Bund muss Cybersicherheit der Verwaltung erhöhen
Gemäss der Eidgenössischen Finanzkontrolle (EFK) muss der Bund seine Massnahmen zum Schutz vor Cyberangriffen verbessern. Insbesondere das Melden von Vorfällen soll schneller werden. Zudem soll es ein Inventar der Applikationen externer Anbieter geben.
Die Eidgenössische Finanzkontrolle (EFK) hat die Effizienz der Cybersicherheitsprozesse der Bundesverwaltung untersucht. Dabei fokussierte sie insbesondere die Fähigkeit des Nationalen Zentrums für Cybersicherheit (NCSC), gegen Schwachstellen und Cybervorfälle vorzugehen. Der Bericht der EFK kommt zum Schluss, dass der Prozess für das Management von Vorfällen definiert, öffentlich und angewendet ist. Doch nennt er zahlreiche Lücken und Verbesserungspotenziale.
Langwieriger Meldeprozess ans NCSC
Um die verschiedenen Bundesstellen und -departemente bei der Bekämpfung einer Cyberbedrohung zu unterstützen, ist das NCSC auf die ihm übermittelten Informationen angewiesen. Es hat sich jedoch gezeigt, dass die Meldung von Cybervorfällen nicht schnell genug erfolgt. "Die EFK stellte fest, dass die Kommunikation mit dem NCSC noch ausgebaut werden muss. So ist das Vorfallsmanagement auf horizontaler Ebene, insbesondere der Informationsaustausch zwischen den Leistungserbringern, noch nicht überall gewährleistet. Zudem müssen die IT-Sicherheitsbeauftragten der Departemente schneller informiert werden", heisst es in dem Bericht.
Weiter werden zwei Cybervorfälle erwähnt: Der eine betrifft eine interne Abteilung, der andere einen externen Anbieter. Es dauerte 13 Tage respektive 11 Tage, bis der NCSC informiert wurde. In der Antwort an die EFK bekräftigte das NCSC, dass es der Optimierung der Meldeverfahren von Cybervorfällen die gebührende Aufmerksamkeit widmen werde.
Das Audit der EFK stellt ausserdem fest, dass die Rolle der IT-Sicherheitsbeauftragten der Verwaltungseinheiten (CISOs) gestärkt werden sollte, insbesondere in kleinen Verwaltungseinheiten. Die Meldung an das NCSC kann sich manchmal verzögern, wenn die CISOs nicht anwesend sind, da sie keinen Stellvertreter haben.
Mangelnde Rückverfolgbarkeit von Anwendungen
Der Bericht weist auch auf ein grosses Problem hin, das den fehlenden Überblick über die externen Leistungserbringer betrifft. "Im Falle eines Cybervorfalls ist es nicht möglich, schnell festzustellen, welche Anwendungen und Dienste von welchem Anbieter für welche administrative Einheit verwaltet werden", stellt die EFK fest. Sie empfiehlt, ein allgemeines Inventar zu erstellen. Das NCSC stimmt dem zu und erklärt, dass in Zusammenarbeit mit den Departementen und der Bundeskanzlei "die verfügbaren Informationen für einen bundesweiten Überblick über die externen IT-Dienstleister und deren Leistungen soweit wie möglich geprüft werden".
Der Bericht erwähnt auch die Notwendigkeit, die Beschaffung von Überwachungstools auf Bundesebene zu harmonisieren und zu zentralisieren. Denn derzeit werden verschiedene Tools mit gleichen oder ähnlichen Funktionen eingesetzt.
Übrigens: Das NCSC warnt vor Betrügern, die sich als Investmentberater ausgeben. Hier erfahren Sie mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.