Stadt Luzern sieht wenig Chancen für Open Source
Der Stadtrat äussert sich zu einem Postulat, das mehr Open-Source-Software fordert. Für Mitinitiant Adrian Häfliger ist die Antwort eine "Kapitulationserklärung".
Vogt am Freitag: Immerhin war der Brief kein Fax
21. Juli 2023 um 06:30
Der Bund hat seine IT-Dienstleister angeschrieben und über geforderte Minimalstandards informiert. Das Schreiben erfolgt zu spät und dessen Inhalt ist trivial. Aber das ist noch gar nicht das Schlimmste.
Fast 3000 IT-Unternehmen erhielten diese Woche Post vom Bund. Inhaltlich nimmt das Schreiben zwar keinen Bezug zum Xplain-Hack, aber der Zusammenhang ist offensichtlich. Unter anderem werden die Empfänger aufgefordert, keine "nicht anonymisierten Produktivdaten des Bundes" mehr zu speichern.
Der Brief enthält noch weitere "Empfehlungen" zur Informationssicherheit. Sie sind hier nachzulesen und haben eines gemeinsam: Sie sind gleichermassen trivial sowie banal. Und sie nur als Empfehlung zu übermitteln, statt sie proaktiv einzufordern (und die Einhaltung zu kontrollieren), beweist vor allem eins: Die Awareness und das Verständnis von IT-Security fehlt beim Bund an allen Ecken und Enden.
Angeschriebene Firmen zeigten sich in der Vergangenheit beratungsresistent
Wäre das Schreiben früher erfolgt, hätte vielleicht einiges an Schaden verhindert werden können. Wenngleich ich das nicht unbedingt glaube, angesichts der Tatsache, dass Unternehmen sogar eingeschriebene Briefe des NCSC ignorieren, in denen sie aufgefordert werden, Exchange-Lücken zu patchen.
Trotzdem: Es kann nicht sein, dass diese absoluten Minimalstandards bis heute offenbar nie als Anforderung in einer öffentlichen Ausschreibung oder in einem Vertrag zwischen Bund und Lieferant formuliert worden sind. Der Bund hat "Security" bis jetzt einfach outgesourct, weil er sich offensichtlich selbst nicht darum kümmern will oder (viel wahrscheinlicher) nicht kann.
Das Speichern und Liefern von Produktivdaten ist zu unterscheiden
Um es klar zu betonen: Es liegt nicht am Lieferanten, keine Produktivdaten zu speichern. Es ist Sache des Auftraggebers, keine Produktivdaten zu liefern.
Ich weiss, dass die Herstellung von Testdaten teuer ist. Aber der Bund ist schweizweit wohl die Organisation, die mit den meisten sensitiven Personendaten des Landes hantiert. Diesen Zusatzaufwand nicht zu betreiben, ist grob fahrlässig. Und dass bis heute nicht noch mehr passiert ist, unfassbares Glück.
Bund hat nicht gefaxt? Oho!
Mit seiner Kommunikation schiebt der Bund seine Verantwortung an tausende kleine und grosse Lieferanten ab. Diese sind zwar auch nicht fehlerfrei und schuldlos am Schlamassel, aber wenn sie nicht eng genug kontrolliert werden, darf man sich über das Ergebnis auch nicht wundern.
Die Kommunikation des Bunds – Schuld sind die anderen und nicht wir – ist ein fatales Signal an die Bevölkerung. Sie versteht, dass der Bund "Digitalisierung" nicht kann und verliert das Vertrauen. Bei den Grossprojekten in der Pipeline, um mit E-ID, E-Voting und dem elektronischen Patientendossier nur 3 zu nennen, ist das natürlich katastrophal.
Erstaunlich ist nur, dass der Bund seine Security-Anforderungen nicht gefaxt, sondern einen Brief geschrieben hat.
Loading
Zollikon lagert IT teilweise aus
Die Zürcher Gemeinde hat mit Everyware einen Outsourcing-Partner gefunden. Für 3 Millionen Franken übernimmt die Firma Infrastruktur, Workplace, Netzwerk und Security.
Bern zentralisiert Datenschutzaufsicht
Nur noch die grossen Berner Gemeinden werden künftig eigene Datenschutzstellen haben. Für alle anderen wird die kantonale Stelle zuständig sein.
Graubünden ernennt Leiterin für Aufsichtsstelle Datenschutz
Die Regierung des Kantons hat Gabriela Huber zur Leiterin der neu geschaffenen Aufsichtsstelle Datenschutz ernannt. Die Juristin tritt die Stelle per 1. Januar 2026 an.