IT-Sicherheit
Finanzkontrolle bemängelt: Cyberangriffe auf Bund werden nicht schnell genug gemeldet

Ist die IT des Bundes von einem Cybervorfall betroffen, dauert die Meldung an das zuständige Kompetenzzentrum zu lange. Zu diesem Schluss kommt die Eidgenössische Finanzkontrolle. Sie empfiehlt, die Kommunikationswege zu verbessern.

Dario Pollice
Drucken
Die Finanzkontrolle konstatiert: Meldungen über eine Cyberattacke auf die IT-Systeme des Bundes müssen rascher erfolgen. (Symbolbild)

Die Finanzkontrolle konstatiert: Meldungen über eine Cyberattacke auf die IT-Systeme des Bundes müssen rascher erfolgen. (Symbolbild)

Keystone

Das Nationale Zentrum für Cybersicherheit (NCSC) ist die zentrale Fachstelle für die IT-Sicherheit des Bundes. Kommt es zu einem Cyberangriff, der die Bundesverwaltung gefährdet, muss dieser rechtzeitig dem NCSC gemeldet werden. So kann das Kompetenzzentrum die Bedrohungslage einschätzen und aktuelle Angriffsmuster frühzeitig erkennen.

Die Eidgenössische Finanzkontrolle (EFK) hat nun untersucht, ob Cyberangriffe gegen die Infrastruktur des Bundes zeitnah erkannt und abgewehrt werden können. Sie kommt in ihrem am Mittwochabend publizierten Bericht zum Schluss, dass es insbesondere bei der Kommunikation an das NCSC hapert. So würden Angriffe nicht schnell genug an das Kompetenzzentrum gemeldet, bemängelt die Finanzkontrolle.

Die EFK hat unter anderem zwei bereits abgeschlossene Fälle untersucht. Von der Entdeckung des Cybervorfalls bis zur Meldung an das NCSC dauerte es im ersten Fall 13 und im zweiten 11 Tage. Die Finanzkontrolleure halten fest, dass in beiden Fällen die Meldezeiten «zu lange dauerten und entsprechend gekürzt werden müssen». Insgesamt müssten die Durchlaufzeiten zwischen Entdeckung, Kommunikation und Beginn der Störungsbehebung verbessert werden.

Keine Übersicht über externe IT-Dienstleister

Verbesserungsbedarf ortet die EFK auch, wenn externe IT-Dienstleister des Bundes von einem Angriff betroffen sind. So fehle etwa eine Übersicht aller externen Dienstleister. Zudem gibt es gemäss dem Prüfbericht «auch keine zentrale Übersicht, welche Applikationen und Services von welchen Lieferanten betreut werden». Bei einem Angriff könnten somit nicht alle betroffenen Verwaltungseinheiten rasch informiert werden, «was die Verwundbarkeit der Bundesverwaltung erhöht».

Die EFK empfiehlt dem Nationalen Zentrum für Cybersicherheit, die Verwaltungseinheiten mit Blick auf eine rasche Meldung von Cybervorfällen zu sensibilisieren. Zudem soll das NCSC zusammen mit den Departementen und der Bundeskanzlei eine bundesweite Übersicht der externen IT-Dienstleister erstellen. In einer dem Prüfbericht beigelegten Stellungnahme hält das NCSC fest, dass es die vorgeschlagenen Verbesserungsmassnahmen der EFK unterstütze.