Die Kontrolleure des Bundes schlagen Alarm
Sicherheitslücken im Parlament

Die Kontrolleure des Bundes schlagen Alarm: IT-Projekte für die Räte sind nicht sicher.
Publiziert: 12.12.2021 um 00:45 Uhr
|
Aktualisiert: 12.12.2021 um 11:30 Uhr
1/6
Die Finanzkontrolle kritisiert die Parlamentsdienste scharf.
Foto: Thomas Meier
Simon Marti

Das Parlament soll digital werden. In der papierlosen Zukunft rufen die National- und Ständeräte alle Dokumente und Informationen auf einer Plattform ab und bearbeiten ihre Anträge online. So optimistisch tönte jedenfalls Andreas Wortmann, Leiter Infrastruktur und Sicherheit bei den Parlamentsdiensten und Mitglied der Geschäftsleitung, noch im vergangenen Jahr. Das passte gut in eine Zeit, als der Parlamentsbetrieb unter der Pandemie kollabierte und die Räte wochenlang ausserhalb des Bundeshauses tagten.

Doch fehlt der Vision eines digitalen Parlaments die technische Grundlage. Recherchen von SonntagsBlick zeigen, dass wichtige Digitalisierungsprojekte trotz Millionenkosten akut gefährdet sind. Mehr noch: Die Projekte bergen massive Sicherheitsrisiken. Sie laufen weiter, obwohl Beobachter beim Bund längst Alarm geschlagen haben.

Es ist die Rolle der Eidgenössischen Finanzkontrolle (EFK), den Bundesbehörden und ihren Beamten auf die Finger zu schauen. Als eine Art finanzpolitischer Wachhund soll sie die Verschwendung von Steuergeldern verhindern. In den vergangenen Monaten überprüften Kontrolleure die Digitalisierungsprojekte der Parlamentsdienste.

Interne Dokumente, die SonntagsBlick vorliegen, zeichnen die Untersuchung nach. Das Urteil ist verheerend. Seitenlang nimmt die EFK die Ausrichtung der Parlamentsdienste im Bereich der Informations- und Kommunikationstechnik (IKT) auseinander. «Eine auf die Geschäftsziele oder den Digitalisierungsauftrag abgestimmte IKT-Strategie ist nicht vorhanden.» In diesem Vakuum, so die Finanzkontrolle, wurden «von den Projekten – teilweise ohne Abklärung der Konsequenzen – Entscheide getroffen und Fakten geschaffen». Anders gesagt: Die Chefetage der Parlamentsdienste ist nicht auf der Höhe. Entscheide fällt sie trotzdem. Mit welchen Folgen, lässt sich anhand von zwei zentralen Vorhaben dokumentieren.

Unsichere Plattform

Da ist zum einen das Projekt «Cervin» (deutsch: Matterhorn). Cervin ist unter dem Namen Parlnet bereits als interne Arbeitsplattform für die Ratsmitglieder und deren persönliche Mitarbeitenden in Betrieb. Unberechtigte haben selbstredend keinen Zugriff auf die darauf gespeicherten Dokumente. Bloss: Sicher ist Parlnet nicht. «Das Sicherheitsniveau von Cervin ist gemäss extern durchgeführten Sicherheitsaudits unterdurchschnittlich», so die Erkenntnisse der EFK. «Es wurden Schwachstellen identifiziert, die gemäss Auditbericht schnellstmöglich umgesetzt werden müssen», was nicht erfolgt sei. Doch es sei unklar, «ob die Behebung der Schwachstellen in allen Fällen möglich ist».

Was macht diese Sicherheitslücken so gravierend? Auf Parlnet lagern Dokumente, die nicht für fremde Augen bestimmt sind. Zum Beispiel aus den Kommissionen, wo National- und Ständeräte um die Texte der Gesetze ringen. Nicht von ungefähr schützt das Kommissionsgeheimnis diesen sensiblen Prozess. Ist Parlnet undicht, ist die Vertraulichkeit dieser grundlegenden Parlamentsarbeit infrage gestellt.

Weiter kennt der Bund eine genaue Abstufung der Klassifikation vertraulicher Informationen. Die auf Parlnet abrufbaren Dokumente reichen bis zur Stufe «intern». Geraten sie Unberechtigten in die Finger, brächte das die Eidgenossenschaft nicht an den Rand des Abgrunds, könnte aber «den Landesinteressen einen Nachteil zufügen», wie die entsprechende Verordnung festhält.

Veraltete Konzepte

Gerhard Andrey (45) ist Grünen-Nationalrat und versteht etwas von Digitalisierung.

Der Ingenieur und Informatiker sitzt in der IT-Gruppe des Parlaments (PIT) und ist Mitglied der Reflexionsgruppe Digitalisierung der Bundeskanzlei. «Wenn die Schlussfolgerungen der Finanzkontrolle zutreffen, und ich habe grosses Vertrauen in die Arbeit dieser Behörde, dann ist das sehr bedenklich», sagt er.

Andrey macht sich schon länger Gedanken, wie das Parlament technisch den Sprung in die Gegenwart schaffen könnte. Den aktuellen Kurs sieht er skeptisch. «Die Konzepte wirken veraltet», so der Freiburger. «Wir verpassen damit die Chance, die eine echte Digitalisierung des Ratsbetriebs bieten würde. Nicht nur aus Effizienzgründen, sondern auch, damit die interessierte Öffentlichkeit den Gesetzgebungsprozess besser nachvollziehen kann.»

Präsident der PIT ist derzeit SVP-Nationalrat Mauro Tuena (49, ZH). Er sagt: «Wir werden den Bericht der EFK genau lesen. Stimmen die Vorwürfe, werden wir dem Parlament die notwendigen Schritte empfehlen.»

Die Parlamentsdienste beantworten vor der Publikation des EFK-Berichts keine Fragen dazu. Grundsätzlich sei die Sicherheit der Informatiksysteme der Bundesversammlung ein sehr wichtiges Anliegen, schreibt ein Sprecher. «So liessen die Parlamentsdienste beispielsweise das Projekt ‹Cervin› (Parlnet) im Juni und November 2020 durch eine auf solche Audits spezialisierte Firma auf Sicherheitsmängel überprüfen.» Bei diesen Prüfungen seien «wie erwartet» eine Reihe von Problemen geortet worden. Keines werde als Notfall gewertet. «Damit ist der Betrieb von Parlnet nicht infrage gestellt. Die gemachten Befunde wurden in der Zwischenzeit entweder behoben oder sind adressiert.»

Wackelt der Sockel, droht auch die Spitze zu kippen

Also alles halb so wild? Keineswegs. Wie die Finanzkontrolle rapportiert, «fehlen Voraussetzungen, um zu erkennen, ob Angreifer bereits Sicherheitslücken ausgenutzt haben». Ob sich jemand über die sensiblen Informationen hergemacht hat, lässt sich im Nachhinein gar nicht mehr feststellen.

Dabei scheute der Bund beim Projekt Cervin nicht vor hohen Ausgaben zurück. Der Auftrag ging vor knapp drei Jahren für beinahe zehn Millionen Franken an eine Firma aus der Ostschweiz. Bis heute bleiben wichtige Fragen des Betriebs ungeklärt. Und die Mängel von Cervin oder Parlnet sind keine isolierten Schwierigkeiten, die findige Spezialisten nach und nach abarbeiten könnten. Kein Projekt steht für sich allein, sondern die verschiedenen Plattformen bauen aufeinander auf. Wackelt der Sockel, droht auch die Spitze zu kippen.

Die Spitze, wenn man so will, ist ein Projekt namens Curiaplus. Rund zwölf Millionen Franken hat die Verwaltung für dieses Herzstück der digitalen Parlamentsarbeit reserviert. Geplant ist ein modernes Werkzeug für die Ratsmitglieder, die damit ihre Anträge online einreichen und bearbeiten können. Sämtliche Informationen zu einem Geschäft hätten sie bequem zur Hand. Es wäre ein Quantensprung für die eidgenössischen Räte.

Historische IT-Debakel

«Insieme»

Die Mutter aller Schweizer Informatikskandale suchte Bundesbern 2012 heim: Das Projekt, das die getrennten Systeme der Stempel- und Mehrwertsteuer hätte zusammenführen sollen, musste von der damaligen Finanzministerin Eveline Widmer-Schlumpf (64, BDP) beendet werden. Zu diesem Zeitpunkt waren die Kosten längst aus dem Ruder gelaufen. Sie beliefen sich auf mehr als 100 Millionen Franken.

«Mistra»

2013 stellte die Eidgenössische Finanzkontrolle fest, dass die Kosten für das Informationssystem des Bundesamts für Strassen (Astra) massiv überschritten wurden: «Mistra» hatte statt budgetierter 43 Millionen rund 100 Millionen Franken verschlungen. Auch die Kosten eines zweiten Astra-Projekts, des Informationssystems Verkehrszulassung (IVZ), fielen deutlich höher aus als geplant.

Vergabe-Praxis

2014 deckte der «Tages-Anzeiger» auf, dass ein Mitarbeiter des Staatssekretariats für Wirtschaft (Seco) Bestechungsgelder von Informatikunternehmern angenommen hatte. Der Ex-Beamte wurde im Herbst zu einer Freiheitsstrafe von vier Jahren verurteilt. Auch bei der Zentralen Ausgleichskasse des Bundes mit Sitz in Genf wurden Aufträge gesetzeswidrig vergeben. Deren Leiterin musste den Hut nehmen.

«Insieme»

Die Mutter aller Schweizer Informatikskandale suchte Bundesbern 2012 heim: Das Projekt, das die getrennten Systeme der Stempel- und Mehrwertsteuer hätte zusammenführen sollen, musste von der damaligen Finanzministerin Eveline Widmer-Schlumpf (64, BDP) beendet werden. Zu diesem Zeitpunkt waren die Kosten längst aus dem Ruder gelaufen. Sie beliefen sich auf mehr als 100 Millionen Franken.

«Mistra»

2013 stellte die Eidgenössische Finanzkontrolle fest, dass die Kosten für das Informationssystem des Bundesamts für Strassen (Astra) massiv überschritten wurden: «Mistra» hatte statt budgetierter 43 Millionen rund 100 Millionen Franken verschlungen. Auch die Kosten eines zweiten Astra-Projekts, des Informationssystems Verkehrszulassung (IVZ), fielen deutlich höher aus als geplant.

Vergabe-Praxis

2014 deckte der «Tages-Anzeiger» auf, dass ein Mitarbeiter des Staatssekretariats für Wirtschaft (Seco) Bestechungsgelder von Informatikunternehmern angenommen hatte. Der Ex-Beamte wurde im Herbst zu einer Freiheitsstrafe von vier Jahren verurteilt. Auch bei der Zentralen Ausgleichskasse des Bundes mit Sitz in Genf wurden Aufträge gesetzeswidrig vergeben. Deren Leiterin musste den Hut nehmen.

Parlamentsdienste trotzen

Aber bereits 2020 geriet das viel simplere IT-Projekt «Soprano» ins Straucheln (SonntagsBlick berichtete), nun bringen die Probleme von Parlnet auch Curiaplus ins Wanken. Oder wie die EFK es formuliert: «Schwachstellen in Cervin wirken sich vielfach direkt oder indirekt auch auf Curiaplus aus, das mehr sensible Daten und Funktionen für die Parlamentarier zur Verfügung stellt.» Und weiter: «Curiaplus ist auf die rechtzeitige Fertigstellung von anderen IT-Projekten angewiesen, von denen einige bereits wesentliche Verzögerungen gemeldet haben.» So sei die Entwicklung von Curiaplus nach einigen Monaten bereits im Rückstand. Weiter bestünden Differenzen mit dem Lieferanten darüber, ob das Projekt zum definierten Endtermin abgeschlossen werden könne. «Angesichts der Projektrisiken und der ungeklärten strategischen Vorgaben ist ausserdem zu klären, ob eine Sistierung des Projekts Curiaplus angebracht wäre.»

Zusammenfassend halten die Kontrolleure fest, dass sowohl Curiaplus als auch Cervin geltende Richtlinien nicht einhalten und vorgeschriebene Sicherheitskonzepte im Anfangsstadium stecken geblieben sind, und empfehlen für beide Projekte erneute, zügige Sicherheitsüberprüfungen.

Die Parlamentsdienste erwidern auf Anfrage beinahe trotzig, dass diese Projekte alle auf Kurs seien, «wir erwarten, dass sie zeitgerecht und in der erforderlichen Qualität fertiggestellt werden können».

Ob zufällig oder nicht, momentan rollte eine grosse Reorganisation der Parlaments-IT an. Rund 20 Mitarbeiter müssen sich auf ihre eigenen Stellen neu bewerben. Das gilt jedoch nicht für die Mitglieder der Geschäftsleitung, welche die Pläne von Soprano, Cervin und Parlnet einst ausheckten.

Im Parlament wächst die Angst vor Cyberattacken

Im Sommer vermutete SP-Nationalrat Fabian Molina (31, ZH), sein Computer sei gehackt worden. «Ohne ins Detail gehen zu wollen: Es gab gewisse Anhaltspunkte, die mich stutzig machten.» Molina schaltete erst die Bundespolizei (Fedpol) ein und stellte diese Woche im Parlament eine Anfrage. Molina will wissen, wie die Behörden überhaupt aufgestellt sind, um die Cybersicherheit von National- und Ständeräten zu gewährleisten. Die Antwort, wonach eigens ein IT-Sicherheitsverantwortlicher für die Politiker zuständig sei, überzeugt den Sozialdemokraten nicht. «Ich bin echt besorgt um die Cybersicherheit des Parlaments.» Dabei wurde die entsprechende Verordnung erst 2020 überarbeitet. «Und trotzdem spielen Cyberattacken darin keine Rolle!», kritisiert er.

Dass nun die Finanzkontrolle Sicherheitslücken bei Parlnet festgestellt hat, überrasche ihn nicht. Molina: «Schliessen wir diese Lücke nicht, können wir das Kommissionsgeheimnis gleich abschaffen.»

Im Sommer vermutete SP-Nationalrat Fabian Molina (31, ZH), sein Computer sei gehackt worden. «Ohne ins Detail gehen zu wollen: Es gab gewisse Anhaltspunkte, die mich stutzig machten.» Molina schaltete erst die Bundespolizei (Fedpol) ein und stellte diese Woche im Parlament eine Anfrage. Molina will wissen, wie die Behörden überhaupt aufgestellt sind, um die Cybersicherheit von National- und Ständeräten zu gewährleisten. Die Antwort, wonach eigens ein IT-Sicherheitsverantwortlicher für die Politiker zuständig sei, überzeugt den Sozialdemokraten nicht. «Ich bin echt besorgt um die Cybersicherheit des Parlaments.» Dabei wurde die entsprechende Verordnung erst 2020 überarbeitet. «Und trotzdem spielen Cyberattacken darin keine Rolle!», kritisiert er.

Dass nun die Finanzkontrolle Sicherheitslücken bei Parlnet festgestellt hat, überrasche ihn nicht. Molina: «Schliessen wir diese Lücke nicht, können wir das Kommissionsgeheimnis gleich abschaffen.»


Fehler gefunden? Jetzt melden
Was sagst du dazu?