Bericht zu Curiaplus

Update: Finanzkontrolle fordert bessere Sicherheitstests für Parlaments-IT

Uhr
von Joël Orizet und René Jaun und pwo, yzu

In einem Anfang 2022 veröffentlichten Bericht hat die Eidgenössische Finanzkontrolle erhebliche Sicherheitsrisiken in der IT-Plattform des Parlaments festgestellt. Nun hat sich die Behörde das Projekt erneut angeschaut und findet, es gebe nach wie vor Verbesserungspotenzial.

(Source: violetta / pixabay.com)
(Source: violetta / pixabay.com)

Update vom 17.01.2024: Auf dem Weg, aber nicht am Ziel - so lässt sich der Befund der eidgenössischen Finanzkontrolle (EFK) zur Parlamentsplattform "Curiaplus" zusammenfassen. In ihrem Mitte Januar veröffentlichten Bericht untersucht sie die Frage, ob die Plattform im Gesamtumfeld der IT der Parlamentsdienste sicher und zuverlässig betrieben werden könne. Dazu gehört auch die Frage, was mit den im letzten Bericht (veröffentlicht Anfang 2022) formulierten Empfehlungen geschah. Die EFK merkt an, dass die Schlussbesprechung der Prüfung im August 2023 stattgefunden habe – die Entwicklungen danach seien im Bericht nicht berücksichtigt.

Isolierte Prüfungen reichen nicht

"Trotz positiver Entwicklungen bei der Governance und der Organisation bestehen bei beiden Projekten Curiaplus und Parlnet noch Verbesserungspotenziale, insbesondere in den Bereichen Informatiksicherheit, Service Level Agreements (SLA) und Datensicherung", schreibt die EFK. Etwas konkreter hörte die Behörde bei ihren Befragungen, der IT-Grundschutz werde eingehalten. An welchen Vorgaben und Standards sich die Parlamentsdienste dafür jedoch orientieren und wie sie die Umsetzung prüfen, habe nicht eruiert werden können. Des Weiteren bemängelt die EFK das Fehlen einer Gesamtsicht aller Risiken sowie einer regelmässigen Prüfung des Risikomanagements auf Angemessenheit und Wirksamkeit.

Im Bericht erwähnt die Finanzkontrolle mehrere Sicherheitsprüfungen und auch ein Bug-Bounty-Programm in Zusammenhang mit Curiaplus. Sie weist aber auch darauf hin, dass eine im April 2023 stattgefundene Sicherheitsprüfung nicht vollständig durchgeführt werden konnte. "Die Prüfung wurde durch zwei Neuinstallationen von CuriaPlus unterbrochen. Des Weiteren wurde sie auf einer Testumgebung durchgeführt, welche Abweichungen zur Produktivumgebung aufwies." Dabei seien zwar keine Befunde mit hohen oder kritischen Lücken entdeckt worden. Aber: "Eine IT-Sicherheitsprüfung, welche eine Anwendung isoliert betrachtet, zeigt ein wenig repräsentatives Bild zum Sicherheitsstand in einer Gesamtumgebung", urteilt die EFK.

Den Parlamentsdiensten empfiehlt sie darum, rasch eine umfassende Sicherheitsprüfung von Parlnet und Curiaplus durchzuführen, welche auch die direkt verbundenen Umsysteme abdeckt. Die Parlamentsdienste sind mit der Empfehlung einverstanden und schreiben, die Wiederholung der Sicherheitsprüfung habe bereits im August 2023 begonnen.

Drei Empfehlungen umgesetzt – teilweise

In weiteren Punkten empfiehlt die EFK den Parlamentsdiensten unter anderem, das Incident Management klar zu regeln, eine georedundant ausgelegte Server-Infrastruktur zu prüfen und allenfalls umzusetzen und Massnahmen zur Betriebsweiterführung kritischer Anwendungen im Störungsfall zu erarbeiten.

Von den im letzten Bericht formulierten Empfehlungen seien drei umgesetzt worden, jedoch nur teilweise, wie die Finanzkontrolle anmerkt. So hätten die Parlamentsdienste zwar eine weitere Sicherheitsprüfung durchgeführt, deren Umfang jedoch nicht erweitert. Die geforderten Dokumente und Verträge seien zwar vorhanden, jedoch noch nicht finalisiert. Und eine Risikoanalyse sei erstellt worden, allerdings seien die geforderten Dokumente für die Plattform Curiaplus noch in Bearbeitung.

Originalmeldung vom 23.3.2022:

Finanzkontrolle entdeckt IT-Sicherheitslücken im Parlament

Die Eidgenössische Finanzkontrolle (EFK) hat gravierende Sicherheitslücken in der IT-Infrastruktur des Parlaments aufgedeckt. Die EFK untersuchte zwei Digitalisierungsprojekte der Parlamentsdienste und kommt zum Schluss, dass in beiden Projekten wesentliche Probleme und Risiken bestehen, insbesondere im Hinblick auf die Informationssicherheit.

Schuld daran seien Versäumnisse bezüglich Governance und Strategie, heisst es im Untersuchungsbericht der EFK (PDF): "Eine auf die Geschäftsziele oder auf den Digitalisierungsauftrag abgestimmte IKT-Strategie ist nicht vorhanden." Zudem fehle es an Betriebs- und Sourcing-Strategien sowie an einer Ziel-Architektur, die alle relevanten Anforderungen berücksichtige. "In diesem Vakuum wurde von den Projekten – teilweise ohne umfassende Abklärung der Konsequenzen – Entscheide getroffen und Fakten geschaffen."

Namentlich geht es um das IT-Projekt Cervin und um das darauf aufbauende Projekt Curiaplus. Beide Vorhaben dienen dem Zweck, die Digitalisierung des Rats- und Kommissionsbetriebs voranzutreiben.

Info-Portal mit Sicherheitslücken

Cervin ist eine Plattform, die Parlamentarierinnen und Parlamentariern wie auch Mitarbeitenden der Parlamentsdienste einen personalisierbaren Zugang zu allen relevanten Informationen bietet. Das Portal ist bereits seit 2019 im Betrieb – obwohl wichtige Betriebsfragen weiterhin ungeklärt sind und Sicherheitsrisiken bestehen: "Das Sicherheitsniveau von Cervin ist gemäss extern durchgeführten Sicherheitsaudits unterdurchschnittlich", schreibt die EFK im Bericht. Man habe Schwachstellen identifiziert, "die gemäss Auditbericht schnellstmöglich behoben werden müssen, was nicht erfolgt ist".

Ferner seien die Testmöglichkeiten ungenügend; es habe keine Abnahme stattgefunden und: Den Betrieb der Plattform haben die Parlamentsdienste ohne entsprechenden Vertrag und Service Level Agreement an eine externe Firma übertragen. Der Zuschlag in Höhe von knapp 10 Millionen Franken ging 2019 an den IT-Dienstleister Clavis IT.

Das Fazit der EFK: "Die vom Projekt Cervin bereitgestellte Infrastruktur ist aktuell nicht sicher genug, um darauf die noch deutlich sensiblere Anwendung Curiaplus zu implementieren und zu betreiben." Aufgrund technischer Grundsatzfragen sei unklar, ob die Behebung der Schwachstellen in allen Fällen möglich sei.

Es fehlen sogar die Voraussetzungen, um zu erkennen, ob Angreifer bereits Sicherheitslücken ausgenutzt haben.

Projektstopp steht zur Debatte

Das Projekt Curiaplus galt als Wegbereiter für den digitalen Ratsbetrieb. Ziel ist es, dass Ratsmitglieder ihre Anträge direkt online bearbeiten können. Die Einführung war zur nächsten Legislaturperiode im Jahr 2023 geplant. Doch die EFK warnt nun vor einem hohen Realisierungsrisiko.

Es fehle eine unabhängige Beurteilung des Projektes beziehungsweise der Projekt- und Risikoberichte. Ebenfalls nicht vorhanden sei ein projektinternes Qualitäts- und Risikomanagement: "Im Risiko-Reporting des Projektleiters werden von internen Fachleuten gemeldete Risiken und solche aus externen Berichten nicht aufgenommen", schreibt die EFK.

Curiaplus sei auf die rechtzeitige Fertigstellung von anderen IT-Projekten angewiesen, von denen einige bereits wesentliche Verzögerungen gemeldet hätten. Curiaplus selbst sei bereits nach einigen Monaten im Rückstand und es bestünden Differenzen mit dem Lieferanten, ob das Projekt im vereinbarten Zeitraum abgeschlossen werden könne.

Die EFK zieht einen ernüchternden Schluss: "Angesichts der Projektrisiken und der ungeklärten strategischen Vorgaben ist zu klären, ob eine Sistierung des Projektes Curiaplus angebracht wäre."

Übrigens: In einem weiteren Untersuchungsbericht nahm die EFK die Zürcher Firma Axsana unter die Lupe. Das Zürcher Unternehmen ist eine von sieben sogenannten Stammgemeinschaften, die in der Schweiz das elektronische Patientendossier (EPD) anbieten können. Die verzögerte Einführung des EPD macht dem Zürcher Anbieter allerdings zu schaffen. Lesen Sie hier mehr dazu.

Webcode
DPF8_250695