Die IT-Probleme des Bundes

2. April 2014, 14:22
  • e-government
  • informatik
  • rechenzentrum
image

Intransparente und verspätete Projekte, mangelhafte Security: Die Finanzkontrolle kritisiert einmal mehr die Bundes-Informatik.

Intransparente und verspätete Projekte, mangelhafte Security: Die Finanzkontrolle kritisiert einmal mehr die Bundes-Informatik.
In ihrem heute veröffentlichten Jahresbericht. Doch noch immer gibt es viele Vorhaben, die ihrer Meinung nach nicht korrekt durchgeführt werden.
So wird im Bericht etwa das Dachprojekt Mistra im Bundesamt für Strassen (Astra) erwähnt, das ursprünglich sieben Teilprojekte umfasste - heute sind es deren 19.
Verspätungen bei IT-Security
Weiter hat die EFK die Zwei-Faktor-Authentifizierung (ZFA) am Bundesarbeitsplatz, die Absicherung der Remote-Zugänge zum Bundesnetzwerk und die Umsetzung der Informations- und Datenschutzanforderungen unter die Lupe genommen. Der Bundesrat habe hier seine Ziele nicht erreicht, kritisiert die Aufsicht. Eine zentrale Rolle bei der Umsetzung spielt das Bundesamt für Informatik und Telekommunikation (BIT). Dort war heute keine Stellungnahme zur Kritik der EFK erhältlich.
Die Umstellungen, welche mit der flächendeckenden Einführung einer ZFA am Bundesarbeitsplatz sowie auch mit der Absicherung der Fernzugänge verbunden seien, seien aber nicht nur seitens BIT unterschätzt worden, so die EFK. Auch die Departemente und einzelne Verwaltungseinheiten hätten "zu lange gewartet", bis konkrete Projekte gestartet wurden. Die EFK hätte erwartet, dass die Arbeiten für die Einführung der ZFA zentral koordiniert werden. Stattdessen führen laut der EFK nebst dem BIT die meisten Departemente eigene Projekte.
Die Beschaffung der SmartCards, die als Zertifikatsträger für die ZFA dienen, sei problematisch gewesen. Die Hälfte der Departemente war bis Juni 2013 im Ungewissen, ob diese für den geplanten Rollout auch tatsächlich verfügbar sein würden. Die EFK geht trotzdem davon aus, dass der Grossteil der Bundesarbeitsplätze termingerecht umgerüstet sind.
Eine termingerechte weitergehende Absicherung der Fernzugänge werde aber nicht flächendeckend möglich sein: Es wird nicht möglich sein, innerhalb der noch verbleibenden Monate alle Umstellungsarbeiten durchzuführen. "Daher werden bereits Rufe nach Ausnahmebewilligungen laut, was grundsätzlich abgelehnt werden muss", so die EFK.
Beim BIT wurde ausserdem das Vorgehen bei verschiedenen Notfallszenarien geprüft, beispielsweise der Ausfall von einem der beiden Rechenzentren. Leistungsbezüger, also die Kunden des BIT innerhalb der Bundesverwaltung, sollen besser in die Notfallplanung einbezogen werden, empfiehlt die EFK. Es bestünden zwar einzelne Ausweichlösungen sowie Einzelmassnahmen, welche die Risiken von Ausfällen reduzieren, jedoch seien noch "erhebliche Anstrengungen" notwendig, um die Anforderungen an eine wirksame Katastrophenvorsorge zu erfüllen.
Regeln werden umgangen
Im Bericht spricht die EFK auch die Problematik von mobilen Geräten an. Im Bund werden immer mehr Tablets oder Smartphones eingesetzt. Die strikten Regeln für den Umgang mit solchen Geräten würden "in der Praxis umgangen und lassen sich nicht mehr lange formell halten", so die EFK. Ohne ein bundesweites Projekt zur Abdeckung der steigenden Benutzerbedürfnisse würden sich erneut die Departemente mit dem Thema beschäftigen, was unweigerlich zu unterschiedlichen technischen Entwicklungen führen werde.
Probleme bestünden auch in der Umsetzung der Netzwerksicherheitsvorgaben in den Kantonen. Das Thema wurde bereits im Jahr 2009 von der EFK geprüft und beschäftigt die Beteiligten bereits seit Jahren. Kantone, welche minimalste Sicherheitsvorgaben nicht umsetzen, sind angreifbar und damit auch ein Risikofaktor für das Bundesnetzwerk. Die Aufsicht kritisiert, dass der Bund überall das Sicherheitsniveau erhöhen will, bei den Kantonen würden dagegen Defizite grosszügig akzeptiert.
"Insieme" bleibt ein Thema
Das Ende 2012 gescheiterte verpflichtet werden konnten. Eigentliche Liquidationskosten seien kaum entstanden.
Die EFK erwähnt im Bericht, dass es eine Illusion sei, Fiscal-IT auf der "grünen Wiese" neu anzufangen, obschon angestrebt wurde, das neue Projekt frei von Altlasten starten zu können. Dokumente über das vorhandene IT-Inventar ermöglichen laut dem Aufsichtsorgan eine realistische Einschätzung der vorhandenen Risiken und der zu setzenden Prioritäten beim Nachfolgeprojekt.
Es gibt auch Lob
Der Bericht ist zwar voll mit Kritik, doch Direktor Michel Huissoud betont im Vorwort, dass man es mehrheitlich Tag für Tag mit einer Verwaltung zu tun habe, "die effizient, motiviert und professionell arbeitet." Lob gibt es allerdings im Wesentlichen nur für die Informatik der Bundestresorerie innerhalb der Eidgenössischen Finanzverwaltung. Die Zugriffssicherheit auf die Systeme sei gut. Das Risiko von unberechtigten Zugriffen durch den externen IT-Dienstleister bestehe zwar, werde aber seitens Finanzverwaltung als tolerierbar bewertet. Im Übrigen sollte durch einen möglichst baldigen Server-Release eine Schwäche im Sicherheitsbereich eliminiert werden, so die Finanzkontrolle. (mim)

Loading

Mehr zum Thema

image

NIS-Strahlung: Bund will für bis zu 600'000 Franken Risiken erforschen

Für Forschungsprojekte zu 5G, nichtionisierender Strahlung und Mobilfunk werden Anbieter gesucht. Das Bundesamt für Umwelt erklärt uns die Ausschreibung.

publiziert am 5.10.2022
image

Verband Interpharma will, dass Health-Daten besser genutzt werden

Die forschende Pharmaindustrie sieht ungenutztes Potenzial und fordert ein neues Bundesgesetz.

publiziert am 4.10.2022 1
image

Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

publiziert am 30.9.2022 7
image

Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

publiziert am 30.9.2022