Vogt am Freitag: Immerhin war der Brief kein Fax

21. Juli 2023 um 06:30
image

Der Bund hat seine IT-Dienstleister angeschrieben und über geforderte Minimalstandards informiert. Das Schreiben erfolgt zu spät und dessen Inhalt ist trivial. Aber das ist noch gar nicht das Schlimmste.

Fast 3000 IT-Unternehmen erhielten diese Woche Post vom Bund. Inhaltlich nimmt das Schreiben zwar keinen Bezug zum Xplain-Hack, aber der Zusammenhang ist offensichtlich. Unter anderem werden die Empfänger aufgefordert, keine "nicht anonymisierten Produktivdaten des Bundes" mehr zu speichern.
Der Brief enthält noch weitere "Empfehlungen" zur Informationssicherheit. Sie sind hier nachzulesen und haben eines gemeinsam: Sie sind gleichermassen trivial sowie banal. Und sie nur als Empfehlung zu übermitteln, statt sie proaktiv einzufordern (und die Einhaltung zu kontrollieren), beweist vor allem eins: Die Awareness und das Verständnis von IT-Security fehlt beim Bund an allen Ecken und Enden.

Angeschriebene Firmen zeigten sich in der Vergangenheit beratungsresistent

Wäre das Schreiben früher erfolgt, hätte vielleicht einiges an Schaden verhindert werden können. Wenngleich ich das nicht unbedingt glaube, angesichts der Tatsache, dass Unternehmen sogar eingeschriebene Briefe des NCSC ignorieren, in denen sie aufgefordert werden, Exchange-Lücken zu patchen.
Trotzdem: Es kann nicht sein, dass diese absoluten Minimalstandards bis heute offenbar nie als Anforderung in einer öffentlichen Ausschreibung oder in einem Vertrag zwischen Bund und Lieferant formuliert worden sind. Der Bund hat "Security" bis jetzt einfach outgesourct, weil er sich offensichtlich selbst nicht darum kümmern will oder (viel wahrscheinlicher) nicht kann.

Das Speichern und Liefern von Produktivdaten ist zu unterscheiden

Um es klar zu betonen: Es liegt nicht am Lieferanten, keine Produktivdaten zu speichern. Es ist Sache des Auftraggebers, keine Produktivdaten zu liefern.
Ich weiss, dass die Herstellung von Testdaten teuer ist. Aber der Bund ist schweizweit wohl die Organisation, die mit den meisten sensitiven Personendaten des Landes hantiert. Diesen Zusatzaufwand nicht zu betreiben, ist grob fahrlässig. Und dass bis heute nicht noch mehr passiert ist, unfassbares Glück.

Bund hat nicht gefaxt? Oho!

Mit seiner Kommunikation schiebt der Bund seine Verantwortung an tausende kleine und grosse Lieferanten ab. Diese sind zwar auch nicht fehlerfrei und schuldlos am Schlamassel, aber wenn sie nicht eng genug kontrolliert werden, darf man sich über das Ergebnis auch nicht wundern.
Die Kommunikation des Bunds – Schuld sind die anderen und nicht wir – ist ein fatales Signal an die Bevölkerung. Sie versteht, dass der Bund "Digitalisierung" nicht kann und verliert das Vertrauen. Bei den Grossprojekten in der Pipeline, um mit E-ID, E-Voting und dem elektronischen Patientendossier nur 3 zu nennen, ist das natürlich katastrophal.
Erstaunlich ist nur, dass der Bund seine Security-Anforderungen nicht gefaxt, sondern einen Brief geschrieben hat.

In eigener Sache

Vogt macht Ferien. Die nächsten 3 Wochen publiziere ich keine Kolumne. Der nächste Text erscheint am 18. August.

Loading

Mehr zum Thema

image

Digitalisierungsprojekt scheitert im Schaffhauser Kantonsrat

Der Regierungsrat des Kantons Schaffhausen muss beim Projekt "Digitale Verwaltung" und dem Kredit über 18 Millionen Franken über die Bücher.

publiziert am 2.12.2024
image

Zug öffnet seinen Datenschatz

Der neu lancierte Open-Government-Data-Katalog bietet für alle nutzbare und verständlich aufbereitete Daten von Stadt und Kanton Zug.

publiziert am 2.12.2024
image

SBB erteilen Auftrag für Swisspass-Verifikation

Intrum erhält den Zuschlag für die digitale Identitätsprüfung. Diese soll beim Swisspass weiterentwickelt werden.

publiziert am 2.12.2024
image

St. Gallen will IT-Organisation komplett überarbeiten

Die IT-Organisation des Kantons ist "stark fragmentiert und nicht mehr zukunfts­orientiert". Bis 2030 soll sie deshalb grundlegend neugestaltet werden.

publiziert am 2.12.2024