Bundesverwaltung nimmt 600 IT-Dienstleistungsverträge unter die Lupe
Nach Cyberangriffen auf seine IT-Zulieferer hat der Bund 7000 Verträge mit externen Dienstleistern auf Bestimmungen zur Cybersicherheit abgeklopft. 600 davon muss die Verwaltung in den nächsten Monaten genauer prüfen und allenfalls anpassen.
Der Cyberangriff auf den IT-Dienstleister Xplain im Frühling 2023 ist nicht ohne Folgen geblieben. Schon im Juni 2023 ordnete der Bundesrat an, die Verträge der Departemente und der Bundeskanzlei zu ICT-Leistungen in puncto Cybersicherheit zu überprüfen. Bis Ende Jahr seien daraufhin 7000 bestehende Verträge mit ICT-Dienstleistern überprüft worden. Das schreibt der Bundesrat in seiner Stellungnahme zu einer parlamentarischen Anfrage des Nationalrates Dominik Blunschy.
Gut 2200 dieser Verträge seien als sicherheitsrelevant eingestuft worden, heisst es weiter. Bei der Hälfte davon "konnte festgestellt werden, dass diese punkto Cybersicherheit angemessene Bestimmungen enthalten". Von den übrigen müsse man rund 600 Verträge vertieft prüfen und allenfalls anpassen. Dabei handelt es sich laut der Stellungnahme um jene Verträge, die nicht in den nächsten Monaten auslaufen.
In seiner Stellungnahme spricht sich der Bundesrat gegen eine allgemeinen Auditpflicht für Organisationseinheiten der Bundesverwaltung, die externe ICT-Dienstleistungen beziehen, aus. Sie wäre unverhältnismässig und sei gesetzlich nicht vorgesehen, schreibt die Exekutive und merkt an, dass nicht alle ICT-Dienstleistungen sicherheitsempflindliche Aufträge beinhalten. ICT-Dienstleister, die solche Aufträge ausführten, "werden aber periodisch durch die Fachstelle Betriebssicherheit im Staatssekretariat für Sicherheitspolitik (Sepos) überprüft". Das Sepos wurde neu geschaffen und nahm Anfang 2024 seine Arbeit auf, wie Sie hier lesen können.
Untersuchungsbericht bis Ende März
Auf Blunschys Frage, nach welchen Kriterien in Bezug auf die Informationssicherheit die Zusammenarbeit mit fehlbaren ICT-Zulieferern beendet werde, schreibt der Bundesrat, er habe keine einheitlichen Kriterien dazu definiert. Es obliege grundsätzlich der jeweils zuständigen Verwaltungseinheit, die Risiken abzuwägen und die entsprechenden Konsequenzen zu ziehen. Anbieter, die ihren Verpflichtungen bezüglich Informationssicherheit in der Vergangenheit nicht nachkamen, riskierten, für zukünftige Aufträge nicht berücksichtigt zu werden.
Noch werden die Vorfälle in Zusammenhang mit dem Cyberangriff untersucht, wie der Stellungnahme zu entnehmen ist. Bis Ende März 2024 soll ein Bericht zuhanden des Bundesrates vorliegen. Darauf aufbauend werde man über das weitere Vorgehen entscheiden, schreibt der Bundesrat.
Aufgrund des Cyberangriffs auf Xplain entschied sich die Waadtländer Polizei, ihren Vertrag mit dem IT-Dienstleister aufzulösen. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Protonmail lanciert Dark Web Monitoring
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Hamster entrinnt dem Regenbogen-Labyrinth
Gil Shwed über Rücktritt, Cybercrime und KI
Update: Cloud-Anbieter nach Ransomware-Angriff Konkurs
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Bitdefender startet Förderprogramm für Start-ups
