Das VBS hadert mit der Cyberabwehr
Ein Prüfbericht offenbart Mängel im Information-Security-Management des VBS. Meldungen über mögliche Cyberangriffe bleiben demnach wochenlang liegen. Die Revisionsstelle empfiehlt Anpassungen.
Ein Prüfungsbericht der internen Revision hat Sicherheitslücken beim Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) offengelegt. Meldungen von sogenannten Informationssicherheitsvorfällen blieben beim VBS teils wochenlang liegen, berichtet "Blick". Die zuständige Abteilung "Sicherheit VBS" hätte die Sicherheitsmeldungen infolgedessen nur mit Verzögerung analysieren und bewerten können. Gemäss Vorschrift seien Vorfälle wie Bedrohungen, Verstösse oder Cyberangriffe unverzüglich an die zuständige Stelle weiterzuleiten.
Laut den Revisoren mangle es an effizienter Kommunikation zwischen den Verwaltungseinheiten, der korrekten Erfassung von Vorfällen und an deren zügiger Weiterleitung, schreibt "Blick".
Zwar müssten alle Mitarbeitenden beim Eintritt ins VBS eine entsprechende Grundschulung abschliessen, wie aus dem Prüfungsbericht hervorgeht. Es fehle aber eine "spezifische und stufengerechte Schulung und Sensibilisierung des Personals zum Thema Informationssicherheitsvorfälle".
Zentrales Tool für Information Security Management fehlt
Die verschiedenen Verwaltungseinheiten erfassen ihre Meldungen für das Informationssicherheits-Managementsystem (ISMS) aktuell alle in eigenen Tools. Parallel dazu führt "Sicherheit VBS" ein zentrales Register, in dem Meldungen zu Sicherheitsverletzungen gesammelt werden. Dabei erfolgen die Datenkonsolidierung, die Koordination und das Reporting primär manuell.
Dies führt gemäss der Prüfung auch dazu, dass die Datenqualität bei der Erfassung von Informationssicherheitsmeldungen nicht durchgängig sichergestellt ist. Im Bericht werden unter anderem Mängel zur Vollständigkeit oder Genauigkeit genannt, aber auch, dass teilweise Abhängigkeiten zwischen Anwendungen sowie zu externen IT-Lieferanten nicht klar seien.
Die Revisionsstelle empfiehlt Schulungen, um das Bewusstsein der Mitarbeitenden für potenzielle Gefahren zu schärfen. Auch die IT-Sicherheitsbeauftragten bräuchten entsprechende Weiterbildungen.
Derzeit sucht das Bundesamt für Informatik und Telekommunikation (BIT) nach einem zentralen Tool für das Information Security Management, das die aktuellen Einschränkungen adressiert. Bis im Jahr 2025 soll die Beschaffung und Einführung mit ersten Pilotprojekten im VBS stattfinden, wie dem Bericht zu entnehmen ist.
Übrigens: Lesen Sie hier über die neuen Cyber-Bundesstellen, die Anfang des Jahres 2024 eingerichtet wurden.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.