Vogt am Freitag: Bund verspielt das Vertrauen der Bevölkerung

7. Juli 2023 um 09:41
image

Die aktuelle Flut von Cybervorfällen beim Bund hilft nicht, die Bevölkerung für Digitalisierungsprojekte zu begeistern. Um das Vertrauen wieder herzustellen, braucht es eine schonungslose Aufarbeitung.

Es ist fast schon müssig, über den Cyberangriff auf den Interlakner IT-Dienstleister Xplain zu schreiben. Aber dennoch ist es notwendig. Denn er zeigt ein offenbar grosses Problem beim Bund schonungslos auf: Es fehlt in der Verwaltung an Verständnis und Awareness für IT-Security!
Wie sonst ist es möglich, dass der Bund das sogenannte Third-Party-Risiko, also das Risiko von Datenverlust bei einem Dienstleister, so schlecht managed? Wie ist es möglich, dass der Bund wochenlang analysieren muss, welche Daten im Darkweb gelandet sind, obwohl er es war, der die Daten an Xplain geliefert hat? Wie kann es sein, dass "IT-Security" in vielen Ausschreibungen und dementsprechend wohl auch in Verträgen zwischen Lieferant und Bund kein Thema ist?

Bund lagert Verantwortung aus

Für mich liegt die Antwort auf der Hand: Der Bund lagert IT-Security sehr bewusst an Lieferanten und Dienstleister aus, weil ihm selbst dafür das Know-how und die Awareness fehlen. Das zeigt unter anderem auch die jüngste Aussage von Florian Schütz, dem Delegierten des Bundesrats für Cybersicherheit: Er sagte, dass die Daten nicht beim Bund abgeflossen seien, sondern bei Xplain.
Faktisch ist die Aussage natürlich korrekt. Dennoch ist das für mich ein Abschieben von Verantwortung, wenngleich seine Behörde, das Nationale Zentrum für Cybersicherheit, umgehend dementiert hat, dass Verantwortung abgeschoben werde. Diese werde sehr wohl wahrgenommen, aber viele Analysen würden halt im Hintergrund laufen.

Scheitern des EPD ist kein Wunder

Aber es ist doch so: Der Bund vergibt Aufträge, wählt die Lieferanten aus und ist am Ende auch für deren Kontrolle zuständig. Es ist wie beim Fall von "Meineimpfungen.ch", bei dem das Bundesamt für Gesundheit versucht hat, die Verantwortung an die zuständige Stiftung abzuschieben. Das ist dreist und verantwortungslos, weil es um sensitive Daten von Bürgerinnen und Bürgern dieses Landes geht, die der Bund zwingend schützen muss.
So ist es für mich kein Wunder, dass Digitalisierungsprojekte wie das elektronische Patientendossier (EPD) floppen. Der Bund verspielt bei der Bevölkerung das Vertrauen, weil immer wieder neue Databreaches ans Tageslicht kommen. Und dies seit Jahren und immer wieder aufs Neue. Die Vorfälle zeigen, dass die Verwaltung nicht in der Lage ist, vernünftig mit vertrauenswürdigen Daten umzugehen.

Aufarbeitung muss weh tun

Weil es enorm schwierig ist, das verlorene Vertrauen wiederherzustellen, muss der Xplain-Hack schonungslos aufgearbeitet werden. Und zwar so, dass es wehtut und Verantwortliche benannt werden (und entsprechende Konsequenzen ziehen müssen). Es darf nicht dabei herauskommen, dass nur Xplain Fehler gemacht hat, der Bund hingegen alles richtig. Wäre das so, wäre die Reissleine schon viel früher gezogen worden.
Ich habe wenig Hoffnung, dass der nun einberufene Krisenstab "Datenabfluss" auf brauchbare Ergebnisse kommt. Spannend zu beobachten wird sein, wen der Bundesrat zur "unabhängigen Stelle" ernennt, die den Hackerangriff untersucht. Es sei noch nicht klar, ob es ein Unternehmen oder eine Behörde wird, sagte man uns kürzlich. Speziell bei letzterem droht die Gefahr, dass sich die Verantwortlichen selbst auf die Finger schauen müssen.
Und was dabei herauskommen würde, ist leider so klar, wie dass es früher oder später zum nächsten Datenabfluss kommt.

Loading

Mehr erfahren

Mehr zum Thema

image

Braucht es mehr Flexibilität im Homeoffice?

Eine Kommission des Nationalrats findet ja. Die Gewerkschaft Syndicom dagegen ist der Meinung, dass damit das Arbeitsrecht aufgeweicht wird.

publiziert am 21.8.2024
image

GPK: Berner Regierung soll Verantwortung für Rialto nicht abgeben

Die Regierung findet, dass das Projekt abgeschlossen sei. Diese Haltung teilt die Geschäftsprüfungskommission nicht.

publiziert am 21.8.2024
image

Centerboard liefert neue Admin-Software für Berufsschulen

Die für die Softwareentwicklung für Berufsbildende Schulen zuständige Genossenschaft SEBBS hat eine Nachfolgelösung für ihre veraltete Lösung gesucht.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024