Die Erneuerung des digitalen Zivilstandsregisters wird teurer und dauert länger. Die Finanzkontrolle bemängelt veraltete Security-Massnahmen.

Die Eidgenössische Finanzkontrolle hat beim Informatikprojekt zur Erneuerung von Infostar diverse Mängel auf mehreren Ebenen festgestellt. Mit dem IT-Projekt, dessen Abschluss ursprünglich für 2023 geplant war, wird derzeit das elektronische Zivilstandsregister für 23,7 Millionen Franken modernisiert.

In einer Prüfung untersuchte die EFK, ob die Informationssicherheit beim Betrieb der Anwendung gewährleistet ist. Des Weiteren wurde kontrolliert, ob mit dem Modernisierungsprojekt ("Infostar New Generation") auch gewisse Sicherheitslücken behoben wurden und ob die Zusammenarbeit bei der Behandlung von Cybervorfällen funktioniert.

Infostar ist ein zentrales Register für die elektronische Erfassung von Ereignissen wie Geburt, Ehe oder Tod, die für die Zivilstandesämter von Bedeutung sind. Der Bund stellt die Softwarelösung seit 2005 für die Kantone bereit. Gemäss der EFK sind rund 1200 Benutzende in 142 Zivilstandesämtern daran angeschlossen. Betrieben wird die Anwendung vom Bundesamt für Justiz (BJ) und dem Informatik Service Center des Eidgenössischen Justiz- und Polizeidepartements (ISC-EJPD).

Aktualisierungen nötig

In ihrem Prüfbericht hält die EFK fest, dass noch immer Lücken festzustellen seien. Gemäss der Behörde müssen die Sicherheitsdokumentation und die Risikoanalyse der Anwendung aktualisiert werden. Das Projekt befinde sich zudem "in einer schwierigen Phase" und es seien Anpassungen in der Organisation und der Planung vorzunehmen. Dazu soll auch der Testansatz verbessert werden und eine stärkere Operationalisierung und eine bessere Kommunikation bei Cybervorfällen implementiert werden, schreibt die EFK.

Positiv bewertet die Aufsichtsbehörde, dass die Aktivitäten im Anwendungs- und technischen Betrieb zweckmässig beschrieben und umgesetzt werden. Die Benutzerverwaltung, die Cybersecurity, Sicherheitsbackups, die Infrastrukturüberwachung und periodische Stabilitätstests seien durch Fachpersonen sichergestellt. Zudem würde der Betrieb der aktuellen Lösung auch stabil laufen. Dennoch werde die Wartung durch die Komplexität der Programme erschwert.

Werden Risiken unterschätzt?

Obwohl eine Security-Governance vorhanden ist, die Rollen im Projekt klar definiert und besetzt sind und das Projekt einen erhöhten Bedarf an Informationsschutz aufweist, sei jedoch die Sicherheitsdokumentation weitgehend veraltet, heisst es in dem Bericht. Dies könne dazu führen, dass die Verantwortlichen die Risiken, denen die Lösung ausgesetzt sind, unterschätzen. Aus diesem Grund schlägt die EFK vor, dass die Sicherheitsdokumente aktualisiert werden und eine Restrisikoanalyse durchgeführt und validiert werden muss.

Kosten steigen

Das Projekt sei seit mehreren Monaten mit Schwierigkeiten konfrontiert, schreibt die Finanzkontrolle. Die Personalfluktuation sei hoch und die Projektleitungsstelle sei derzeit nur ad Interim besetzt. Die Verantwortlichen seien sich der heiklen Situation aber bewusst und hätten entsprechende Sofortmassnahmen festgelegt. So sei eine neue Organisation eingeführt und neue Mitarbeitende gesucht worden.

Durch die Personalsituation und die Verzögerungen seien Kostenüberschreitungen absehbar. Die EFK verzichtete auf eine Empfehlung, forderte aber eine verstärkte Integration von Fachpersonen für Sicherheit und Betrieb in die neue Organisation.