EFK nennt eklatante Lücken in der IT-Infrastruktur des Schweizer Parlaments

22. März 2022, 10:17
image
Foto: Parlamentsdienste Bern

Die Probleme sind so gross, dass die Finanzkontrolle die Sistierung eines Projekts ins Spiel bringt. Laut Bericht lässt sich nicht mal feststellen, ob das System angegriffen wurde.

Die Eidgenössische Finanzkontrolle (EFK) hat in den IT-Projekten für die Digitalisierung des Rats- und Kommissionsbetriebs des nationalen Parlaments gravierende Sicherheitsmängel festgestellt. Angesichts der Risiken und der ungeklärten strategischen Vorgaben wurde von der Finanzkontrolle sogar eine Sistierung des Projekts Curiaplus ins Spiel gebracht.
Die EFK hat das strategische IT-Vorhaben geprüft und dabei auch das Projekt Cervin unter die Lupe genommen, auf dem Curiaplus basiert. Bei Cervin geht es um die Bereitstellung eines neuen digitalen Applikationsportals und die Ablösung der bestehenden Intra- und Extranet-Lösungen des nationalen Parlaments, auf dem Curiaplus als digitale Infrastruktur für die parlamentarischen Geschäftsprozesse basieren soll.

Parlamentsdienste sehen keine Einführungsrisiken

Cervin wird bereits seit Ende 2019 von den Parlamentarierinnen und Parlamentariern genutzt, obwohl laut EFK wichtige Betriebsfragen ungeklärt sind. Das Applikationsportal sei weder in Hinblick auf Funktion noch auf Sicherheit abgenommen worden, zudem gebe es keine genügenden Testmöglichkeiten. Der Betrieb sei ohne entsprechenden Vertrag und Service Level Agreement an die externe Firma Clavis IT übertragen worden.
Das Fazit der EFK ist deutlich: Die Cervin-Infrastruktur sei "aktuell nicht sicher genug, um darauf die noch deutlich sensiblere Anwendung Curiaplus zu implementieren und zu betreiben". Es liesse sich noch nicht mal feststellen, ob das System seit Inbetriebnahme angegriffen wurde. 2021 hatten die Parlamentsdienste 31 Angriffe registriert, davon 6 bedeutende, wie es in einer Antwort auf eine Anfrage des Nationalrats im letzten November hiess. Das sind indes lediglich die Fälle, die den Diensten gemeldet wurden.
Angesichts der Risiken und der ungeklärten strategischen Vorgaben sei zu klären, ob eine Sistierung des Projektes Curiaplus angebracht wäre, heisst es im EFK-Bericht. Die Parlamentsdienste sehen aber keinen Anlass, die Frage der Weiterführung des Projektes Curiaplus vertieft zu prüfen. Es seien keine nennenswerten Einführungsrisiken ersichtlich.

Projektleitung hielt Lücken für "nicht prioritär"

Die Mängel in Cervin wurden bereits in Sicherheitsaudits im Herbst 2020 festgestellt: insgesamt wurden damals 9 gravierende, 31 mittlere und 34 wenig bedrohliche Schwachstellen gefunden. Die Forderung lautete damals: Die schwerwiegenden Lücken seien "schnellstmöglich zu beheben". Die Projektleitung habe aber die Umsetzung zweimal als "nicht prioritär" eingestuft, heisst es nun im EFK-Bericht.
Das Resultat: Im Mai 2021 waren erst drei der schwerwiegenden Schwachstellen behoben, wie die Prüfung der EFK ergab, die im Juni im letzten Jahr durchgeführt wurde. Nach wie vor fehlte etwa ein Rollenmodell, in dem die Rollen und ihre Rechte dokumentiert sind. Zudem konnte der Datenzugriff nicht nachvollzogen werden und schliesslich mangelte es an einem Monitoring- und Logging-Konzept. Sprich: Unerlaubte Zugriffe, etwa auf sensible Kommissionsdokumente, konnten nicht entdeckt werden. Dies ist besonders alarmierend, weil gleichzeitig noch drei Lücken im System klafften, die die Identitätsübernahme von Parlamentariern erlaubten.

Ungewohnt scharfe Kritik der EFK

Entsprechend scharf äussert sich die Finanzkontrolle zu den beiden Projekten: "Eine auf die Geschäftsziele oder auf den Digitalisierungsauftrag abgestimmte IKT-Strategie ist nicht vorhanden. Ebenso eine Betriebs- und Sourcing-Strategie und eine Ziel-Architektur, die alle relevanten Anforderungen berücksichtigen. In diesem Vakuum wurde von den Projekten – teilweise ohne umfassende Abklärung der Konsequenzen – Entscheide getroffen und Fakten geschaffen."
Zwar seien im Mai 2021 externe Spezialisten zur Erarbeitung einer Steuerungsgrundlage bekannt gegeben worden, deren Arbeitsergebnis sei aber noch offen, so die EFK. Bis zum Abschluss liesse sich schlicht nicht feststellen, ob es überhaupt möglich sei, Korrekturen vorzunehmen und die Projekte auf Kurs zu bringen.
Im Gegensatz zur Finanzkontrolle erachteten es die Parlamentsdienste nicht mal als sinnvoll, erneut eine vollständige Gefahren- und Risikoanalyse durchzuführen. Zum einen sei die Portalplattform im Rahmen des Projektes Cervin gründlich geprüft und verbesserungswürdige Punkte seien in der Umsetzung. Curiaplus werde weitere sicherheitstechnische Überprüfungen dann vornehmen, wenn die Schnittstellenanbindungen zu den benützten Anwendungen erfolgt seien, da vorher kein Datenaustausch möglich sei.
Ein drittes Projekt musste indes bereits abgebrochen werden: Soprane, das die Entwicklung von Business-Intelligence-Systemen zur Unterstützung der parlamentarischen Arbeit vorsah, wurde ab 2018 realisiert und nach einem Pilotbetrieb im Sommer 2020 auf Eis gelegt.

Loading

Mehr zum Thema

image

EU wirft wohl einen Blick auf VMware-Übernahme

Befürchtet wird eine eingehende Prüfung durch die Wettbewerbshüter, die den 69-Milliarden-Deal stark verzögern könnte.

publiziert am 24.6.2022
image

E-Umzug soll in allen Berner Gemeinden eingeführt werden

Nach einem Pilot zieht der Kanton Bern eine positive Bilanz: In allen Gemeinden soll die An- und Abmeldung bald auch auf digitalem Wege möglich sein.

publiziert am 24.6.2022
image

EJPD hat sich Java-Entwickler ausgewählt

Die 5 Anbieter, die den IT-Dienstleister des Departements von Karin Keller-Sutter bei der Java-Entwicklung von Individualsoftware unterstützen werden, sind gefunden.

publiziert am 24.6.2022
image

Zürich: "Schweizerische oder europäische Clouds sind zu bevorzugen"

Richtlinien des Kantons zeigen, was bei der Auswahl und der Nutzung von Cloud-Diensten zu berücksichtigen ist.

publiziert am 24.6.2022