Die Eidgenössische Finanzkontrolle (EFK) schaut Behörden auf die Finger. Das oberste Finanzaufsichtsorgan des Bundes überwacht die finanzielle Führung in der Bundesverwaltung. Dafür braucht die EFK mit ihren 124 Vollzeitstellen auch IT-Fachleute und Spezialisten für Cybersecurity.

So suchte das Organ kürzlich Spezialistinnen und Spezialisten mit Erfahrung in IT-Security-Audits im öffentlichen Bereich. Bis zu 5 Firmen sollen einen Vertrag erhalten: für bis zu 800 Stunden an Leistungen. Das wären 160 Stunden pro Firma, also knapp 20 Arbeitstage.

Lohnt sich da eine Bewerbung überhaupt? Das fragte sich auch ein potenzieller Auftragnehmer und hakte bei der EFK nach. "Die Ausschreibungsunterlagen haben einen Fehler enthalten. Es sind gesamthaft 800 Personentage und nicht 800 Stunden", schreibt diese zurück. Die Finanzkontrolle veröffentlichte daraufhin ein neues Pflichtenheft, in dem dies korrigiert ist.

Schliesslich geht die Organisation von rund 3 bis 4 IT-Securityprüfungen im Jahr aus, die um die 25 bis 35 Personentage an externer Unterstützung erfordern. Dies schreibt die EFK im Antwortkatalog der Ausschreibung. Die Rahmenverträge werden vom 1. Januar 2024 bis Ende 2028 laufen. Die Leistungen in den 800 Arbeitstagen werden jeweils nach Bedarf über die 5 Zuschlagsempfänger verteilt.

Die Abweichung ist enorm. Geht man analog der Vermittlungsplattform Gryps von rund 1600 Franken für einen Tag Sicherheitsdienstleistungen aus, kommt man nun auf rund 1,3 Millionen Franken. Zuvor wäre es nur um 32'000 Franken gegangen.

Gefordert sind Wissen in der Beurteilung von Projekten, in Sachen IKT-Sicherheitstests, Penetrations-Tests und in der Beurteilung von Anwendungen, Systemen und Infrastrukturen. Dafür braucht die EFK erfahrene Leute: Entweder Seniors mit mindestens 5 Jahren Erfahrung oder Experts mit 8 Jahren Erfahrung mit Audits nach Frameworks wie ISO 27001 oder NIST.