Letzte Woche haben wir darüber berichtet, dass der Bund wegen des Datenabflusses beim Homeland-Security-Anbieter Xplain alle seine IT-Dienstleister per Brief über die geforderten Minimalstandards informierte. Das Schreiben erhielt gleichermassen triviale sowie banale Empfehlungen für die IT-Sicherheit. "Die Awareness und das Verständnis von IT-Security fehlt beim Bund an allen Ecken und Enden", schrieb unser Chefredaktor Reto Vogt in seiner wöchentlichen Kolumne.

Während der Bund in seinem Brief nur Empfehlungen abgibt, geht das Bundesamt für Polizei (Fedpol) – das auch vom Datenleck betroffen ist – einen Schritt weiter. Die Behörde hat ihre Dienstleister ebenfalls angeschrieben und will von diesen wissen, wie sie den IT-Grundschutz bewerkstelligen. Das Schreiben liegt inside-it.ch vor.

"Im Sinne einer proaktiven und präventiven Massnahme hat sich das Fedpol entschieden, bei den bedeutsamsten externen Leistungserbringern eine Bestätigung zum IT-Grundschutz einzuholen", heisst es im Brief. Dazu will das Bundesamt genau wissen, wie dieser Schutz zustande kommt. Deshalb hat die Behörde einen ganzen Fragenkatalog an ihre IT-Dienstleister verschickt.

Das Fedpol will wissen, ob produktive Daten regelmässig gelöscht werden, nachdem ein Supportfall abgeschlossen wurde und ob davon Löschprotokolle erstellt werden. Weiter müssen die Dienstleister angeben, ob sie ihre Informationen datenschutzkonform aufbewahren und ob sichergestellt ist, dass Testdatenbanken in keinem Falle produktive Daten enthalten.

Gerade Testdatenbanken seien konsequent zu anonymisieren, schreibt das Fedpol und fragt gleichzeitig: "Sind Testdaten, Testdatenbanken, Testumgebungen, Screenshots mit Testdaten etc. klar als solche gekennzeichnet, damit diese von produktiven Daten unterschieden werden können?"

Weiter will das Bundesamt wissen, ob die gespeicherten Dokumente gemäss ihrer Klassifizierung vor unerlaubtem Zugriff geschützt sind, ob im Sourcecode bei Softwareentwicklung keine Logindaten und Passwörter im Klartext auslesbar sind, ob Zugangsinformationen nicht in einem Word- oder Excel-File gespeichert sind und ob es einen sicheren Kanal für den Austausch von sensiblen Daten gibt.

Die angeschriebenen IT-Dienstleister müssen nun bis Mitte August zu den Fragen Stellung nehmen. Dabei verlangt das Fedpol eine "detaillierte Ausführung", die mit Prozessbeschrieben, einer Liste der produktiven Kundendaten und auch Artefakten wie zum Beispiel Logfiles oder nicht anonymisierte Printscreens aus produktiven Systemen ergänzt werden müssen.