Ende Juni hatte der Bundesrat beschlossen, einen Krisenstab einzusetzen und bestehende Verträge mit Informatikdienstleistern des Bundes zu überprüfen, um den Xplain-Hack aufzuarbeiten. Nun haben alle IT-Dienstleister, die für den Bund arbeiten, Post erhalten. Im zweiseitigen Schreiben, das inside-it.ch vorliegt, geht es um "Informationen und Empfehlungen zur Informationssicherheit".

"Sie erhalten das vorliegende Informationsschreiben, da Ihr Unternehmen Informatikdienstleistungen für die Bundesverwaltung erbringt", schreiben Pierre Broye, Direktor Bundesamt für Bauten und Logistik (BBL) und Thierry Vauthey, Leiter Beschaffung bei der Behörde.

Die Unternehmen müssten in der Lage sein, Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Daten und Informationen sowie die Nachvollziehbarkeit des Umgangs mit Daten und Informationen zu gewährleisten, heisst es im Brief weiter. Der Bund "geht davon aus", dass die Unternehmen die vertraglichen Pflichten einhalten und sich regelmässig "über aktuelle Cyberbedrohungen und Gegenmassnahmen informieren". Dennoch listet das BBL im Schreiben 5 Punkte auf, die Unternehmen gewährleisten müssen.

Dazu zählen die Pflicht zur Multifaktor-Authentisierung, das Verbot zur Nutzung unverschlüsselter Passwörter und zur Speicherung nicht anonymisierter Produktivdaten des Bundes. Ausserdem sei ein Löschverfahren für Testdaten nach deren Gebrauch zu implementieren und anzuwenden. Netzwerkverkehr sei zu überwachen und remote arbeitende Personen müssten auf eine VPN-Verbindung "forciert" werden. Erforderlich seien zudem ein Incident-Response-Prozess sowie zentrales Logging auf Systemen und Anwendungen, um Logdateien regelmässig auswerten zu können.

Vertragspartner und das NCSC seien sofort zu informieren, wenn die genannten Sicherheitsanforderungen nur teilweise eingehalten werden können.

"Sie werden ein weiteres Schreiben erhalten, falls die Prüfung der Vertragsunterlagen einen Handlungsbedarf ergeben sollte", geben Broye und Vauthey den Unternehmen noch mit auf den Weg.