EFK-Bericht

So soll das Fedpol bei der Cybercrime-Bekämpfung nachbessern

Uhr
von René Jaun und jor

In einem Bericht bewertet die eidgenössische Finanzkontrolle die Arbeit des Fedpol bezüglich Bekämpfung der Cyberkriminalität. Zur Verbesserung empfiehlt sie der Behörde unter anderem, die Schaffung eines Cyber-Kommissariats zu prüfen und mit einem neuen Ermittlungssystem vorwärts zu machen.

(Source: pp76 / Fotolia.com)
(Source: pp76 / Fotolia.com)

Gute Arbeit mit Verbesserungspotenzial – so kann man den Bericht der eidgenössischen Finanzkontrolle (EFK) über die Arbeit des Bundesamtes für Polizei (Fedpol) zusammenfassen. Genauer führte die EFK eine "Wirksamkeitsprüfung der Bekämpfung von Cyberkriminalität" durch, wie der Titel des Berichts verrät. Dazu sondierte die Kontrollstelle das Umfeld, in welchem das Fedpol tätig ist und holte Einschätzungen der Partner, namentlich der Kantone und der Bundesanwaltschaft, ein.

Cyber-Sekretariat wird geprüft

In vielen Punkten zeigt sich die EFK mit der Arbeit des Bundesamtes zufrieden. So würden etwa die Dienste der beiden Abteilungen "IT-Forensik, Cybercrime" und "Wirtschaftskriminalität" innerhalb der Bundeskriminalpolizei von den Kantonen und der Bundesanwaltschaft geschätzt, heisst es in der Zusammenfassung des Berichts. Ferner gestalte sich die Zusammenarbeit zwischen Bundesanwaltschaft und Bundeskriminalpolizei weitgehend problemlos.

Allerdings zeigt der Bericht auch Mängel auf, die das Fedpol gemäss EFK beheben soll. So bestehe etwa Uneinigkeit zwischen der Bundesanwaltschaft und dem Fedpol bezüglich der Schaffung eines Cyber-Kommissariats bei der Bundeskriminalpolizei. Dieses wäre das Fedpol-Pendant zur Abteilung "Cyberkriminalität" der Bundesanwaltschaft.

Auch die Kommunikation zwischen den beiden Behörden sei nicht immer optimal verlaufen, schreibt die EFK weiter. Sie empfiehlt darum dem Fedpol, die Vor- und Nachteile eines "Cyber-Kommissariats" in der Bundeskriminalpolizei oder einer anderen Lösung zu analysieren, um die Verfügbarkeit von Ressourcen für "Cyberkriminalitätsstrafverfahren" der Bundesanwaltschaft ab Juli 2021 sicherzustellen. In einem Zusatzdokument zum Bericht schreibt das Fedpol, es habe die Empfehlung zur Kenntnis genommen und analysiere diese zurzeit.

Der nicht genannte Dienstleister

Weiter empfiehlt die EFK, dass das Fedpol ein "Kompetenzzentrum, insbesondere im Bereich der Forensik, für die Bundesverwaltung" schaffen soll. Damit soll der Bedarf gebündelt und eine wirtschaftliche Lösung gefunden werden. Als Begründung für diese Empfehlung verweist die EFK darauf, dass Bund und Kantone jedes Jahr mehrere Millionen Franken für forensische IT-Leistungen ausgeben. Die Leistungen beziehen sie "bei ein- und demselben Unternehmen", welches wiederum knapp 80 Prozent seines Umsatzes mit dem öffentlichen Sektor erziele. Den Namen des privaten Dienstleisters gibt die EFK weder im Bericht noch auf Nachfrage bekannt. Im Bericht spricht die Kontrollstelle lediglich von einem Graubündner Unternehmen und spricht von einer faktischen Monopolstellung.

Im Bericht schreibt das Fedpol, dass bereits im Jahr 2020 eine "Initiative zur Nutzung von Synergien und zur Optimierung der Beschaffungsabläufe" gestartet worden sei und verspricht, über den Fortschritt zu informieren.

Vorwärts mit Ermsys!

Ebenfalls im Gang ist das Projekt "Ermsys" - eine Abkürzung für "Ermittlungssystem". Die digitale Bearbeitung von Erhebungsdaten in Bundeskriminalpolizei und deren Abteilung für Cyberkriminalität sei nicht ohne Risiken, schreibt die EFK dazu. Bereits 2019 habe das Fedpol das Programm "Ermsys" gestartet, um die Situation zu verbessern. Der Bericht spricht von "einer ehrgeizigen Frist bis 2022", empfiehlt dem Fedpol jedoch, dem Projekt Priorität einzuräumen. Dies, "um eine angemessene und sichere Arbeitsumgebung zu schaffen, die für die Partner der BKP beim Bund und bei den Kantonen die Nachverfolgbarkeit der Informationen gewährleistet und ihren Teams eine effiziente Arbeitshilfe gibt".

Man teile die Ansichten der Kontrollstelle, schreibt das Fedpol in seiner Antwort. Man habe inzwischen einen Auftrag vergeben, und "die Implementierungsarbeiten sind intensiv im Gange". Den Zuschlag für das Ermittlungssystem erteilte das Fedpol dem IT-Dienstleister Atos, wie Sie hier lesen können.

Wenig Spielraum erkennt das Fedpol dagegen bezüglich der Empfehlung, Instrumente zur Steuerung der Aktivitäten der BKP durch ein Monitoring (Cockpit und Kennzahlen) für die Dossierverwaltung, einschliesslich der Nachverfolgung der Meldungen des Fedpol an die Kantone, zu stärken. Die bestehenden Rechtsgrundlagen erlaubten es nicht, Daten von den Kantonen für die Kontrollberichte zu verlangen, schreibt die Behörde, und verweist auf einen hängigen politischen Vorstoss.

In einem anderen Bericht kritisierte die Finanzkontrolle die Schweizerische Finanzmarktaufsicht (Finma). Sie sanktioniere Schweizer Banken oftmals nicht, wenn diese gegen die Meldepflicht von Cybervorfällen verstossen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue

den wöchentlichen Newsletter von Swisscybersecurity.net an

Abwehrstrategien.

Webcode
DPF8_213073