Sicherheitsrisiken im EDV-System
- ShortId
-
01.3708
- Id
-
20013708
- Updated
-
14.11.2025 06:43
- Language
-
de
- Title
-
Sicherheitsrisiken im EDV-System
- AdditionalIndexing
-
34;Produktesicherheit;Computerkriminalität;Sicherheit;Datenschutz;Datenverarbeitung;Datenverarbeitung in der Verwaltung
- 1
-
- L04K08020225, Sicherheit
- L05K1203010105, Datenverarbeitung in der Verwaltung
- L03K120304, Datenverarbeitung
- L04K05020513, Datenschutz
- L04K12030301, Computerkriminalität
- L05K0706010306, Produktesicherheit
- PriorityCouncil1
-
Nationalrat
- Texts
-
- <p>1. Einzelne Risiken sind zwar nicht immer direkt vergleichbar, insgesamt sind aber die Art der Aufgaben und auch die verarbeiteten Daten in den Verwaltungen ähnlich. Selbst Industrie und Dienstleistungsunternehmen klassieren ihren Schutzbedarf und ihre Risiken nicht grundsätzlich anders. Wenn auch über einzelne Risiken und Schadenfälle nicht direkt Informationen ausgetauscht werden, so sind doch im Grossen und Ganzen Vergleichsmöglichkeiten gegeben. Vergleiche stützen sich:</p><p>- auf Berichte über die Informatiksicherheitsbelange anderer Verwaltungen (z. B. Kantone);</p><p>- auf die Kontakte im Rahmen der Stiftung InfoSurance, die gemeinsam von Bund und Wirtschaft finanziert wird;</p><p>- auf direkte Kontakte zu ausländischen Verwaltungsorganisationen, wie dem Bundesamt für Sicherheit in der Informationstechnik in Deutschland, dem Zentrum für sichere Informationstechnologie in Österreich, dem Critical Infrastructure Protection Office in den USA und anderen staatlichen Organisationen. Diese Organisationen bestätigen in verschiedenen Gesprächen, dass sie die gleichen oder ähnliche Probleme im Bereich der Informatiksicherheit haben und, daraus resultierend, nach deren Verfahren entsprechende Sicherheitsmassnahmen einleiten;</p><p>- auf Vergleiche an internationalen Kongressen.</p><p>2. Für das Risikomanagement sind mehrere Stellen zuständig, die verschiedene Rollen wahrzunehmen haben:</p><p>- Die Dateninhaber beurteilen die Schutzwürdigkeit ihrer Daten. Die Erhebung und Überprüfung der Schutzobjekte sind ständige Aufgaben der zuständigen Verwaltungseinheiten.</p><p>- Der Informatikrat des Bundes (IRB) führt die Weisungen des Bundesrates über die Informatik und Telekommunikation in der Bundesverwaltung näher aus. Im Auftrag des IRB erarbeitet das Informatikstrategieorgan Bund (ISB), zusammen mit dem von ihm geleiteten Ausschuss Informatiksicherheit A-IS des Bundes, in welchem alle Departemente und die Bundeskanzlei vertreten sind, die Weisungen zur Informatiksicherheit. Das ISB ordnet auf der Grundlage des mit den Verwaltungseinheiten gemeinsam ermittelten Schutzbedarfes die zu ergreifenden konkreten Sicherheitsmassnahmen an.</p><p>- Die Informatikleistungserbringer der Departemente setzen die Massnahmen operativ um.</p><p>Nur dieses Zusammenspiel derjenigen Stellen, die das Geschäft (schützenswerte Daten, Geschäftsprozesse, Beteiligte) kennen (Leistungsbezüger), derjenigen, welche die nötigen und möglichen Gefahren und Schutzmassnahmen umfassend beurteilen können (Sicherheitsspezialisten im ISB und in den Departementen) und schliesslich derjenigen, die konkrete Massnahmen operativ umsetzen können (Leistungserbringer), gewährt eine optimale Sicherheit.</p><p>3. Das ISB stellt eine Datenbank der schützenswerten Informatikmittel und Daten (Schutzobjekte) sowie der Personen zur Verfügung, denen die Verantwortung für die ständige Kontrolle der Einhaltung und Wirksamkeit von Sicherheitsmassnahmen obliegt. Ein Gesamtüberblick existiert somit für die von den Departementen und Verwaltungseinheiten deklarierten Systeme und Netze. Ein umfassendes Inventar von Sicherheitslücken oder potenziellen Risiken wird aus nahe liegenden Gründen nicht publiziert, da eine publizierte Schwachstelle um ein Vielfaches gefährlicher ist als eine nicht publizierte.</p><p>Tigerteams wurden bis heute erst punktuell und im Auftrag der entsprechenden Betreiber eingesetzt. Die Rolle von Tigerteams und die Bedeutung der damit erzielten Resultate ist zurzeit nicht unumstritten. Einsätze von Tigerteams sind aus der Sicht des Datenschutzes nicht unproblematisch, da nicht auszuschliessen ist, dass während eines Einsatzes auch sensitive Personendaten eingesehen werden können. Eine entsprechende Rechtsgrundlage ist noch zu erarbeiten.</p><p>Ein externer Tigerteameinsatz ist erst sinnvoll, wenn durch die internen Kenner des Systems keine Lücken mehr gefunden werden. Da sowohl die Tigerteams, wie auch die Hacker, zufällige Attackenvarianten ausprobieren, ist ein negatives Testresultat keine Garantie, dass nicht Löcher vorhanden sind. Neu erkannte Fehler und Mängel werden jeweils sofort mit Patches korrigiert. Auch diese können Fehler enthalten, die wiederum behoben werden müssen. Sicherheit ist also ein fortlaufender Prozess, in dem punktuelle Tests durch Tigerteams einen bestimmten, aber begrenzten Wert haben.</p><p>4. Informatiksicherheit ist ein regelmässiges Thema im IRB, der für die Gesamtsteuerung der Informatik und damit auch für die Sicherheitsvorgaben zuständig ist. Auch im neu gebildeten Informatikausschuss des Bundesrates ist die Sicherheit ein Schwerpunktthema. Der Bundesrat hat jährlich Gelegenheit, sich bei der Vorlage des Berichtes zur Informatiksicherheit mit dieser Frage zu befassen. Er hat klar festgelegt, dass Sicherheit unter und in den Informatikvorhaben höchste Priorität hat.</p><p>5. Zur Verhinderung, Aufspürung und Behebung von Sicherheitsvorfällen werden die nach dem Stand des Wissens optimalen Massnahmen getroffen, ohne dass jedoch dadurch eine absolute Sicherheit gewährleistet werden könnte. Im Einzelnen werden diese Massnahmen natürlich nicht publiziert. Werden Massnahmen getroffen, so werden diese im Einzelfall ausgetestet. Letztlich zeigt sich deren Effizienz aber erst im längeren Betrieb, wenn damit das Auftreten von Problemen verhindert werden kann. Insofern kann im Moment die Effizienz der getroffenen Massnahmen als gut beurteilt werden.</p><p>Personelle und finanzielle Ressourcenknappheit könnten die Umsetzung von Sicherheitsmassnahmen beeinträchtigen. Weil sich der Bundesrat der begrenzten Verfügbarkeit der Ressourcen bewusst ist, priorisiert er Sicherheit sehr hoch, so dass im Zweifelsfall auf eine Entwicklung oder den Betrieb einer Anwendung zugunsten optimaler Sicherheitsmassnahmen verzichtet werden muss. Ein Problem ist, dass auf dem Markt Sicherheitsspezialisten noch immer nur beschränkt verfügbar sind. Hier wird das Ausbildungsangebot gegenwärtig, insbesondere durch Fachhochschulen, verbreitert. Zudem werden bundesintern zusätzliche Anstrengungen zur Sensibilisierung für Sicherheit in Betrieb und Anwendung unternommen.</p> Antwort des Bundesrates.
- <p>Das EFD erstellt jährlich einen Bericht über den Stand der Umsetzung von Sicherheitsmassnahmen im Informatikbereich, der sich auch zum Thema Informatiksicherheit selbst äussert. Dem Bericht zufolge soll die Situation der Informatiksicherheit in der Bundesverwaltung vergleichbar sein mit der Situation in anderen Verwaltungen und in der Privatwirtschaft im In- und Ausland.</p><p>Dazu drängen sich folgende Fragen auf:</p><p>1. Was heisst das genau? Die Situation im Bereich Informatiksicherheit ist entscheidend abhängig von einer Wertanalyse der geschützten bzw. zu schützenden Informationen, von der Analyse der Bedrohungen und von der Analyse der aktuellen eigenen Verwundbarkeiten. Diese dürften jedoch kaum mit "anderen Verwaltungen und der Privatwirtschaft im In- und Ausland" vergleichbar sein.</p><p>2. Gemäss Artikel 14 der Verordnung über die Informatik und Telekommunikation in der Bundesverwaltung müssen "Informatikmittel und Daten, für deren Vertraulichkeit, Verfügbarkeit, Integrität und Nachweisbarkeit der Bund verantwortlich ist, von den zuständigen Stellen geschützt werden. Die Erhebung und Überprüfung der Schutzobjekte ist eine ständige Aufgabe der zuständigen Verwaltungseinheiten." Vor dem Hintergrund der Tatsache, dass die EDV-Netze der Bundesverwaltung kaum echte Departements- oder Dienstgrenzen kennen, stellt sich die Frage, wer genau für das EDV-Risikomanagement im Bund verantwortlich ist.</p><p>3. Existiert ein Gesamtüberblick über die aktuellen Schwachstellen des EDV-Systems des Bundes bezüglich Sicherheit, insbesondere im Bereich Netzwerkübergänge Richtung Kantone oder zum Internet? Wurden die so genannten Tigerteams systematisch eingesetzt, um sich ein entsprechendes Bild davon zu verschaffen?</p><p>4. Inwiefern werden die Problemkreise Informatiksicherheit und Informationssicherheit im generellen Sinn auf höchster Stufe angesprochen und koordiniert behandelt?</p><p>5. Risikominimierung bedeutet nicht nur Prävention, sondern auch Aufspürung und Reaktion. Welche Massnahmen wurden diesbezüglich getroffen? Wie wird ihre Effizienz getestet und beurteilt? Wie stark beeinträchtigen Probleme im Bereich der personellen und finanziellen Ressourcen die Effizienz dieser Massnahmen?</p>
- Sicherheitsrisiken im EDV-System
- State
-
Erledigt
- Related Affairs
-
- Drafts
-
-
- Index
- 0
- Texts
-
- <p>1. Einzelne Risiken sind zwar nicht immer direkt vergleichbar, insgesamt sind aber die Art der Aufgaben und auch die verarbeiteten Daten in den Verwaltungen ähnlich. Selbst Industrie und Dienstleistungsunternehmen klassieren ihren Schutzbedarf und ihre Risiken nicht grundsätzlich anders. Wenn auch über einzelne Risiken und Schadenfälle nicht direkt Informationen ausgetauscht werden, so sind doch im Grossen und Ganzen Vergleichsmöglichkeiten gegeben. Vergleiche stützen sich:</p><p>- auf Berichte über die Informatiksicherheitsbelange anderer Verwaltungen (z. B. Kantone);</p><p>- auf die Kontakte im Rahmen der Stiftung InfoSurance, die gemeinsam von Bund und Wirtschaft finanziert wird;</p><p>- auf direkte Kontakte zu ausländischen Verwaltungsorganisationen, wie dem Bundesamt für Sicherheit in der Informationstechnik in Deutschland, dem Zentrum für sichere Informationstechnologie in Österreich, dem Critical Infrastructure Protection Office in den USA und anderen staatlichen Organisationen. Diese Organisationen bestätigen in verschiedenen Gesprächen, dass sie die gleichen oder ähnliche Probleme im Bereich der Informatiksicherheit haben und, daraus resultierend, nach deren Verfahren entsprechende Sicherheitsmassnahmen einleiten;</p><p>- auf Vergleiche an internationalen Kongressen.</p><p>2. Für das Risikomanagement sind mehrere Stellen zuständig, die verschiedene Rollen wahrzunehmen haben:</p><p>- Die Dateninhaber beurteilen die Schutzwürdigkeit ihrer Daten. Die Erhebung und Überprüfung der Schutzobjekte sind ständige Aufgaben der zuständigen Verwaltungseinheiten.</p><p>- Der Informatikrat des Bundes (IRB) führt die Weisungen des Bundesrates über die Informatik und Telekommunikation in der Bundesverwaltung näher aus. Im Auftrag des IRB erarbeitet das Informatikstrategieorgan Bund (ISB), zusammen mit dem von ihm geleiteten Ausschuss Informatiksicherheit A-IS des Bundes, in welchem alle Departemente und die Bundeskanzlei vertreten sind, die Weisungen zur Informatiksicherheit. Das ISB ordnet auf der Grundlage des mit den Verwaltungseinheiten gemeinsam ermittelten Schutzbedarfes die zu ergreifenden konkreten Sicherheitsmassnahmen an.</p><p>- Die Informatikleistungserbringer der Departemente setzen die Massnahmen operativ um.</p><p>Nur dieses Zusammenspiel derjenigen Stellen, die das Geschäft (schützenswerte Daten, Geschäftsprozesse, Beteiligte) kennen (Leistungsbezüger), derjenigen, welche die nötigen und möglichen Gefahren und Schutzmassnahmen umfassend beurteilen können (Sicherheitsspezialisten im ISB und in den Departementen) und schliesslich derjenigen, die konkrete Massnahmen operativ umsetzen können (Leistungserbringer), gewährt eine optimale Sicherheit.</p><p>3. Das ISB stellt eine Datenbank der schützenswerten Informatikmittel und Daten (Schutzobjekte) sowie der Personen zur Verfügung, denen die Verantwortung für die ständige Kontrolle der Einhaltung und Wirksamkeit von Sicherheitsmassnahmen obliegt. Ein Gesamtüberblick existiert somit für die von den Departementen und Verwaltungseinheiten deklarierten Systeme und Netze. Ein umfassendes Inventar von Sicherheitslücken oder potenziellen Risiken wird aus nahe liegenden Gründen nicht publiziert, da eine publizierte Schwachstelle um ein Vielfaches gefährlicher ist als eine nicht publizierte.</p><p>Tigerteams wurden bis heute erst punktuell und im Auftrag der entsprechenden Betreiber eingesetzt. Die Rolle von Tigerteams und die Bedeutung der damit erzielten Resultate ist zurzeit nicht unumstritten. Einsätze von Tigerteams sind aus der Sicht des Datenschutzes nicht unproblematisch, da nicht auszuschliessen ist, dass während eines Einsatzes auch sensitive Personendaten eingesehen werden können. Eine entsprechende Rechtsgrundlage ist noch zu erarbeiten.</p><p>Ein externer Tigerteameinsatz ist erst sinnvoll, wenn durch die internen Kenner des Systems keine Lücken mehr gefunden werden. Da sowohl die Tigerteams, wie auch die Hacker, zufällige Attackenvarianten ausprobieren, ist ein negatives Testresultat keine Garantie, dass nicht Löcher vorhanden sind. Neu erkannte Fehler und Mängel werden jeweils sofort mit Patches korrigiert. Auch diese können Fehler enthalten, die wiederum behoben werden müssen. Sicherheit ist also ein fortlaufender Prozess, in dem punktuelle Tests durch Tigerteams einen bestimmten, aber begrenzten Wert haben.</p><p>4. Informatiksicherheit ist ein regelmässiges Thema im IRB, der für die Gesamtsteuerung der Informatik und damit auch für die Sicherheitsvorgaben zuständig ist. Auch im neu gebildeten Informatikausschuss des Bundesrates ist die Sicherheit ein Schwerpunktthema. Der Bundesrat hat jährlich Gelegenheit, sich bei der Vorlage des Berichtes zur Informatiksicherheit mit dieser Frage zu befassen. Er hat klar festgelegt, dass Sicherheit unter und in den Informatikvorhaben höchste Priorität hat.</p><p>5. Zur Verhinderung, Aufspürung und Behebung von Sicherheitsvorfällen werden die nach dem Stand des Wissens optimalen Massnahmen getroffen, ohne dass jedoch dadurch eine absolute Sicherheit gewährleistet werden könnte. Im Einzelnen werden diese Massnahmen natürlich nicht publiziert. Werden Massnahmen getroffen, so werden diese im Einzelfall ausgetestet. Letztlich zeigt sich deren Effizienz aber erst im längeren Betrieb, wenn damit das Auftreten von Problemen verhindert werden kann. Insofern kann im Moment die Effizienz der getroffenen Massnahmen als gut beurteilt werden.</p><p>Personelle und finanzielle Ressourcenknappheit könnten die Umsetzung von Sicherheitsmassnahmen beeinträchtigen. Weil sich der Bundesrat der begrenzten Verfügbarkeit der Ressourcen bewusst ist, priorisiert er Sicherheit sehr hoch, so dass im Zweifelsfall auf eine Entwicklung oder den Betrieb einer Anwendung zugunsten optimaler Sicherheitsmassnahmen verzichtet werden muss. Ein Problem ist, dass auf dem Markt Sicherheitsspezialisten noch immer nur beschränkt verfügbar sind. Hier wird das Ausbildungsangebot gegenwärtig, insbesondere durch Fachhochschulen, verbreitert. Zudem werden bundesintern zusätzliche Anstrengungen zur Sensibilisierung für Sicherheit in Betrieb und Anwendung unternommen.</p> Antwort des Bundesrates.
- <p>Das EFD erstellt jährlich einen Bericht über den Stand der Umsetzung von Sicherheitsmassnahmen im Informatikbereich, der sich auch zum Thema Informatiksicherheit selbst äussert. Dem Bericht zufolge soll die Situation der Informatiksicherheit in der Bundesverwaltung vergleichbar sein mit der Situation in anderen Verwaltungen und in der Privatwirtschaft im In- und Ausland.</p><p>Dazu drängen sich folgende Fragen auf:</p><p>1. Was heisst das genau? Die Situation im Bereich Informatiksicherheit ist entscheidend abhängig von einer Wertanalyse der geschützten bzw. zu schützenden Informationen, von der Analyse der Bedrohungen und von der Analyse der aktuellen eigenen Verwundbarkeiten. Diese dürften jedoch kaum mit "anderen Verwaltungen und der Privatwirtschaft im In- und Ausland" vergleichbar sein.</p><p>2. Gemäss Artikel 14 der Verordnung über die Informatik und Telekommunikation in der Bundesverwaltung müssen "Informatikmittel und Daten, für deren Vertraulichkeit, Verfügbarkeit, Integrität und Nachweisbarkeit der Bund verantwortlich ist, von den zuständigen Stellen geschützt werden. Die Erhebung und Überprüfung der Schutzobjekte ist eine ständige Aufgabe der zuständigen Verwaltungseinheiten." Vor dem Hintergrund der Tatsache, dass die EDV-Netze der Bundesverwaltung kaum echte Departements- oder Dienstgrenzen kennen, stellt sich die Frage, wer genau für das EDV-Risikomanagement im Bund verantwortlich ist.</p><p>3. Existiert ein Gesamtüberblick über die aktuellen Schwachstellen des EDV-Systems des Bundes bezüglich Sicherheit, insbesondere im Bereich Netzwerkübergänge Richtung Kantone oder zum Internet? Wurden die so genannten Tigerteams systematisch eingesetzt, um sich ein entsprechendes Bild davon zu verschaffen?</p><p>4. Inwiefern werden die Problemkreise Informatiksicherheit und Informationssicherheit im generellen Sinn auf höchster Stufe angesprochen und koordiniert behandelt?</p><p>5. Risikominimierung bedeutet nicht nur Prävention, sondern auch Aufspürung und Reaktion. Welche Massnahmen wurden diesbezüglich getroffen? Wie wird ihre Effizienz getestet und beurteilt? Wie stark beeinträchtigen Probleme im Bereich der personellen und finanziellen Ressourcen die Effizienz dieser Massnahmen?</p>
- Sicherheitsrisiken im EDV-System
Back to List