Exklusiv: Bund kontaktiert seine IT-Dienstleister wegen Security

19. Juli 2023 um 06:59
image
Foto: Micael Hintze / Unsplash

In einem Brief listet der Bund 5 Sicher­heits­an­forde­rungen auf, die seine IT-Dienstleister erfüllen müssen. Das Schreiben erhielten alle IT-Firmen, die für die Verwaltung arbeiten.

Ende Juni hatte der Bundesrat beschlossen, einen Krisenstab einzusetzen und bestehende Verträge mit Informatikdienstleistern des Bundes zu überprüfen, um den Xplain-Hack aufzuarbeiten. Nun haben alle IT-Dienstleister, die für den Bund arbeiten, Post erhalten. Im zweiseitigen Schreiben, das inside-it.ch vorliegt, geht es um "Informationen und Empfehlungen zur Informationssicherheit".
"Sie erhalten das vorliegende Informationsschreiben, da Ihr Unternehmen Informatikdienstleistungen für die Bundesverwaltung erbringt", schreiben Pierre Broye, Direktor Bundesamt für Bauten und Logistik (BBL) und Thierry Vauthey, Leiter Beschaffung bei der Behörde.
image
Die Unternehmen müssten in der Lage sein, Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Daten und Informationen sowie die Nachvollziehbarkeit des Umgangs mit Daten und Informationen zu gewährleisten, heisst es im Brief weiter. Der Bund "geht davon aus", dass die Unternehmen die vertraglichen Pflichten einhalten und sich regelmässig "über aktuelle Cyberbedrohungen und Gegenmassnahmen informieren". Dennoch listet das BBL im Schreiben 5 Punkte auf, die Unternehmen gewährleisten müssen.

Bitte melden Sie sich, wenn Sie das nicht können

Dazu zählen die Pflicht zur Multifaktor-Authentisierung, das Verbot zur Nutzung unverschlüsselter Passwörter und zur Speicherung nicht anonymisierter Produktivdaten des Bundes. Ausserdem sei ein Löschverfahren für Testdaten nach deren Gebrauch zu implementieren und anzuwenden. Netzwerkverkehr sei zu überwachen und remote arbeitende Personen müssten auf eine VPN-Verbindung "forciert" werden. Erforderlich seien zudem ein Incident-Response-Prozess sowie zentrales Logging auf Systemen und Anwendungen, um Logdateien regelmässig auswerten zu können.
Vertragspartner und das NCSC seien sofort zu informieren, wenn die genannten Sicherheitsanforderungen nur teilweise eingehalten werden können.
"Sie werden ein weiteres Schreiben erhalten, falls die Prüfung der Vertragsunterlagen einen Handlungsbedarf ergeben sollte", geben Broye und Vauthey den Unternehmen noch mit auf den Weg.

Loading

Mehr erfahren

Mehr zum Thema

image

Digitale Fahrtenschreiber: Freie Fahrt für Elca?

Das Bundesamt für Strassen sucht eine Nachfolgelösung für das Verwaltungssystem von digitalen Fahrtschreiberkarten. Elca könnte der alte und neue Anbieter sein.

publiziert am 16.4.2024
image

Thurgau beginnt mit der M365-Einführung

Für die kantonale Verwaltung soll ein "umfassender digitaler Arbeitsplatz" auf Microsoft-Cloud-Basis umgesetzt werden.

publiziert am 16.4.2024
image

Was das Unispital Zürich von seinem KIS-Anbieter erwartet

Das USZ hat eine Ausschrei­bung für ein neues Klinik­informations­system publiziert. Zunächst trifft das Spital eine Vorauswahl.

publiziert am 15.4.2024
image

Samsung erhält Milliarden für Bau einer US-Chipfabrik

Der südkoreanische Konzern will neue Standorte für Entwicklung und Fertigung in den USA bauen und erhält dafür Subventionen in Milliardenhöhe.

publiziert am 15.4.2024