikation und Awareness, diese sollen durch den Gewinner der Ausschreibung aufgebaut werden.

Viel Arbeit nötig

Umso mehr dürfte der Prozess bei der bestehenden Situation eine Herausforderung werden. Der ausgewählte Anbieter soll bis 2025 ein massgeschneidertes ISMS nach ISO 27001 einführen. "Dabei wird von der externen Firma erwartet, dass sie sowohl die Projektleitung bei der Projektsteuerung unterstützen kann als auch zu den anfallenden Arbeitspaketen einen inhaltlich und qualitativ wertvollen Input geben kann."
Zertifiziert werden soll das System aber nicht: "Wir sehen im Moment in der kostspieligen ISO 27001 Zertifizierung und den wiederkehrenden teuren Rezertifizierungen keinen Mehrwehrt für den Steuerzahler – zumal es gesetzlich auch nicht vorgeschrieben ist", schreibt die Behörde auf eine Anfrage von inside-it.ch
Das Projekt wird nach Hermes-Methode durchgeführt und ist in zwei Phasen eingeteilt. Bis Ende 2024 sollen passende Prozesse und ein Setting definiert werden, die dann in der Organisation umgesetzt werden. Danach soll das ISMS in Betrieb gesetzt werden. In der zweiten Phase sollen die umgesetzten Lieferobjekte dann ins ISMS-Tool überführt werden. Dies soll im Laufe des Jahres 2025 geschehen.
Für die erste Phase rechnet das BAG mit einem Gesamtaufwand von rund 1100 Arbeitsstunden. Auf unsere Anfrage teilt die Behörde mit, dass für die erste Phase rund 180'000 Franken budgetiert sind. Der detaillierte Aufwand für den zweiten Teil wird dann zu einem späteren Zeitpunkt ermittelt, sobald das ISMS Tool der Bundesverwaltung in Betrieb ist.

Schlechter geht nicht

Weiter haben wir beim Bundesamt nachgefragt, weshalb die Arbeit am ISMS erst jetzt angegangen wurde. Dabei betont das Amt, dass "die Cyber- bzw. IT-Sicherheit im BAG bereits in der Vergangenheit sehr ernst genommen und sämtliche Vorgaben eingehalten wurden." Die Beschaffung beruhe auf den neuen gesetzlichen Vorgaben im Rahmen des Bundesgesetzes über die Informationssicherheit und das BAG komme diesen Anforderungen mit der Einführung des neuen ISMS nach.
Ein Insider sagte zu den Missständen im Security-Management des BAG gegenüber inside-it.ch: "Viel schlechter kann man es eigentlich gar nicht machen. Wir schreiben das Jahr 2024, da kann man schon erwarten, dass ein Amt, welches gerade erst dreistellige Millionenkredite gesprochen bekam, um wichtige Digitalisierungsprojekte im Gesundheitswesen voranzubringen, ein Mindestmass an Governance und sorgfältiger Geschäftsführung an den Tag legt."

Personelle Verflechtungen

Der Insider stört sich zudem daran, dass der Verfasser der Ausschreibung erst kürzlich eine neue Tätigkeit bei einem Schweizer Security-Anbieter bekannt gegeben hatte. In einem mittlerweile gelöschten Beitrag auf Linkedin wurde der Informationssicherheitsbeauftragte des BAG beim besagten Anbieter willkommen geheissen.
Auf unsere Nachfrage zu einem möglichen Interessenkonflikt teilte das Bundesamt mit, dass "die Kommunikation des Anbieters vor Abschluss des Bewilligungsverfahrens etwas verfrüht gewesen" sei. Der Interessenkonflikt sei bereits zuvor erkannt worden, so das BAG. Die entsprechende Ankündigung im Internet sei entfernt worden, heisst es vom Anbieter. Wobei es bei der Löschung aufgrund der Feiertage zu einer Verzögerung in der Kommunikation gekommen sei.

Stellungnahme des BAG

Nach unserer Berichterstattung hat das Bundesamt für Gesundheit eine öffentliche Stellungnahme (PDF) dazu publiziert. Darin wiederholt das Bundesamt, dass die Cyber- und IT-Sicherheit sowie der Datenschutz im BAG sehr ernst genommen und sämtliche Vorgaben eingehalten werden.
Zu den Vorwürfen der schlechten Governance schreibt das BAG, dass es eine klare Governance und Vorgaben für die Geschäftsführung gibt. Die Rolle der Informationssicherheitsverantwortlichen werde im Informationssicherheitsgesetz (ISG) und der entsprechenden Verordnung klar beschrieben. "Das BAG richtet sich an diesen gesetzlichen Vorgaben aus und erfüllt sie", schreibt die Behörde.
Zudem sagt das BAG, dass man den gesetzlichen Vorgaben mit der Einführung des neuen ISMS vollumfänglich nachkommt. Der Stellungnahme zufolge muss die Einführung und Umsetzung des ISMS durch die Bundesämter innert einer Frist von drei Jahren nach Inkrafttreten des Informationssicherheitsgesetzes erfolgen "Die Einführung des ISMS im BAG wird innert Frist erfolgen", heisst es dazu.
Update 10.4.: Der Bericht wurde um die Stellungnahme des BAG ergänzt.

Möchten Sie uns unterstützen?

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr erfahren

Mehr zum Thema

image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollten nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Adnovum-Umsatz stagniert

Das Schweizer Software-Unternehmen hat trotzdem wieder zusätzliches Personal eingestellt und meldet eine hohe Nachfrage im Security-Bereich.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024