Vogt am Freitag: Bund verspielt das Vertrauen der Bevölkerung

7. Juli 2023 um 09:41
image

Die aktuelle Flut von Cybervorfällen beim Bund hilft nicht, die Bevölkerung für Digitalisierungsprojekte zu begeistern. Um das Vertrauen wieder herzustellen, braucht es eine schonungslose Aufarbeitung.

Es ist fast schon müssig, über den Cyberangriff auf den Interlakner IT-Dienstleister Xplain zu schreiben. Aber dennoch ist es notwendig. Denn er zeigt ein offenbar grosses Problem beim Bund schonungslos auf: Es fehlt in der Verwaltung an Verständnis und Awareness für IT-Security!
Wie sonst ist es möglich, dass der Bund das sogenannte Third-Party-Risiko, also das Risiko von Datenverlust bei einem Dienstleister, so schlecht managed? Wie ist es möglich, dass der Bund wochenlang analysieren muss, welche Daten im Darkweb gelandet sind, obwohl er es war, der die Daten an Xplain geliefert hat? Wie kann es sein, dass "IT-Security" in vielen Ausschreibungen und dementsprechend wohl auch in Verträgen zwischen Lieferant und Bund kein Thema ist?

Bund lagert Verantwortung aus

Für mich liegt die Antwort auf der Hand: Der Bund lagert IT-Security sehr bewusst an Lieferanten und Dienstleister aus, weil ihm selbst dafür das Know-how und die Awareness fehlen. Das zeigt unter anderem auch die jüngste Aussage von Florian Schütz, dem Delegierten des Bundesrats für Cybersicherheit: Er sagte, dass die Daten nicht beim Bund abgeflossen seien, sondern bei Xplain.
Faktisch ist die Aussage natürlich korrekt. Dennoch ist das für mich ein Abschieben von Verantwortung, wenngleich seine Behörde, das Nationale Zentrum für Cybersicherheit, umgehend dementiert hat, dass Verantwortung abgeschoben werde. Diese werde sehr wohl wahrgenommen, aber viele Analysen würden halt im Hintergrund laufen.

Scheitern des EPD ist kein Wunder

Aber es ist doch so: Der Bund vergibt Aufträge, wählt die Lieferanten aus und ist am Ende auch für deren Kontrolle zuständig. Es ist wie beim Fall von "Meineimpfungen.ch", bei dem das Bundesamt für Gesundheit versucht hat, die Verantwortung an die zuständige Stiftung abzuschieben. Das ist dreist und verantwortungslos, weil es um sensitive Daten von Bürgerinnen und Bürgern dieses Landes geht, die der Bund zwingend schützen muss.
So ist es für mich kein Wunder, dass Digitalisierungsprojekte wie das elektronische Patientendossier (EPD) floppen. Der Bund verspielt bei der Bevölkerung das Vertrauen, weil immer wieder neue Databreaches ans Tageslicht kommen. Und dies seit Jahren und immer wieder aufs Neue. Die Vorfälle zeigen, dass die Verwaltung nicht in der Lage ist, vernünftig mit vertrauenswürdigen Daten umzugehen.

Aufarbeitung muss weh tun

Weil es enorm schwierig ist, das verlorene Vertrauen wiederherzustellen, muss der Xplain-Hack schonungslos aufgearbeitet werden. Und zwar so, dass es wehtut und Verantwortliche benannt werden (und entsprechende Konsequenzen ziehen müssen). Es darf nicht dabei herauskommen, dass nur Xplain Fehler gemacht hat, der Bund hingegen alles richtig. Wäre das so, wäre die Reissleine schon viel früher gezogen worden.
Ich habe wenig Hoffnung, dass der nun einberufene Krisenstab "Datenabfluss" auf brauchbare Ergebnisse kommt. Spannend zu beobachten wird sein, wen der Bundesrat zur "unabhängigen Stelle" ernennt, die den Hackerangriff untersucht. Es sei noch nicht klar, ob es ein Unternehmen oder eine Behörde wird, sagte man uns kürzlich. Speziell bei letzterem droht die Gefahr, dass sich die Verantwortlichen selbst auf die Finger schauen müssen.
Und was dabei herauskommen würde, ist leider so klar, wie dass es früher oder später zum nächsten Datenabfluss kommt.

Loading

Mehr erfahren

Mehr zum Thema

image

Microsoft krebst zurück und macht Recall freiwillig

Die Kritik war offensichtlich zu stark: Microsoft schaltet das Screenshot-Feature Recall standardmässig aus.

publiziert am 10.6.2024
image

Zürcher Justizdirektion beschafft IT-Unterstützung

Die Direktion schliesst mit zahlreichen IT-Dienstleistern Rahmenverträge über mehrere Millionen Franken für Personalressourcen ab.

publiziert am 10.6.2024
image

Schwyzer Kantonsratsdebatten können im Internet übertragen werden

Die Regierung war zwar dagegen, das Volk hat sich aber dafür entschieden.

publiziert am 10.6.2024 1
image

Neuer Leitfaden für den M365-Einsatz in Gemeinden

Die Zürcher Datenschutzbeauftragte erklärt, was bei der Einführung von Microsoft 365 berücksichtigt werden sollte, etwa mit Blick auf den Cloud Act.

publiziert am 7.6.2024 2