Seit dem 1. Januar 2024 ist das neue Informationssicherheitsgesetz (ISG) in Kraft. Dieses sieht unter anderem vor, dass Bundesbehörden über ein Information Security Management System (ISMS) verfügen. Jetzt hat die interne Revision des Departements für Verteidigung, Bevölkerungsschutz und Sport (IR VBS) im Auftrag von VBS-Chefin Viola Amherd die Sicherheitsdokumentation der Gruppe Verteidigung unter die Lupe genommen.
Dabei wurde geprüft, ob das Schutzobjektportfolio präzise geführt wird, die Grundlagendokumente vorliegen und ob die notwendigen Risikoupdates stattfinden. "Obwohl nicht alle Weisungen auf dem aktuellsten Stand sind, existieren Vorlagen für die Sicherheitsdokumente, etablierte Prozesse und Kontrollen im Umgang mit der Inventarisierung, Dokumentation und Aktualisierung von Schutzobjekten", hält die Prüfstelle fest.
Aufgrund des neuen Gesetzes empfiehlt die IR VBS, dass die aktuellen Weisungen und Dokumentvorlagen analysiert und zeitnah überarbeitet werden müssen. Weiter sollen auch die Unterschriftsberechtigungen und Kompetenzen im Sicherheitsprozess klar definiert werden. "Diese Dokumente sind aufeinander abzustimmen, um möglichen Widersprüchen vorzubeugen", schreibt die interne Revision des VBS.
Derzeit seien für die Dokumentation von sicherheitsrelevanten Vorfällen "zeitintensive manuelle" Arbeiten erforderlich, heisst es im Bericht. Die Einführung einer neuen IT-Lösung dafür sei aber erst 2025 möglich. "Auch die Datenqualität entspricht noch nicht den Anforderungen an ein effizientes Register", haben die Revisoren festgestellt.
Auch die Cloud betroffen
Gemäss dem Bericht wurden auch Public-Cloud-Anwendungen überprüft. "Für die Beschaffung von Public-Cloud-Anwendungen sind Regelungen und Prozesse auf Stufe Departement etabliert worden", so die Revision. Gleichzeitig bemängelt sie aber, dass die Public-Cloud-Lösungen nicht umfassend als Schutzobjekte geführt werden.
So besteht laut der Prüfbehörde die Gefahr eines ungewollten Informationsabflusses. Die IR VBS empfiehlt der Gruppe Verteidigung deshalb sicherzustellen, dass für alle Public-Cloud-Anwendungen eine Schutzbedarfs- und Risikoanalyse durch die Verwaltungseinheiten durchgeführt wird.
Bei Informatikvorhaben des Bundes ist eine solche Schutzbedarfsanalyse zwingend. Die Informationssicherheitsbeauftragten der Verwaltungseinheiten sollten mehrheitlich über neue und laufende Informatikprojekte informiert und bereits während der Initialisierungsphase mit eingebunden werden.
Bei Folge- oder Nachbeschaffungen sowie kleineren Anschaffungen von Fachanwendungen geschehe dies noch nicht, so die interne Revision. Aus diesem Grund empfiehlt sie der Gruppe Verteidigung, die Informationssicherheitsbeauftragten oder die zuständige Fachstelle der Verwaltungseinheiten stärker in Vorhaben mit Fachanwendungen einzubeziehen.
Verantwortungen klären
"Bei den Sicherheitsorganisationen der Gruppe Verteidigung wird grosser Wert darauf gelegt, dass die Sicherheitsdokumente aktuell gehalten werden und gültig sind", schreibt die IR VBS. Trotzdem habe eine Stichprobenprüfung gezeigt, dass die Sicherheitsdokumente der Schutzobjekte in gewissen Fällen von Personen unterzeichnet wurden, welche die Restrisiken nicht als verantwortliche Person einer Verwaltungseinheit getragen haben.
Die Schutzobjekte des VBS werden gegenwärtig in einem zentralen Register als Übergangslösung geführt. Die Lösung weist allerdings viele Einschränkungen auf: So fehlt gemäss der Revision beispielsweise eine dezentrale Ablage für verschlüsselte Dokumente und es gibt Abhängigkeiten zu externen IT-Lieferanten oder -Dienstleistern.
Bis Ende 2023 erbrachten das Bundesamt für Informatik und Telekommunikation (BIT) sowie die Führungsunterstützungsbasis der Armee (FUB) solche Informatikleistungen. Die offenen Fragen bezüglich Umsetzung der Governance im Zusammenhang mit den Schutzobjekten stellen aktuell, vor allem beim Kommando Cyber sowie dem Armeestab, eine Herausforderung dar, so die Prüfer.
Die IR VBS empfiehlt der Gruppe Verteidigung deshalb, die Governance im Zusammenhang mit ihren Schutzobjekten beim Armeestab sowie dem Kommando Cyber schnellstmöglich zu finalisieren und umzusetzen.