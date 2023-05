Die Eidgenössische Finanzkontrolle (EFK) schaut Behörden auf die Finger. Wenn ein grosses Projekt in Schräglage gerät, Bundesmittel verschleudert werden oder Pannen drohen, wird das vom obersten Finanzaufsichtsorgan des Bundes festgehalten.

Dafür untersucht die EFK auch die grossen IT-Projekte des Bundes, die "DTI-Schlüsselprojekte". Das sind kritische und meiste sehr kostspielige Angelegenheiten. Der jüngste EFK-Bericht etwa beschäftigt sich mit dem riesigen SAP-Programms "Superb", dessen Kosten auf 485 Millionen Franken geschätzt werden. Im Vordergrund stehen die Beurteilung der Informatikführung und der eingesetzten IKT-Mittel.

Dafür braucht das Organ grosse Ressourcen. Der Personalbestand der Finanzkontrolle hat mit umgerechnet 124 Vollzeitstellen einen Rekordstand erreicht. Das reicht aber nicht für alle Prüfungen. Deshalb sucht die EFK Spezialistinnen und Spezialisten mit Erfahrung in IT-Security-Audits im öffentlichen Bereich. Bis zu 5 Firmen sollen einen Vertrag erhalten.

Gefordert sind Wissen in der Beurteilung von Projekten, in Sachen IKT-Sicherheitstests, Penetrations-Tests und in der Beurteilung von Anwendungen, Systemen und Infrastrukturen. Dafür braucht die EFK erfahrene Leute: Entweder Seniors mit mindestens 5 Jahren Erfahrung oder Experts mit 8 Jahren Erfahrung mit Audits nach Frameworks wie ISO 27001 oder NIST.

Die Rahmenverträge werden vom 1. Januar 2024 bis Ende 2028 laufen. IT-Security-Prüfer sollen bis zu 800 Stunden leisten, die nach Bedarf über die 5 Zuschlagsempfänger verteilt werden können.