Gruppe Verteidigung muss bei der Cybersicherheit über die Bücher

26. August 2024 um 12:29
image
Ein Armeeangehöriger beim Einsatz für die Friedenskonferenz auf dem Bürgenstock. Foto: Philipp Schmidli / VBS

Für die Dokumentation von sicher­heits­relevanten Cybervorfällen sind im VBS derzeit noch manuelle Arbeitsschritte nötig. 2025 soll sich das ändern.

Seit dem 1. Januar 2024 ist das neue Informationssicherheitsgesetz (ISG) in Kraft. Dieses sieht unter anderem vor, dass Bundesbehörden über ein Information Security Management System (ISMS) verfügen. Jetzt hat die interne Revision des Departements für Verteidigung, Bevölkerungsschutz und Sport (IR VBS) im Auftrag von VBS-Chefin Viola Amherd die Sicher­heits­doku­mentation der Gruppe Verteidigung unter die Lupe genommen.
Dabei wurde geprüft, ob das Schutzobjektportfolio präzise geführt wird, die Grundlagendokumente vorliegen und ob die notwendigen Risikoupdates stattfinden. "Obwohl nicht alle Weisungen auf dem aktuellsten Stand sind, existieren Vorlagen für die Sicherheitsdokumente, etablierte Prozesse und Kontrollen im Umgang mit der Inventarisierung, Dokumentation und Aktualisierung von Schutzobjekten", hält die Prüfstelle fest.
Aufgrund des neuen Gesetzes empfiehlt die IR VBS, dass die aktuellen Weisungen und Dokumentvorlagen analysiert und zeitnah überarbeitet werden müssen. Weiter sollen auch die Unterschriftsberechtigungen und Kompetenzen im Sicherheitsprozess klar definiert werden. "Diese Dokumente sind aufeinander abzustimmen, um möglichen Widersprüchen vorzubeugen", schreibt die interne Revision des VBS.
Derzeit seien für die Dokumentation von sicherheitsrelevanten Vorfällen "zeitintensive manuelle" Arbeiten erforderlich, heisst es im Bericht. Die Einführung einer neuen IT-Lösung dafür sei aber erst 2025 möglich. "Auch die Datenqualität entspricht noch nicht den Anforderungen an ein effizientes Register", haben die Revisoren festgestellt.

Auch die Cloud betroffen

Gemäss dem Bericht wurden auch Public-Cloud-Anwendungen überprüft. "Für die Beschaffung von Public-Cloud-Anwendungen sind Regelungen und Prozesse auf Stufe Departement etabliert worden", so die Revision. Gleichzeitig bemängelt sie aber, dass die Public-Cloud-Lösungen nicht umfassend als Schutzobjekte geführt werden.
So besteht laut der Prüfbehörde die Gefahr eines ungewollten Informations­ab­flusses. Die IR VBS empfiehlt der Gruppe Verteidigung deshalb sicher­zu­stellen, dass für alle Public-Cloud-Anwendungen eine Schutzbedarfs- und Risikoanalyse durch die Verwaltungseinheiten durchgeführt wird.
Bei Informatikvorhaben des Bundes ist eine solche Schutzbedarfsanalyse zwingend. Die Informationssicherheitsbeauftragten der Verwaltungseinheiten sollten mehrheitlich über neue und laufende Informatikprojekte informiert und bereits während der Initialisierungsphase mit eingebunden werden.
Bei Folge- oder Nachbeschaffungen sowie kleineren Anschaffungen von Fachanwendungen geschehe dies noch nicht, so die interne Revision. Aus diesem Grund empfiehlt sie der Gruppe Verteidigung, die Informations­sicher­heits­beauftragten oder die zuständige Fachstelle der Verwaltungseinheiten stärker in Vorhaben mit Fachanwendungen einzubeziehen.

Verantwortungen klären

"Bei den Sicherheitsorganisationen der Gruppe Verteidigung wird grosser Wert darauf gelegt, dass die Sicherheitsdokumente aktuell gehalten werden und gültig sind", schreibt die IR VBS. Trotzdem habe eine Stichprobenprüfung gezeigt, dass die Sicherheitsdokumente der Schutzobjekte in gewissen Fällen von Personen unterzeichnet wurden, welche die Restrisiken nicht als verantwortliche Person einer Verwaltungseinheit getragen haben.
Die Schutzobjekte des VBS werden gegenwärtig in einem zentralen Register als Übergangslösung geführt. Die Lösung weist allerdings viele Ein­schrän­kung­en auf: So fehlt gemäss der Revision beispielsweise eine dezentrale Ablage für verschlüsselte Dokumente und es gibt Abhängigkeiten zu externen IT-Lieferanten oder -Dienstleistern.
Bis Ende 2023 erbrachten das Bundesamt für Informatik und Tele­kom­mu­ni­ka­ti­on (BIT) sowie die Führungsunterstützungsbasis der Armee (FUB) solche Informatikleistungen. Die offenen Fragen bezüglich Umsetzung der Governance im Zusammenhang mit den Schutzobjekten stellen aktuell, vor allem beim Kommando Cyber sowie dem Armeestab, eine Herausforderung dar, so die Prüfer.
Die IR VBS empfiehlt der Gruppe Verteidigung deshalb, die Governance im Zusammenhang mit ihren Schutzobjekten beim Armeestab sowie dem Kommando Cyber schnellstmöglich zu finalisieren und umzusetzen.

Loading

Mehr zum Thema

image

Winterthur stockt seine IT-Stellen auf

Mit dem Budget 2025 sieht der Stadtrat einen grösseren Ausbau bei den Informatikdiensten vor. Auch diverse Digitalprojekte schlagen bei den Ausgaben zu Buche.

publiziert am 2.10.2024
image

IT-Branche steht trotz lauer Wirtschaft auf Wachstum

Die ICT-Branche rechnet auch im 4. Quartal mit Wachstum. Der ICT-Index von Swico verdeutlicht aber, dass die gesamtwirtschaftliche Lage schwächelt.

publiziert am 2.10.2024
image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Luzerner Regierungsrat verteidigt M365-Einführung

Die Umstellung der Verwaltung auf Microsoft 365 hat zu einer Anfrage im Parlament geführt. Die Regierung äussert sich zu Datenschutz, Cloud und Alternativen.

publiziert am 1.10.2024