ISMS-Probleme: Warum gelangen kritische Bundesdaten zu IT-Dienstleistern?

17. November 2023 um 09:10
image
Grosse Organisation, viele Tätigkeitsfelder. Die Firma Swiss Infosec, die das ISMS beim VBS mitaufbaute, betitelt eine Werbebroschüre mit: "komplex, komplexer, VBS".

Nach Xplain war klar: Vom Bund fliessen unnötig heikle Daten an externe Stellen. Recherchen von inside-it.ch zeigen nun, was beim Information Security Management im VBS klemmt.

Der Umgang mit heiklen Daten ist nach dem Xplain-Hack und mit dem neuerlichen Datenklau bei der Softwarefirma Concevis weiter in den Blick der Öffentlichkeit gerückt: Welche Daten vom Bund sind dort gelandet? Und wieso eigentlich? Hatte man operative Daten rausgegeben, weil die Erzeugung von Trainingsdaten zu umständlich war?
Um solche Fragen zu beantworten – oder es erst gar nicht so weit kommen zu lassen – gibt es Information Security Management Systeme (ISMS). Diese legen Verfahren und Regeln für den sicheren Umgang mit Informationen fest. Dass es damit beim Bund nicht sehr rosig aussah, konnte man nach dem Xplain-Fall ahnen. Recherchen von inside-it.ch zeigen nun, dass einiges systematisch im Argen liegt.

Ein ISMS-Tool stürzt ab

Wir wurden auf das Problem aufmerksam, weil das Bundesamt für Informatik und Telekommunikation (BIT) derzeit ein Tool für das ISMS beschafft. Eine solche Software soll bei der Umsetzung des ISMS Dokumentation, Compliance und Transparenz sicherstellen und zugleich Effizienz und Kosten verbessern.
image
Die ISMS-Prozesslandschaft, wie sie in den Unterlagen zur aktuellen Ausschreibung definiert ist.
Eigentlich hätte bereits ab 2021 ein ISMS-Tool beschafft werden sollen. Damals hiess es in den Unterlagen zur Ausschreibung: Zwar seien beim Bund Information Security Management Systeme aufgebaut worden, es mangle aber an Tools, um diese auch umzusetzen. Im März ging dann ein Zuschlag an die Firma Fuentis aus dem Deutschen Potsdam. Der Vertrag für Aufbau und Betrieb bis 2030 war 13 Millionen Franken schwer. Doch das Tool wurde nie in Betrieb genommen, wie das BIT nun auf Anfrage von inside-it.ch einräumt. Der Vertrag sei einvernehmlich aufgelöst worden.
Das ISMS wurde mit Anpassungen neu ausgeschrieben. "Die aktuelle Beschaffung legt bei den Zuschlagskriterien ein starkes Gewicht auf die Bewertung des Testings, mit dem Ziel, die Eignung der Lösungen im praktischen Einsatz in die Bewertung einfliessen zu lassen", beschreibt das BIT die Modifikationen. Das neue Tool soll 2024 bei den ersten Bedarfsstellen ausgerollt sein. Zwei der ersten drei Mandanten sind für das VBS vorgesehen, ein Departement mit besonders heiklen Daten.

Die Baustellen im VBS

Man steht also wieder auf Start. Dabei geht es um viel: Beim VBS müssen 3500 Schutzobjekte wie schützenswerte Infrastruktur, sensible Anwendungen und heikle Datensammlungen migriert werden. In den Unterlagen der aktuellen Ausschreibung ist die Rede von "Kronjuwelen des Staates". Heute setzt das Departement für das ISMS ein eigenes Tool ein, wie die VBS-Medienstelle auf Anfrage schreibt.
Man sei aufgrund der Reife als einer der ersten Kunden des neuen Tools vorgesehen. "Im VBS wurde das ISMS nach dem massgebenden internationalen Standard ISO/IEC 27001 aufgebaut", heisst es weiter aus dem Departement. Das ISMS sei dezentral umgesetzt, jede Verwaltungseinheit für ihre Sicherheit verantwortlich. 2017 sei die Konformität bei allen Verwaltungseinheiten nachgewiesen und laufend geprüft und verbessert worden.
Seither also alles in Butter?
image
Auszug aus dem Brief von Viola Amherd von 2021.
Nicht, wenn es nach Bundesrätin Viola Amherd geht. "Erneut betone ich, dass der Informationssicherheit im VBS eine sehr hohe Bedeutung zukommt. Die entsprechenden Risiken müssen, auch auf departementaler Stufe, zielführend bewirtschaftet werden", schrieb sie 2021 in einem Brief an den VBS-Generalsekretär. Die Bundesrätin berief eine Sitzung mit der Departementsleitung ein.
Amherd bezog sich auf einen Auditbericht, der öffentlich zugänglich ist. "Seit 2020 wird über eine Neuausrichtung des ISMS.VBS debattiert. Bis heute wurden allerdings kaum Fortschritte erziel", heisst es dort. Offenbar fehlte es an Wille oder Möglichkeit, dies auf Stufe Departement umzusetzen. Wir hatten schon 2021 darüber berichtet. Das VBS hadert demnach seit Jahren mit dem ISMS. Was zugleich an Kultur und Führung zu liegen scheint.

Die lange Leidensgeschichte

Die Surseer Firma Swiss Infosec hatte beim VBS bereits ab 2014 ein ISMS eingeführt und erhielt dafür mindestens 3 Millionen Franken gesprochen, wie dem Zuschlag zum Auftrag zu entnehmen ist. Im Dezember 2016 erliess Guy Parmelin, der damalige Chef des Departements, Weisungen über die Informationssicherheit, die im Frühling 2017 in Kraft traten. Ende Jahr war ein Projekt zur Verbesserung des ISMS abgeschlossen. Das kostete insgesamt rund 7,5 Millionen Franken.
Dies geht aus dem Abschlussbericht hervor, den inside-it.ch auf Öffentlichkeitsantrag erhalten hat. Dieser beurteilt das Projekt generell positiv. Es seien keine Hauptabweichungen zu verzeichnen, Nebenabweichungen hätten kontinuierlich verbessert werden können. Es werden im Bericht aber auch eine Kultur der Angst bei möglichen Kontrollen und Mängel im zentralen Controlling moniert.
image
Die ISMS-Teams erhielten von den Auditoren jeweils ein Präsent für die Konformität. Foto aus dem Abschlussbericht.
"Das Bewusstsein für Sinn und Nutzen eines ISMS nach ISO 27001 ist wesentlich grösser als zu Projektbeginn, aber noch nicht bei allen Akteuren ausgeprägt genug", steht im Abschlussbericht. Es brauche nun Führung, Kommunikation und Weiterbildung. Und es heisst schon damals, dass man an der Ermöglichung eines zentralen Controllings auf Stufe Departement arbeiten müsse. Das liess aber auf sich warten.
Viola Amherd verfasst 2022 einen zweiten Brief an den Generalsekretär: Es "besteht noch ein gewisser Handlungsbedarf", heisst es dort weniger dringlich als im ersten Brief. Was danach aber passiert, lässt sich aus den Unterlagen nicht rekonstruieren. Und das VBS kommuniziert spärlich, auch auf Nachfrage ist kein Wort zu einem zentralen Controlling oder ISMS zu vernehmen, dieses sei dezentral organisiert.
Es gibt aber Bewegung. Derzeit ist auf Stufe Departement eine Stelle als Auditleiter ausgeschrieben, der das ISMS weiterentwickeln soll.
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!

Jetzt unterstützen

a

Loading

Mehr erfahren

Mehr zum Thema

image

Neue Direktorin für Förderagentur Innosuisse gewählt

Dominique Gruhl-Bégin wird im August ihre neue Position bei der Förderagentur übernehmen. Die bisherige Direktorin Annalise Eggimann tritt aus Altersgründen zurück.

publiziert am 15.5.2024
image

Schweizer Hoch­leistungs­rechner gehört zur Welt­spitze

Die leistungsfähigsten Supercomputer der Welt stehen allesamt in den USA. In Europa ist die Konkurrenz nahe beieinander.

publiziert am 14.5.2024
image

Psychiatrie Winterthur sucht neues KIS als Polypoint-Ersatz

Die Integrierte Psychiatrie Winterthur – Zürcher Unterland beschafft ein neues Klinikinformationssystem (KIS). Grund dafür ist ein Strategiewechsel des bisherigen Lieferanten.

publiziert am 14.5.2024
image

EFK verteilt Hausaufgaben ans E-ID-Projektteam

Die Eidgenössische Finanzkontrolle (EFK) hat sich mit dem E-ID-Projekt des Bundes befasst. Sie zeigt den Verantwortlichen auf, woran es noch fehlt.

publiziert am 13.5.2024 3