Fast zwei Jahre nach dem Klau von heiklen Bundes-Daten beim IT-Zulieferer Xplain kommt ein Bericht von Cyber-Experten zum Schluss: Noch immer könnte es besser stehen um die IT-Sicherheit der Bundesverwaltung.
Am Mittwoch hat der Bundesrat über den Fortschritt bei der Umsetzung des Massnahmenpakets informiert, das er nach dem Xplain-Desaster im Frühling 2023 geschnürt hatte, um in Zukunft das Risiko von «Datenabflüssen» zu vermeiden.
Für diese Massnahmen verantwortlich ist unter anderem das Staatssekretariat für Sicherheitspolitik (Sepos). Die Behörde fasste den Auftrag, den IT-Grundschutz in der Bundesverwaltung auf Sicherheitslöcher hin zu untersuchen.
Dazu wurde die InfoGuard AG beauftragt. Das Fazit des Cyber-Sicherheits-Unternehmens mit Hauptsitz in Baar ist durchzogen. Zwar biete der IT-Grundschutz der Bundesbehörden eine «organisch gewachsene und solide Grundlage».
Doch in verschiedenen Bereichen orten die IT-Fachleute Verbesserungsbedarf: «Ein transparenter und übersichtlicher Aufbau der sicherheitsrelevanten Elemente fehlt, was das Verständnis des IT-Grundschutzes erheblich erschwert», geht aus dem am Mittwoch veröffentlichten Bericht unter anderem hervor.
Vor allem die «inkonsistente Abgrenzung zwischen dem IT-Grundschutz und der Sicherheitsstufe ‚hoher Schutz‘» führe zu Unklarheiten.
«Wir empfehlen die Erarbeitung eines systematischen Rahmenwerks, das auf einer strukturierten Herangehensweise basiert und eine klare Einstufung der Vorgaben nach Sicherheitsstufen beinhaltet. Dieses Rahmenwerk sollte eine differenzierte und zielgerichtete Bearbeitung von Risiken und Bedrohungen ermöglichen.»
Zum Super-GAU kam es im Frühjahr 2023, als bei der Xplain AG, einer Lieferantin von Software für den Sicherheitsbereich, durch einen Ransomware-Angriff Daten gestohlen wurden. Darunter waren auch sensible Daten der Bundesverwaltung, nämlich vertrauliche Informationen und besonders schützenswerte Personendaten, wie der Klein Report berichtete.
Der Bundesrat liess den Unfall untersuchen. Basierend auf den Untersuchungsergebnissen beschloss er im Mai 2024 verschiedene Massnahmen, um die Cyber-Risiken zu verkleinern.
Unter anderem sollte das Sicherheitsmanagement verbessert werden, zum Beispiel durch zusätzliche Sicherheitsvorgaben bei der Zusammenarbeit mit Lieferanten. Oder dadurch, dass die Mitarbeitenden besser aufs Sicherheitsthema sensibilisiert werden.
