In dieser Woche sind sowohl die Untersuchungsberichte zum Fall Xplain des Eidgenössischen Datenschutzbeauftragten wie auch der Genfer Anwaltskanzlei Oberson Abels erschienen. Darin wird neben Xplain auch der Bund kritisiert. So bemängelt die Kanzlei unter anderem, dass bei den untersuchten Bundesämtern die Funktion des Informatiksicherheitsbeauftragten der Verwaltungseinheiten (ISBO) unzureichend besetzt ist oder die Personen überlastet sind.

"Aus den von Oberson Abels durchgeführten Befragungen ergab sich die Tendenz, dass bis zum Datenabfluss bei Xplain im Juni 2023 die Ressourcen für die Informationssicherheit in den direkt betroffenen Einheiten insgesamt unzureichend waren", heisst es im Bericht (PDF). Mehrere Befragte hätten angemerkt, dass "Informationssicherheit mit Kosten verbunden ist, deren Höhe letztlich von politischen Entscheidungen über die Ressourcenverteilung abhängt".

Die Tamedia-Zeitungen (Paywall) haben die Xplain-Untersuchungen zum Anlass genommen, das Cybersecurity-Budget des Bundes mit anderen Organisationen zu vergleichen: "Der Bund hat für den Bereich Cybersicherheit 15 Millionen Franken budgetiert. Das ist wenig, verglichen mit bundesnahen Betrieben wie etwa den SBB, Swisscom oder auch der Post."

Die Post habe ein Cybersecurity-Budget von jährlich 40 Millionen Franken. "Viel wichtiger als die blanke Zahl sind 80 spezialisierte Mitarbeiter im Bereich Informationssicherheit", sagte Post-Sprecher Stefan Dauner den Zeitungen. Auch die SBB investieren laut Sprecherin Jeannine Egi einen mittleren zweistelligen Millionenbetrag in die IT-Sicherheit. Erst kürzlich hat der Bahnbetrieb angekündigt, verschiedene Sicherheitsfunktionen in einem neuen Bereich zu bündeln.

Keine genauen Zahlen zu ihrem Security-Budget gibt Swisscom bekannt. "Doch allein die Zahlen zu Attacken auf die Infrastruktur zeigen, dass dieses hoch sein muss: Fünf Millionen Angriffsversuche verzeichnet man bei Swisscom – pro Monat", so die Tamedia-Zeitungen.

Nationalrat Gerhard Andrey (Grüne/FR) hatte Ende 2023 eine Anfrage an den Bundesrat gerichtet: "Wird das Bundesamt für Cybersicherheit (Bacs) mit den nötigen Kompetenzen und Ressourcen ausgestattet?" Im Finanzplan des Bundes werde mit einem konstanten finanziellen Betrag von rund 15 Millionen Franken jährlich für die kommenden Jahre gerechnet. "Weshalb ist in der Planung keine Zunahme der Mittel vorgesehen, konstatiert der Bundesrat doch selber, dass das Thema Cybersicherheit an Wichtigkeit stark zunimmt?", fragte Andrey.

Die Regierung antwortete, man habe dem Bacs per 1. Januar 2024 eine Budgeterhöhung um 800'000 Franken zugesprochen. "Ob und in welchem Umfang das Bundesamt zusätzliche Ressourcen benötigt, wird sich im Rahmen der strategischen Weiterentwicklung des Bacs zeigen", so der Bundesrat.

Zu den Empfehlungen, welche die Kanzlei Oberson Abels abgibt, gehört auch: "Den Behörden und Organisationen im Bereich IT sollen ausreichende Ressourcen zur Erfüllung ihrer Aufgaben im Bereich der Informations­sicher­heit und des Datenschutzes zur Verfügung gestellt werden." Der Bund hat in seiner Reaktion auf die Untersuchung verschiedene Massnahmen angekündigt. So soll das VBS bis Ende 2024 den IKT-Grundschutz des Bundes überprüfen und allfällige Anpassungen vorschlagen.