Der Umgang mit heiklen Daten ist nach dem Xplain-Hack und mit dem neuerlichen Datenklau bei der Softwarefirma Concevis weiter in den Blick der Öffentlichkeit gerückt: Welche Daten vom Bund sind dort gelandet? Und wieso eigentlich? Hatte man operative Daten rausgegeben, weil die Erzeugung von Trainingsdaten zu umständlich war?

Um solche Fragen zu beantworten – oder es erst gar nicht so weit kommen zu lassen – gibt es Information Security Management Systeme (ISMS). Diese legen Verfahren und Regeln für den sicheren Umgang mit Informationen fest. Dass es damit beim Bund nicht sehr rosig aussah, konnte man nach dem Xplain-Fall ahnen. Recherchen von inside-it.ch zeigen nun, dass einiges systematisch im Argen liegt.

Wir wurden auf das Problem aufmerksam, weil das Bundesamt für Informatik und Telekommunikation (BIT) derzeit ein Tool für das ISMS beschafft. Eine solche Software soll bei der Umsetzung des ISMS Dokumentation, Compliance und Transparenz sicherstellen und zugleich Effizienz und Kosten verbessern.

Eigentlich hätte bereits ab 2021 ein ISMS-Tool beschafft werden sollen. Damals hiess es in den Unterlagen zur Ausschreibung: Zwar seien beim Bund Information Security Management Systeme aufgebaut worden, es mangle aber an Tools, um diese auch umzusetzen. Im März ging dann ein Zuschlag an die Firma Fuentis aus dem Deutschen Potsdam. Der Vertrag für Aufbau und Betrieb bis 2030 war 13 Millionen Franken schwer. Doch das Tool wurde nie in Betrieb genommen, wie das BIT nun auf Anfrage von inside-it.ch einräumt. Der Vertrag sei einvernehmlich aufgelöst worden.

Das ISMS wurde mit Anpassungen neu ausgeschrieben. "Die aktuelle Beschaffung legt bei den Zuschlagskriterien ein starkes Gewicht auf die Bewertung des Testings, mit dem Ziel, die Eignung der Lösungen im praktischen Einsatz in die Bewertung einfliessen zu lassen", beschreibt das BIT die Modifikationen. Das neue Tool soll 2024 bei den ersten Bedarfsstellen ausgerollt sein. Zwei der ersten drei Mandanten sind für das VBS vorgesehen, ein Departement mit besonders heiklen Daten.

Man steht also wieder auf Start. Dabei geht es um viel: Beim VBS müssen 3500 Schutzobjekte wie schützenswerte Infrastruktur, sensible Anwendungen und heikle Datensammlungen migriert werden. In den Unterlagen der aktuellen Ausschreibung ist die Rede von "Kronjuwelen des Staates". Heute setzt das Departement für das ISMS ein eigenes Tool ein, wie die VBS-Medienstelle auf Anfrage schreibt.

Man sei aufgrund der Reife als einer der ersten Kunden des neuen Tools vorgesehen. "Im VBS wurde das ISMS nach dem massgebenden internationalen Standard ISO/IEC 27001 aufgebaut", heisst es weiter aus dem Departement. Das ISMS sei dezentral umgesetzt, jede Verwaltungseinheit für ihre Sicherheit verantwortlich. 2017 sei die Konformität bei allen Verwaltungseinheiten nachgewiesen und laufend geprüft und verbessert worden.

Seither also alles in Butter?

Nicht, wenn es nach Bundesrätin Viola Amherd geht. "Erneut betone ich, dass der Informationssicherheit im VBS eine sehr hohe Bedeutung zukommt. Die entsprechenden Risiken müssen, auch auf departementaler Stufe, zielführend bewirtschaftet werden", schrieb sie 2021 in einem Brief an den VBS-Generalsekretär. Die Bundesrätin berief eine Sitzung mit der Departementsleitung ein.

Amherd bezog sich auf einen Auditbericht, der öffentlich zugänglich ist. "Seit 2020 wird über eine Neuausrichtung des ISMS.VBS debattiert. Bis heute wurden allerdings kaum Fortschritte erziel", heisst es dort. Offenbar fehlte es an Wille oder Möglichkeit, dies auf Stufe Departement umzusetzen. Wir hatten schon 2021 darüber berichtet. Das VBS hadert demnach seit Jahren mit dem ISMS. Was zugleich an Kultur und Führung zu liegen scheint.

Die Surseer Firma Swiss Infosec hatte beim VBS bereits ab 2014 ein ISMS eingeführt und erhielt dafür mindestens 3 Millionen Franken gesprochen, wie dem Zuschlag zum Auftrag zu entnehmen ist. Im Dezember 2016 erliess Guy Parmelin, der damalige Chef des Departements, Weisungen über die Informationssicherheit, die im Frühling 2017 in Kraft traten. Ende Jahr war ein Projekt zur Verbesserung des ISMS abgeschlossen. Das kostete insgesamt rund 7,5 Millionen Franken.

Dies geht aus dem Abschlussbericht hervor, den inside-it.ch auf Öffentlichkeitsantrag erhalten hat. Dieser beurteilt das Projekt generell positiv. Es seien keine Hauptabweichungen zu verzeichnen, Nebenabweichungen hätten kontinuierlich verbessert werden können. Es werden im Bericht aber auch eine Kultur der Angst bei möglichen Kontrollen und Mängel im zentralen Controlling moniert.

"Das Bewusstsein für Sinn und Nutzen eines ISMS nach ISO 27001 ist wesentlich grösser als zu Projektbeginn, aber noch nicht bei allen Akteuren ausgeprägt genug", steht im Abschlussbericht. Es brauche nun Führung, Kommunikation und Weiterbildung. Und es heisst schon damals, dass man an der Ermöglichung eines zentralen Controllings auf Stufe Departement arbeiten müsse. Das liess aber auf sich warten.

Viola Amherd verfasst 2022 einen zweiten Brief an den Generalsekretär: Es "besteht noch ein gewisser Handlungsbedarf", heisst es dort weniger dringlich als im ersten Brief. Was danach aber passiert, lässt sich aus den Unterlagen nicht rekonstruieren. Und das VBS kommuniziert spärlich, auch auf Nachfrage ist kein Wort zu einem zentralen Controlling oder ISMS zu vernehmen, dieses sei dezentral organisiert.

Es gibt aber Bewegung. Derzeit ist auf Stufe Departement eine Stelle als Auditleiter ausgeschrieben, der das ISMS weiterentwickeln soll.

a