Fast 3000 IT-Unternehmen erhielten diese Woche Post vom Bund. Inhaltlich nimmt das Schreiben zwar keinen Bezug zum Xplain-Hack, aber der Zusammenhang ist offensichtlich. Unter anderem werden die Empfänger aufgefordert, keine "nicht anonymisierten Produktivdaten des Bundes" mehr zu speichern.
Der Brief enthält noch weitere "Empfehlungen" zur Informationssicherheit. Sie sind
hier nachzulesen und haben eines gemeinsam: Sie sind gleichermassen trivial sowie banal. Und sie nur als Empfehlung zu übermitteln, statt sie proaktiv einzufordern (und die Einhaltung zu kontrollieren), beweist vor allem eins: Die Awareness und das Verständnis von IT-Security fehlt beim Bund an allen Ecken und Enden.
Angeschriebene Firmen zeigten sich in der Vergangenheit beratungsresistent
Wäre das Schreiben früher erfolgt, hätte vielleicht einiges an Schaden verhindert werden können. Wenngleich ich das nicht unbedingt glaube, angesichts der Tatsache, dass Unternehmen sogar eingeschriebene Briefe des NCSC ignorieren, in denen sie aufgefordert werden,
Exchange-Lücken zu patchen.
Trotzdem: Es kann nicht sein, dass diese absoluten Minimalstandards bis heute offenbar nie als Anforderung in einer öffentlichen Ausschreibung oder in einem Vertrag zwischen Bund und Lieferant formuliert worden sind. Der Bund hat "Security" bis jetzt einfach outgesourct, weil er sich offensichtlich selbst nicht darum kümmern will oder (viel wahrscheinlicher) nicht kann.
Das Speichern und Liefern von Produktivdaten ist zu unterscheiden
Um es klar zu betonen: Es liegt nicht am Lieferanten, keine Produktivdaten zu speichern. Es ist Sache des Auftraggebers, keine Produktivdaten zu liefern.
Ich weiss, dass die Herstellung von Testdaten teuer ist. Aber der Bund ist schweizweit wohl die Organisation, die mit den meisten sensitiven Personendaten des Landes hantiert. Diesen Zusatzaufwand nicht zu betreiben, ist grob fahrlässig. Und dass bis heute nicht noch mehr passiert ist, unfassbares Glück.
Bund hat nicht gefaxt? Oho!
Mit seiner Kommunikation schiebt der Bund seine Verantwortung an tausende kleine und grosse Lieferanten ab. Diese sind zwar auch nicht fehlerfrei und schuldlos am Schlamassel, aber wenn sie nicht eng genug kontrolliert werden, darf man sich über das Ergebnis auch nicht wundern.
Die Kommunikation des Bunds – Schuld sind die anderen und nicht wir – ist ein fatales Signal an die Bevölkerung. Sie versteht, dass der Bund "Digitalisierung" nicht kann und
verliert das Vertrauen. Bei den Grossprojekten in der Pipeline, um mit E-ID, E-Voting und dem elektronischen Patientendossier nur 3 zu nennen, ist das natürlich katastrophal.
Erstaunlich ist nur, dass der Bund seine Security-Anforderungen nicht gefaxt, sondern einen Brief geschrieben hat.
In eigener Sache
Vogt macht Ferien. Die nächsten 3 Wochen publiziere ich keine Kolumne. Der nächste Text erscheint am 18. August.