Bericht Informatiksicherheit Bund 2023

BACS bemängelt IT-Sicherheit der Bundesverwaltung

Uhr
von Yannick Züllig und jor

"Probleme bei der Compliance", "Defizite bei der bundesweiten Daten-Governance", "Mängel bei der Übersicht über die Geschäftsbeziehungen mit externen Partnern": Die To-do-Liste der Bundesverwaltung in Sachen Cybersicherheit ist lang. Das zeigt der Bericht Informatiksicherheit Bund 2023 des BACS.

(Source: Andreas Fischinger / Unsplash.com)
(Source: Andreas Fischinger / Unsplash.com)

Die Bundesverwaltung hat diverse Baustellen in Sachen Cybersecurity, wie das Bundesamt für Cybersecurity (BACS) feststellt. Der "Bericht Informatiksicherheit Bund 2023" weist insbesondere auf Defizite der bundesweiten Daten-Governance und Mängel bei der Übersicht über die Geschäftsbeziehungen mit externen Partnern hin.

Hiess es im Bericht zum Cyberjahr 2022 noch, der aktuelle Sicherheitsstand der Informatik in der Bundesverwaltung entspreche der aktuellen Bedrohungslage, fehlt eine solche Einschätzung im diesjährigen Bericht.

Das Jahr 2023 sei von Cybervorfällen geprägt gewesen, welche die Bundesverwaltung "stark betroffen haben", heisst im Bericht. Dazu gehören:

Problem bei der Compliance

Grundsätzlich sind die Verwaltungseinheiten des Bundes selbst für die Bestimmung und Umsetzung von Sicherheitsmassnahmen ihrer sogenannten Informatikschutzobjekte zuständig. Informatikschutzobjekte umfassen Anwendungen, Services, Systeme, Netzwerke, Datensammlungen, Infrastrukturen und Produkte der Informatik. Im Rahmen des Berichts zur Informationssicherheit überprüft das BACS den Stand der Sicherheitsmassnahmen.

Für 81,8 Prozent der in der Bundesverwaltung erhobenen 2176 Schutzobjekte sind demnach gültige Sicherheitsdokumentationen vorhanden. Die sich daraus ergebenden Sicherheitsmassnahmen sowie deren Kontrolle wurden 2023 bei 74,4 Prozent aller Schutzobjekte ausgewiesen.

Die Zahlen sind laut Bericht mit denen aus dem Vorjahr vergleichbar, allerdings sind und waren die Werte "generell zu tief und weisen auf ein Problem bei der Compliance hin". Auch liessen sich aus den Zahlen keine allgemeine Aussage ableiten, "ob die Qualität der IT-Sicherheitsdokumente ausreichend geprüft und ob diese auch wirklich kritisch hinterfragt wurden".

Selbst eine aktuelle Dokumentation garantiere nicht, dass die Sicherheitsmassnahmen entsprechend implementiert und überprüft worden sind. Das BACS habe jedoch keine Auditmöglichkeit bei anderen Verwaltungseinheiten und fordert im Bericht, dass solche Möglichkeiten geprüft werden.

Bounty-Programme und Schulungen

Der Bericht weist auch auf Massnahmen hin, welche das damalige NCSC (das heutige BACS) zur Stärkung der Cyberresilienz der Verwaltung trafen. Dazu gehörten: 

  • Die Durchführung mehrerer Bug-Bounty-Programme sowohl für einzelne Services und Applikationen als auch für alle öffentlich exponierten Systeme (*.admin.ch) der Bundesverwaltung
  • Die Sensibilisierung von Mitarbeitenden der Verwaltung im Rahmen der nationalen S-U-P-E-R-Kampagne
  • Das Durchführen mehrerer Expertenkurse für IT-Fachkräfte in der Bundesverwaltung
  • Durchführung von Mitarbeiterschulungen bei 94 Prozent der neu eintretenden Mitarbeitenden

Während die Mitarbeitenden der Verwaltung dazu verpflichtet sind, eine IT-Sicherheitsschulung zur durchlaufen, gilt diese Regelung nicht für externe Lieferanten. Laut BACS-Bericht meldeten mehrere Departemente, dass sie "ein grundsätzliches Problem haben, externe Mitarbeitende oder Dienstleister hinsichtlich der IT-Sicherheit adäquat zu sensibilisieren".  Teilweise fehlen externen Mitarbeitenden die technische Möglichkeit, um die Lerneinheiten zu absolvieren. 

Geplante Massnamhen

Für das Jahr 2024 plant der Bundesrat ein Massnahmenpaket zur Stärkung der Informationssicherheit. Dieses fokussiert drei Bereiche: 

  • Erstens eine Stärkung des Sicherheitsmanagements, unter anderem durch die Erstellung zusätzlicher Sicherheitsvorgaben für die Zusammenarbeit mit Lieferanten bis Ende 2024. Die Kontroll- und Auditfähigkeit soll gestärkt werden. 
  • Zweitens soll bis Ende 2024 ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben entstehen.
  • Drittens will der Bund bis Ende 2024 eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellen.

Zur kurz- und mittelfristigen Stärkung der Informatiksicherheit sollen die Departemente und die Bundeskanzlei weiterhin daran arbeiten, die Sicherheitsdokumentation aktuell zu halten und die darin geforderten Massnahmen zeitgerecht umzusetzen. Das BACS empfiehlt, speziell bei der Implementierung der Massnahmen einen Fokus zu setzen, da Dokumentation und effektive Implementierung zum Teil voneinander abweichen.

Für das Jahr 2024 wird der Bericht Informatiksicherheit Bund nicht mehr durch das NCSC/BACS erstellte, sondern durch die Fachstelle des Bundes für Informationssicherheit im Staatssekretariat für Sicherheitspolitik SEPOS. Dieses ist seit Januar 2024 für die Koordinierung der IT-Sicherheit des Bundes zuständig.

Webcode
pJoLPWPS