Man stelle sich vor: Eine kriminelle Hackergruppe versucht, sich Zugang zu den Systemen des Bundes zu verschaffen. Ein Mitarbeiter des Verteidigungsdepartements (VBS) klickt auf den Link des verdächtigen E-Mails. Doch das Ganze meldet und erfasst er erst Wochen später in einer Art Excel-File seiner Einheit.
Meldungen von sogenannten Informationssicherheitsvorfällen – wie etwa Sicherheitslücken, Bedrohungen, Verstösse oder gar Cyberangriffe – bleiben beim VBS tage- oder gar wochenlang liegen. Und das, obwohl die Vorfälle gemäss Vorschrift «unverzüglich» an die zuständige Stelle weiterzuleiten sind. Das geht aus einem kürzlich publizierten Bericht hervor.
Die interne Revision des VBS hat Ende 2023 geprüft, wie es um die Cybersicherheit im Departement steht – das Zeugnis ist nicht so gut. Laut den Revisoren mangelt es an effizienter Kommunikation zwischen den Verwaltungseinheiten, der korrekten Erfassung von Vorfällen und an deren zügiger Weiterleitung.
Kritik an ineffizienter Erfassung und Weiterleitung von Meldungen
Im letzten Jahr verdeutlichten mehrere Cyberangriffe die Sicherheitsrisiken für die Schweiz. Im Mai griff die Ransomware-Gruppe Play die IT-Firma Xplain an, die Software für zahlreiche Behörden wie beispielsweise das Bundesamt für Polizei (Fedpol) oder Migrationsämter herstellt. Adressen von Bundesräten und Polizistinnen oder Hooligan-Listen landeten im Darknet.
Im November griffen Kriminelle mit Concevis erneut einen Softwarelieferanten von Bund und Kantonen an. Der Bund hatte wie auch bei Xplain nicht überprüft, ob die Firma die Vorgaben zur IT-Sicherheit einhält.
Die Revisoren schreiben im Bericht, dass sich die Anzahl Cyberangriffe in den vergangenen zwei Jahren beinahe verdoppelt habe. Die grösseren Vorfälle – bei welchen das VBS oder Teile davon betroffen waren – hätten gezeigt, dass sich die Prozesse im Vorfallmanagement noch einspielen müssen: «Die Prüfung hat ergeben, dass Meldungen zum Teil erst mit mehreren Tagen respektive Wochen Verzögerung kommuniziert und im zentralen Register erfasst worden sind.» Eine unverzügliche Erfassung sei jedoch unabdingbar, um rasch zu reagieren.
Zudem kritisieren sie die ineffiziente Erfassung und Weiterleitung von Meldungen. Für eine vollständige Berichterstattung seien «zeitintensive manuelle Arbeitsschritte erforderlich». Die Datenkonsolidierung, die Koordination und das Reporting erfolgen primär manuell. Übersetzt heisst das: Die Daten werden einzeln gesammelt und manuell eingetragen statt über eine Software, der Austausch erfolgt persönlich oder via E-Mail. Das ist ineffizient und fehleranfällig. Die Mitarbeitenden seien mangelhaft geschult.
«Datenqualität entspricht noch nicht den Anforderungen»
Sicherheitsmeldungen werden zudem dezentral bearbeitet. Jede Verwaltungseinheit nutzt ihr eigenes System dafür. In den Stellungnahmen beklagen Bundesämter die fehlende Koordination und den mangelhaften Austausch. Die Revisoren: «Die gegenwärtig eingesetzten Übergangslösungen haben viele Einschränkungen, und die Datenqualität entspricht noch nicht den Anforderungen.»
Bundesrätin Viola Amherd (61) hat die Chefs des VBS in einem Schreiben gleich zu mehreren Massnahmen verpflichtet, welche die Revisoren empfohlen haben: Sie müssen unter anderem die Melde- und Datenqualität verbessern, die Mitarbeitenden stärker sensibilisieren und schulen sowie ihre «digitale Abwehrbereitschaft» regelmässig von unabhängiger Stelle überprüfen lassen.
Das VBS schreibt, die Arbeiten zur Umsetzung der Empfehlungen liefen. Mitarbeitende würden bereits jetzt geschult. «Dies wird nun insbesondere im Bereich der Informationssicherheit noch gestärkt.» Auch der Austausch mit den Bundesämtern werde intensiviert. Eine einheitliche, digitale Lösung jedoch lässt noch auf sich warten: Erst ab 2025 soll ein neues Erfassungssystem im Angebot stehen.