Exklusiv: Bund kontaktiert seine IT-Dienstleister wegen Security

19. Juli 2023 um 06:59
image
Foto: Micael Hintze / Unsplash

In einem Brief listet der Bund 5 Sicher­heits­an­forde­rungen auf, die seine IT-Dienstleister erfüllen müssen. Das Schreiben erhielten alle IT-Firmen, die für die Verwaltung arbeiten.

Ende Juni hatte der Bundesrat beschlossen, einen Krisenstab einzusetzen und bestehende Verträge mit Informatikdienstleistern des Bundes zu überprüfen, um den Xplain-Hack aufzuarbeiten. Nun haben alle IT-Dienstleister, die für den Bund arbeiten, Post erhalten. Im zweiseitigen Schreiben, das inside-it.ch vorliegt, geht es um "Informationen und Empfehlungen zur Informationssicherheit".
"Sie erhalten das vorliegende Informationsschreiben, da Ihr Unternehmen Informatikdienstleistungen für die Bundesverwaltung erbringt", schreiben Pierre Broye, Direktor Bundesamt für Bauten und Logistik (BBL) und Thierry Vauthey, Leiter Beschaffung bei der Behörde.
image
Die Unternehmen müssten in der Lage sein, Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Daten und Informationen sowie die Nachvollziehbarkeit des Umgangs mit Daten und Informationen zu gewährleisten, heisst es im Brief weiter. Der Bund "geht davon aus", dass die Unternehmen die vertraglichen Pflichten einhalten und sich regelmässig "über aktuelle Cyberbedrohungen und Gegenmassnahmen informieren". Dennoch listet das BBL im Schreiben 5 Punkte auf, die Unternehmen gewährleisten müssen.

Bitte melden Sie sich, wenn Sie das nicht können

Dazu zählen die Pflicht zur Multifaktor-Authentisierung, das Verbot zur Nutzung unverschlüsselter Passwörter und zur Speicherung nicht anonymisierter Produktivdaten des Bundes. Ausserdem sei ein Löschverfahren für Testdaten nach deren Gebrauch zu implementieren und anzuwenden. Netzwerkverkehr sei zu überwachen und remote arbeitende Personen müssten auf eine VPN-Verbindung "forciert" werden. Erforderlich seien zudem ein Incident-Response-Prozess sowie zentrales Logging auf Systemen und Anwendungen, um Logdateien regelmässig auswerten zu können.
Vertragspartner und das NCSC seien sofort zu informieren, wenn die genannten Sicherheitsanforderungen nur teilweise eingehalten werden können.
"Sie werden ein weiteres Schreiben erhalten, falls die Prüfung der Vertragsunterlagen einen Handlungsbedarf ergeben sollte", geben Broye und Vauthey den Unternehmen noch mit auf den Weg.

Loading

Mehr zum Thema

image

X reduziert Ressourcen gegen Desinformation bei Wahlen massiv

Der Entscheid von Elon Musk kommt zu einem brisanten Zeitpunkt. Es stehen kritische Wahlen an.

publiziert am 29.9.2023
image

"KMU sollten sich eher über Google statt die Post aufregen"

E-ID, EPD, SwissID: Die Post mischt überall mit, wenn es um wichtige Digitalisierungsprojekte der Schweiz geht. Wir haben uns mit der Verantwortlichen im Konzern, Nicole Burth, darüber unterhalten.

publiziert am 29.9.2023
image

Podcast: Wird Justitia 4.0 zum neuen EPD?

Der Bund will das Justizwesen digitalisieren, macht aber ähnliche Fehler wie beim elektronischen Patientendossier. In dieser Episode blicken wir auf die Anfänge zurück und erklären, wieso die Arbeit am Projekt schon begann, bevor die Rechtsgrundlage dafür bestand.

publiziert am 29.9.2023
image

Thurgau wünscht sich Zentralisierung des E-Patientendossiers

Dass für das EPD zahlreiche Stamm­ge­meinschaften zugelassen sind, ist laut Thurgauer Regierung ein Fehler. Auch die kantonalen Gesundheitsdirektorinnen sprechen sich für eine Zentralisierung aus.

publiziert am 28.9.2023