Personal zu wenig sensibilisiert

Das VBS hadert mit der Cyberabwehr

Uhr
von Lia Perbo und yzu

Ein Prüfbericht offenbart Mängel im Information-Security-Management des VBS. Meldungen über mögliche Cyberangriffe bleiben demnach wochenlang liegen. Die Revisionsstelle empfiehlt Anpassungen.

(Source: Beatrice Devenes)
(Source: Beatrice Devenes)

Ein Prüfungsbericht der internen Revision hat Sicherheitslücken beim Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) offengelegt. Meldungen von sogenannten Informationssicherheitsvorfällen blieben beim VBS teils wochenlang liegen, berichtet "Blick". Die zuständige Abteilung "Sicherheit VBS" hätte die Sicherheitsmeldungen infolgedessen nur mit Verzögerung analysieren und bewerten können. Gemäss Vorschrift seien Vorfälle wie Bedrohungen, Verstösse oder Cyberangriffe unverzüglich an die zuständige Stelle weiterzuleiten. 

Laut den Revisoren mangle es an effizienter Kommunikation zwischen den Verwaltungseinheiten, der korrekten Erfassung von Vorfällen und an deren zügiger Weiterleitung, schreibt "Blick".

Zwar müssten alle Mitarbeitenden beim Eintritt ins VBS eine entsprechende Grundschulung abschliessen, wie aus dem Prüfungsbericht hervorgeht. Es fehle aber eine "spezifische und stufengerechte Schulung und Sensibilisierung des Personals zum Thema Informationssicherheitsvorfälle". 

Zentrales Tool für Information Security Management fehlt

Die verschiedenen Verwaltungseinheiten erfassen ihre Meldungen für das Informationssicherheits-Managementsystem (ISMS) aktuell alle in eigenen Tools. Parallel dazu führt "Sicherheit VBS" ein zentrales Register, in dem Meldungen zu Sicherheits­ver­letzungen gesammelt werden. Dabei erfolgen die Datenkonsolidierung, die Koordination und das Reporting primär manuell.

Dies führt gemäss der Prüfung auch dazu, dass die Datenqualität bei der Erfassung von Informations­sicher­heits­meldungen nicht durchgängig sichergestellt ist. Im Bericht werden unter anderem Mängel zur Vollständigkeit oder Genauigkeit genannt, aber auch, dass teilweise Abhängigkeiten zwischen Anwendungen sowie zu externen IT-Lieferanten nicht klar seien.

Die Revisionsstelle empfiehlt Schulungen, um das Bewusstsein der Mitarbeitenden für potenzielle Gefahren zu schärfen. Auch die IT-Sicherheitsbeauftragten bräuchten entsprechende Weiterbildungen. 

Derzeit sucht das Bundesamt für Informatik und Telekommunikation (BIT) nach einem zentralen Tool für das Information Security Management, das die aktuellen Einschränkungen adressiert. Bis im Jahr 2025 soll die Beschaffung und Einführung mit ersten Pilotprojekten im VBS stattfinden, wie dem Bericht zu entnehmen ist. 

Übrigens: Lesen Sie hier über die neuen Cyber-Bundesstellen, die Anfang des Jahres 2024 eingerichtet wurden.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
U3WSAQLK