Das Bundesamt für Polizei (Fedpol) und das Bundesamt für Rüstung (Armasuisse) suchen einen Beauftragten für die Informationssicherheit (ISBO). Die neue Fachperson soll künftig die Informations- und IT-Sicherheitsaspekte in den Bundesämtern steuern. Unter anderem wird sie das Information Security Management System (ISMS) verantworten.
Ein ISMS definiert Regeln und Verfahren, mit denen sich die Informationssicherheit kontrollieren und verbessern lässt. Das war nach dem Xplain-Hack, bei dem Daten der beiden Ämter gestohlen wurden, ein Thema. Im
Brief des Bundes an seine IT-Dienstleister geht es auch um Daten aus der Verwaltung und um Löschung und Verschlüsselung.
Einen Zusammenhang mit dem Xplain-Hack gebe es bei der aktuellen Ausschreibung aber nicht, erklärt das Fedpol auf Anfrage. Die Funktion habe schon länger bestanden, man habe noch vor dem Hack seit Anfang Jahr geplant, sie aufzustocken. Damit wolle man den Anforderungen des neuen Informationssicherheitsgesetzes (ISG) entsprechen, so das Fedpol. Das neue Gesetz tritt Anfang 2024 in Kraft.
"Kein Zusammenhang mit dem Xplain-Hack"
Die Ereignisse rund um den Hack hätten aber gezeigt, dass es wichtig sei, die Sicherheitsstandards zu erhalten und weiter auszubauen, räumt das Fedpol ein und schreibt: "Die Rolle des ISBO wird beim Fedpol deshalb nach erfolgreicher Rekrutierung doppelt besetzt sein. Dies ist – neben den von Inside-IT bereits thematisierten Schreiben an die Lieferanten – eine der daraus gezogenen Lehren." Auf technische Massnahmen gehe man aus Sicherheitsgründen nicht ein.
Anders begründet Armasuisse die Stellenausschreibung. Es handle sich um eine Wiederbesetzung infolge eines ordentlichen Stellenwechsels, teilt das Bundesamt auf Anfrage mit. Es ergänzt: "Es ist also keine neue Stelle und es besteht auch keinerlei Zusammenhang zum Datenabfluss bei Xplain." Zu den Massnahmen heisst es lediglich, man evaluiere mögliche Risiken, stufe sie ein und ergreife entsprechende Massnahmen. Zudem stehe die Awareness (SESA-Training, Phishing-Aktionen) hoch im Kurs.
Im Fedpol soll der oder die ISBO nun die notwendigen Grundlagen für die Umsetzung des ISG sowie IT-Sicherheits-Vorgaben für das Bundesamt erarbeiten, heisst es in der Stellenbeschreibung. Das fehlt bei Armasuisse, wo die Fachperson die Informationssicherheitsvorgaben umsetzen und für die Einhaltung sorgen soll. Der ISBO wird im Bundesamt auch als stellvertretender CISO arbeiten.