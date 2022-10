In der Bewältigung von Cybervorfällen gibt es für das Nationale Zentrum für Cybersicherheit (NCSC) noch Aufholbedarf. Zu diesem Schluss kommt die Eidgenössische Finanzkontrolle (EFK) in ihrer Beurteilung, ob Cybervorfälle gegen die Infrastruktur des Bundes zeitnah erkannt und abgewehrt werden können.

Meldungen müssen schneller erfolgen

Ein Kritikpunkt sieht die EFK bei den Meldungen. In zwei Fällen untersuchte die EFK den Meldevorgang. Beim ersten handelte es sich um einen internen Fall in der Bundesverwaltung, beim zweiten ging es um ein externes Unternehmen. Von der Entdeckung des Vorfalls bis zur Meldung an das NCSC dauerte es laut EFK im ersten Fall 13 und im zweiten 11 Tage. Die Verwaltungseinheiten handelten zu langsam, so die EFK. Die Meldezeiten würden zu lange dauern, die Durchlaufzeiten zwischen Entdeckung, Kommunikation und Beginn der Störungsbehebung sollten verbessert werden.

Konkret empfiehlt die EFK dem NCSC, die Verwaltungseinheiten zu sensibilisieren und die Prozesse stufengerecht zu gestalten. "Das NCSC wird die Wirkung einer zeitnahen Meldung bei den Sensibilisierungsmassnahmen entsprechend berücksichtigen und die Optimierung der Abläufe sowie Pflichten im kontinuierlichen Verbesserungsprozess zur Meldepflicht von Cybervorfällen gebührend beachten", heisst es in der Stellungnahme des NCSC zu der EFK-Empfehlung.

Auch Kommunikations-Manko wird kritisiert

Auch bei der Kommunikation hapert es. Die Meldungen an die Informatiksicherheitsbeauftragten (ISBD und ISBO bei den Departementen respektive Verwaltungseinheiten) würden zu spät eintreffen. Das NCSC soll die Informationen an die ISBD beziehungsweise ISBO anpassen und verantwortliche Personen für die Kommunikation beauftragen, wenn ein Cybervorfall auch die Verwaltungseinheiten betrifft.

Ein weiteres Kommunikations-Manko: Das NCSC hat sich beim betroffenen Unternehmen im geprüften Vorfall nicht mehr gemeldet, auch wenn der Fall erfolgreich abgeschlossen war. Es blieb also für die Betroffenen unklar, ob der Cybervorfall sachgerecht erledigt wurde. Nach Bewältigung eines Falles soll das NCSC künftig eine Rückmeldung an die involvierten Stellen weiterleiten, empfiehlt die EFK.

In den Stellungnahmen akzeptiert und unterstützt das NCSC die Vorschläge der Finanzkontrolle. "Das NCSC dankt der EFK für die durchgeführte Prüfung zur Wirksamkeit der Vorfallbewältigung beim Schutz der Bundes-IKT vor Cyberrisiken", schreibt das Nationale Zentrum für Cybersicherheit. "Es zeigt sich mit dem Bericht und den Einschätzungen der EFK einverstanden und unterstützt die im Bericht aufgezeigten Optimierungsmassnahmen im Sinne der Resilienzförderung der Infrastruktur des Bundes." Die EFK-Prüfung wurde vom 14. März bis zum 14. April 2022 durchgeführt.