Vogt am Freitag: Immerhin war der Brief kein Fax

21. Juli 2023 um 06:30
image

Der Bund hat seine IT-Dienstleister angeschrieben und über geforderte Minimalstandards informiert. Das Schreiben erfolgt zu spät und dessen Inhalt ist trivial. Aber das ist noch gar nicht das Schlimmste.

Fast 3000 IT-Unternehmen erhielten diese Woche Post vom Bund. Inhaltlich nimmt das Schreiben zwar keinen Bezug zum Xplain-Hack, aber der Zusammenhang ist offensichtlich. Unter anderem werden die Empfänger aufgefordert, keine "nicht anonymisierten Produktivdaten des Bundes" mehr zu speichern.
Der Brief enthält noch weitere "Empfehlungen" zur Informationssicherheit. Sie sind hier nachzulesen und haben eines gemeinsam: Sie sind gleichermassen trivial sowie banal. Und sie nur als Empfehlung zu übermitteln, statt sie proaktiv einzufordern (und die Einhaltung zu kontrollieren), beweist vor allem eins: Die Awareness und das Verständnis von IT-Security fehlt beim Bund an allen Ecken und Enden.

Angeschriebene Firmen zeigten sich in der Vergangenheit beratungsresistent

Wäre das Schreiben früher erfolgt, hätte vielleicht einiges an Schaden verhindert werden können. Wenngleich ich das nicht unbedingt glaube, angesichts der Tatsache, dass Unternehmen sogar eingeschriebene Briefe des NCSC ignorieren, in denen sie aufgefordert werden, Exchange-Lücken zu patchen.
Trotzdem: Es kann nicht sein, dass diese absoluten Minimalstandards bis heute offenbar nie als Anforderung in einer öffentlichen Ausschreibung oder in einem Vertrag zwischen Bund und Lieferant formuliert worden sind. Der Bund hat "Security" bis jetzt einfach outgesourct, weil er sich offensichtlich selbst nicht darum kümmern will oder (viel wahrscheinlicher) nicht kann.

Das Speichern und Liefern von Produktivdaten ist zu unterscheiden

Um es klar zu betonen: Es liegt nicht am Lieferanten, keine Produktivdaten zu speichern. Es ist Sache des Auftraggebers, keine Produktivdaten zu liefern.
Ich weiss, dass die Herstellung von Testdaten teuer ist. Aber der Bund ist schweizweit wohl die Organisation, die mit den meisten sensitiven Personendaten des Landes hantiert. Diesen Zusatzaufwand nicht zu betreiben, ist grob fahrlässig. Und dass bis heute nicht noch mehr passiert ist, unfassbares Glück.

Bund hat nicht gefaxt? Oho!

Mit seiner Kommunikation schiebt der Bund seine Verantwortung an tausende kleine und grosse Lieferanten ab. Diese sind zwar auch nicht fehlerfrei und schuldlos am Schlamassel, aber wenn sie nicht eng genug kontrolliert werden, darf man sich über das Ergebnis auch nicht wundern.
Die Kommunikation des Bunds – Schuld sind die anderen und nicht wir – ist ein fatales Signal an die Bevölkerung. Sie versteht, dass der Bund "Digitalisierung" nicht kann und verliert das Vertrauen. Bei den Grossprojekten in der Pipeline, um mit E-ID, E-Voting und dem elektronischen Patientendossier nur 3 zu nennen, ist das natürlich katastrophal.
Erstaunlich ist nur, dass der Bund seine Security-Anforderungen nicht gefaxt, sondern einen Brief geschrieben hat.

In eigener Sache

Vogt macht Ferien. Die nächsten 3 Wochen publiziere ich keine Kolumne. Der nächste Text erscheint am 18. August.

Loading

Mehr erfahren

Mehr zum Thema

image

Neue Direktorin für Förderagentur Innosuisse gewählt

Dominique Gruhl-Bégin wird im August ihre neue Position bei der Förderagentur übernehmen. Die bisherige Direktorin Annalise Eggimann tritt aus Altersgründen zurück.

publiziert am 15.5.2024
image

Schweizer Hoch­leistungs­rechner gehört zur Welt­spitze

Die leistungsfähigsten Supercomputer der Welt stehen allesamt in den USA. In Europa ist die Konkurrenz nahe beieinander.

publiziert am 14.5.2024
image

Von Hensch zu Mensch: Jenseits von #Cybersecurity

Risikomanagement darf sich nicht auf Datensicherheit allein konzentrieren, wie es heute in vielen Firmen oft passiert.

publiziert am 14.5.2024
image

EFK verteilt Hausaufgaben ans E-ID-Projektteam

Die Eidgenössische Finanzkontrolle (EFK) hat sich mit dem E-ID-Projekt des Bundes befasst. Sie zeigt den Verantwortlichen auf, woran es noch fehlt.

publiziert am 13.5.2024 3