Die interne Revision des VBS hat im Auftrag von Bundesrätin Viola Amherd überprüft, wie es um das Informations-Sicherheits-Management-System (ISMS) der Armee bestellt ist. Nun wurde der Prüfbericht "ISMS.VBS Audit" publiziert, wie das VBS mitteilt.
Gemessen wurde dieses anhand der Standards von ISO/IEC 27001, auch wenn nur einzelne Departementsbereiche entsprechend zertifiziert sind.
Die Koordination für die Konsolidierung der diversen ISMS-Systeme obliegt zentral der Abteilung Digitalisierung und Cybersicherheit VBS (DCS) im Generalsekretariat. Diese sollten Erkenntnisse aus unterschiedlichen Bereichen aufnehmen, um das ISMS weiterzuentwickeln,
Dort aber mahlen die Security-Mühlen langsam, muss man nach der Berichtslektüre konstatieren. Schon vor einem Jahr, so die Prüfer, "konnten wir die Wirksamkeit des zentralen ISMS nicht bestätigen" und sie stellten gleichzeitig diverse Lücken fest.
Dies löste offenbar eine interne Krise aus, worauf das DCS die ISMS-Weiterentwicklung ganz bleiben liess. Immerhin existiert das zentrale SMS.VBS noch, das erkenne man daran, dass die Prozesse und Strukturen für die Bewirtschaftung dokumentiert seien. Aber, so der Prüfbericht, "nach wie vor findet auf zentraler Ebene keine systematische und risikobasierte Konsolidierung der relevanten Risiken statt." Zudem sei die Schnittstelle zum Risikomanagement VBS "wenig ersichtlich".
In der Folge gebe es auch keine "VBS-weite Sicht auf wesentliche Informatiksicherheits-Risiken", heisst es weiter.
Zudem sind beispielsweise weiterhin nicht alle Schutzobjekte im ISMS.VBS erfasst und bewertet. Der Kritikpunkt "Zusammenarbeit beim Vertragswesen – Lieferantenaudits" war zum Prüfungszeitpunkt 2020 seit dem Launch 2017 offen.
Da die Übersicht fehle, könne man das zentrale ISMS weder als wirkungsvoll noch nützlich bezeichnen. Das finden grundsätzlich auch die Involvierten, sei es das Bundesamt für Bevölkerungsschutz (Babs) oder der Nachrichtendienst des Bundes. Die Gruppe Verteidigung schreibt: "Die Definition der fehlenden Schnittstelle zum Risikomanagement VBS ist sehr zu begrüssen, es muss aber zwingend der bestehende Risikomanagementprozess beigezogen werden, damit keine Doppelspurigkeiten entstehen und Risiken nicht mehrfach rapportiert und behandelt werden."
Auch das Bundesamt für Sport Baspo fürchtet weniger die lückenhafte Sicht von IT-Security-Risiken denn Redundanzen und den administrativen Aufwand.
Armasuisse macht die "lang andauernde Restrukturierung des GS-VBS" verantwortlich für die Nicht-Behebung von bekannten Schwachstellen.
Herauszuspüren ist dabei eine Unzufriedenheit bei Involvierten.
Die Amtsvorsteherin Viola Amherd hat derweil entschieden: "Auf zentraler Ebene soll bis Ende 2021 eine bereits laufende Standortbestimmung durchgeführt werden. Diese soll aufzeigen, wie die Informationssicherheit im ganzen Departement weiter verbessert werden kann. Dabei wird auch erhoben, bis wann eine ISO-Zertifizierung des ganzen Departements möglich ist."
In Kürze: Das VBS hat das ISMS, den Betrieb, die Überwachung, die Überprüfung, die Pflege und die Verbesserung der Informationssicherheit in der IT des Departements nur ungenügend im Griff. Auch wenn die Armee festhält: "Die Informations- und Cybersicherheit hat im VBS einen sehr hohen Stellenwert. Als Sicherheitsdepartement betreibt das VBS zahlreiche Informationssysteme mit hohem Schutzbedarf und bearbeitet fortwährend sensitive Informationen."
Und an anderer Stelle hiess es beim VBS: "Mit Hilfe von klaren Prozessen, geschulten und sensibilisierten Mitarbeitern, gepaart mit technologischen Schutzmassnahmen entwickelt das VBS sein IT-Sicherheitsmodell laufend weiter. (...) Die Bewirtschaftung eines solch breiten Portfolios an Schutzobjekten, aber auch die sich rasant verändernde Bedrohungslage im IT-Bereich sowie der laufende Restrukturierungsprozess im VBS, bedingt ein IT-Sicherheits-Management-System." Das
schrieb die 'Computerworld' unter dem Titel "Sicherheit durch transparente Prozesse". Und zwar im Jahre 2005.