EFK: Skyguide muss das Continuity Management verbessern

7. Februar 2023 um 12:42
  • efk
  • skyguide
  • IT-Betrieb
  • it-strategie
  • security
image
Foto: Skyguide

Im Rahmen des Programms "Virtual Center" kommt es zu grossen Veränderungen im IT-Betrieb von Skyguide. In einer zweiten Prüfung anerkennt die Finanzkontrolle zwar Fortschritte, aber beim IT Continuity Management gibt es noch viel zu tun.

Mit dem Programm "Virtual Center" von Skyguide wird ein harmonisiertes Schweizer Flugverkehrsmanagementsystem und eine gemeinsame Plattform zwischen den wichtigen Standorten Wangen und Genf geschaffen. Das Programm hat ein Budget von 262 Millionen Franken und ist für die Jahre 2011 bis 2024 in drei Etappen aufgeteilt. Nach einer Überprüfung der zweiten Etappe ("VCT2") durch die Eidgenössische Finanzkontrolle (EFK) im Jahr 2019 folgte nun eine Nachprüfung der damals ausgesprochenen Empfehlungen.
Grundsätzlich zeigt sich die EFK nach der erneuten Prüfung zufrieden. Ein Teil der Empfehlungen sei bereits umgesetzt worden. Dazu gehören insbesondere verbesserte Kommunikationsmassnahmen und eine effizientere Arbeit mit dem externen Dienstleister. Es gebe einen regelmässigen Austausch, potenzielle Probleme könnten rechtzeitig angesprochen werden, so die EFK. Es sei aber wichtig, diese Anstrengungen aufrechtzuerhalten.

Schwieriger Wandel des IT-Betriebs

Im letzten Bericht hat die EFK festgehalten, dass sich mit dem Programm auch der IT-Betrieb wandelt. Dies ist offenbar nicht immer problemlos verlaufen.
Es seien neue Arbeitsmethoden eingeführt und gewisse Arbeiten ausgelagert worden, heisst es von der EFK. Vorfallsberichte hätten damals auf problematische Situationen in den Arbeitsabläufen hingewiesen, insbesondere an der Schnittstelle zwischen Dienstleister und internen Teams. Abläufe seien nur teilweise integriert gewesen, sodass gewisse Informationen manuell weitergeleitet werden mussten. Dies wiederum habe die Kontrolle erschwert. Auch habe es Unsicherheiten bei den Verantwortlichkeiten gegeben.
Die EFK habe Skyguide deshalb ferner empfohlen, ein Tool einzuführen, um Änderungen zu protokollieren, auch solche, die von Usern mit Admin-Rechten direkt an den produktiven Systemen vorgenommen werden. Diese Protokolle sollten in regelmässigen Abständen von den Leitern des IT-Betriebs überprüft werden. Skyguide "anerkennt, dass die Verwaltung der privilegierten Zugriffe einen wichtigen Beitrag zur Sicherheit des Betriebs" darstelle, so die Organisation in ihrer Stellungnahme im letzten Bericht. Die Empfehlung werde in der Security-Roadmap berücksichtigt.
Viele Massnahmen seien mittlerweile in die Wege geleitet worden, heisst es im Bericht zur Nachprüfung. Die Integration sämtlicher Komponenten in das Cyberabwehr-Zentrum sowie das Monitoring der Änderungen sind demnach auf gutem Wege. Doch die Arbeiten seien noch nicht abgeschlossen, halten die Prüfer fest.
Für die Überwachung von Änderungen hat Skyguide das "WAC-Verfahren" definiert, das den Arbeitsablauf definiert und verwaltet. Es solle sicherstellen, dass alle Beteiligten über Ereignisse informiert werden und der gesamte Lebenszyklus abgedeckt ist. Tests seien mittlerweile in diesen Prozess einbezogen, so die EFK. Fortschritte habe Skyguide auch bei der automatischen Protokollierung der Änderungen gemacht, die von Usern mit Admin-Rechten an den produktiven Systemen gemacht werden. Dasselbe gelte für die Überprüfung durch die Leiter des IT-Betriebs.
Aber bei der Integration der repetitiven Interventionen am Management-Tool für die Kontinuität der ICT, sprich dem IT Service Continuity Management, bleibe noch viel zu tun. Trotz der Fortschritte, so das Fazit der EFK, könne man nicht davon ausgehen, dass die Empfehlungen vollständig umgesetzt worden seien.

Uvek-Bericht kritisiert Kontinuitäts­managements

Aufgrund einer technischen Störung bei Skyguide war vergangenen Sommer der Schweizer Luftraum gesperrt worden. Ein anschliessender Bericht, der vom Uvek in den Auftrag gegeben wurde, kam zu ähnlichen Schlüssen wie die EFK.
Der Bericht listet mehrere Empfehlungen, wozu auch der Ausbau des Business Continuity Managements (BCM) gehörte, um die für die Flugsicherung kritischen Prozesse und Systeme besser zu schützen oder alternative Abläufe zu ermöglichen. Auch das Thema Kommunikation und Zusammenarbeit mit Externen findet sich in diesem Bericht wieder.

Loading

Mehr erfahren

Mehr zum Thema

image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024
image

EFK verteilt Hausaufgaben ans E-ID-Projektteam

Die Eidgenössische Finanzkontrolle (EFK) hat sich mit dem E-ID-Projekt des Bundes befasst. Sie zeigt den Verantwortlichen auf, woran es noch fehlt.

publiziert am 13.5.2024 3