Exklusiv: Bund kontaktiert seine IT-Dienstleister wegen Security

19. Juli 2023 um 06:59
image
Foto: Micael Hintze / Unsplash

In einem Brief listet der Bund 5 Sicher­heits­an­forde­rungen auf, die seine IT-Dienstleister erfüllen müssen. Das Schreiben erhielten alle IT-Firmen, die für die Verwaltung arbeiten.

Ende Juni hatte der Bundesrat beschlossen, einen Krisenstab einzusetzen und bestehende Verträge mit Informatikdienstleistern des Bundes zu überprüfen, um den Xplain-Hack aufzuarbeiten. Nun haben alle IT-Dienstleister, die für den Bund arbeiten, Post erhalten. Im zweiseitigen Schreiben, das inside-it.ch vorliegt, geht es um "Informationen und Empfehlungen zur Informationssicherheit".
"Sie erhalten das vorliegende Informationsschreiben, da Ihr Unternehmen Informatikdienstleistungen für die Bundesverwaltung erbringt", schreiben Pierre Broye, Direktor Bundesamt für Bauten und Logistik (BBL) und Thierry Vauthey, Leiter Beschaffung bei der Behörde.
image
Die Unternehmen müssten in der Lage sein, Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Daten und Informationen sowie die Nachvollziehbarkeit des Umgangs mit Daten und Informationen zu gewährleisten, heisst es im Brief weiter. Der Bund "geht davon aus", dass die Unternehmen die vertraglichen Pflichten einhalten und sich regelmässig "über aktuelle Cyberbedrohungen und Gegenmassnahmen informieren". Dennoch listet das BBL im Schreiben 5 Punkte auf, die Unternehmen gewährleisten müssen.

Bitte melden Sie sich, wenn Sie das nicht können

Dazu zählen die Pflicht zur Multifaktor-Authentisierung, das Verbot zur Nutzung unverschlüsselter Passwörter und zur Speicherung nicht anonymisierter Produktivdaten des Bundes. Ausserdem sei ein Löschverfahren für Testdaten nach deren Gebrauch zu implementieren und anzuwenden. Netzwerkverkehr sei zu überwachen und remote arbeitende Personen müssten auf eine VPN-Verbindung "forciert" werden. Erforderlich seien zudem ein Incident-Response-Prozess sowie zentrales Logging auf Systemen und Anwendungen, um Logdateien regelmässig auswerten zu können.
Vertragspartner und das NCSC seien sofort zu informieren, wenn die genannten Sicherheitsanforderungen nur teilweise eingehalten werden können.
"Sie werden ein weiteres Schreiben erhalten, falls die Prüfung der Vertragsunterlagen einen Handlungsbedarf ergeben sollte", geben Broye und Vauthey den Unternehmen noch mit auf den Weg.

Loading

Mehr zum Thema

image

Das Meldewesen in der Beherbergung wird digital

Der Bund will das Meldewesen in der Beherbergung schweizweit digitalisieren. Dazu soll die Behördenplattform Easygov ergänzt werden.

publiziert am 20.1.2025
image

Thurgau "überrascht" mit Juris-Freihänder

Der Kanton lässt seine Justizplattform für 2,9 Millionen Franken ertüchtigen und warten. Der Softwareeigentümer will die Lösung "überraschenderweise" nur bis 2027 unterstützen.

publiziert am 20.1.2025
image

"Hypi" Lenzburg investiert ins Banking-as-a-Service-Geschäft

Im letzten Jahr ist das Software-Geschäft der Bank erneut gewachsen. Die Hypothekarbank beteiligt sich für den weiteren Ausbau an einem deutschen Banking-as-a-Service-Anbieter.

publiziert am 17.1.2025
image

Red Hat Summit im Zeichen von Open Source

Die Redner am "Red Hat Summit" wurden nicht müde, die Allgegenwärtigkeit von Open Source in der Schweiz zu betonen. 2025 sollte sogar das "Jahr der Open-Source-Software" werden.

publiziert am 17.1.2025