Externe IKT-Zulieferer des Bundes

ShortId

23.4449

Id

20234449

Updated

26.03.2024 21:00

Language

Title

Externe IKT-Zulieferer des Bundes

AdditionalIndexing

04;34;09

1

PriorityCouncil1

Nationalrat

Texts

Gerade die Bundesbehörden verfügen potenziell über sensible Daten über die Schweizer Bürgerinnen und Bürger. Der Staat ist daher verpflichtet, seine Daten besonders sorgfältig zu schützen.
<div>Zu Frage 1: Der Bundesrat hat im Juni 2023 den Auftrag erteilt, die Verträge der Departemente und der Bundeskanzlei zu IKT-Leistungen punkto Cybersicherheit zu überprüfen. Zudem erteilte er den Auftrag, die Mustervertragsklausel der Beschaffungskonferenz des Bundes betreffend Cyberbedrohungen und die Allgemeinen Geschäftsbedingungen des Bundes zu ergänzen und bis Ende 2023 an das neue Bundesgesetz über die Informationssicherheit beim Bund (ISG; SR 128) anzupassen. Ebenfalls im Juni hat das EJPD ein Schreiben an seine wichtigsten externen IKT-Leistungserbringer gesandt, diese an ihre Pflichten zur Wahrung des IT-Grundschutzes erinnert und diesbezügliche Auskünfte verlangt. Das Bundesamt für Bauten und Logistik (BBL) und das Bundesamt für Rüstung (ar) haben in Ergänzung dazu sämtlichen relevanten IKT-Leistungserbringern der Bundesverwaltung ein Schreiben zukommen lassen, in dem diese zusätzlich über die vom Bundesrat beauftragte Vertragsüberprüfung informiert wurden. Bis Ende 2023 wurden rund 7'000 bestehende Verträge mit IKT-Leistungserbringern überprüft. Dabei wurden gut 2’200 Verträge als sicherheitsrelevant eingestuft. Bei der Hälfte dieser Verträge konnte festgestellt werden, dass diese punkto Cybersicherheit angemessene Bestimmungen enthalten. Bei der zweiten Hälfte dieser Verträge, müssen rund 600 Verträge, die nicht in den nächsten Monaten auslaufen, vertieft geprüft und allenfalls angepasst werden. Zu Frage 2: Die Arbeiten des politisch-strategischen Krisenstabs "Datenabfluss" (PSK-D) und der Administrativuntersuchung durch die Kanzlei OBERSON ABELS SA laufen derzeit. Bis Ende März 2024 wird von OBERSON ABELS SA zu Handen des Bundesrats einen Bericht erarbeitet. Der Bundesrat wird auf Basis der Ergebnisse dieses Berichts über das weitere Vorgehen entscheiden.  Zu Frage 3: Das neue Informationssicherheitsgesetz (ISG; SR 128), das seit dem 1. Januar 2024 in Kraft ist, bietet dem Bund neue Möglichkeiten, um die Einhaltung der Vorgaben zur Informationssicherheit und die Durchführung von Audits sicherzustellen.Gemäss Artikel 9 ISG und Artikel 10 Absatz 3 der Informationssicherheitsverordnung (ISV; SR 128.1) müssen in Verträgen mit IKT-Anbietern klare Anforderungen an die Informationssicherheit und deren Überprüfung bzw. ein Auditrecht für den Bund festgehalten werden. Entsprechende Musterklauseln werden derzeit im Staatssekretariat für Sicherheitspolitik (SEPOS) erarbeitet. Diese umfassen Mindestanforderungen, die in sämtlichen Verträgen berücksichtigt werden müssen, sowie risikobasierte Zusatzanforderungen, die sich nach dem jeweiligen Auftrag und den zu bearbeitenden Daten richten. Bei sicherheitsempfindlichen Aufträgen müssen die Unternehmen bereits bei der Vergabe ein Betriebssicherheitsverfahren durchlaufen und können diesen nach Art. 62 ISG erst ausführen, wenn die Fachstelle Betriebssicherheit des SEPOS die Betriebssicherheitserklärung ausgestellt hat. In Anwendung von Artikel 64 ISG führt die Fachstelle Betriebssicherheit regelmässige Kontrollen bei diesen Firmen durch. Sie kann auch Audits verlangen oder diese selber durchführen. Zu Frage 4: Die Einführung einer allgemeinen Auditpflicht für Organisationseinheiten der Bundesverwaltung, welche externe IKT-Dienstleistungen beziehen, wäre unverhältnismässig und ist gesetzlich nicht vorgesehen. Nicht alle IKT-Dienstleistungen beinhalten sicherheitsempflindliche Aufträge. IKT-Dienstleister, die sicherheitsempflindliche Aufträge ausführen, werden aber periodisch durch die Fachstelle Betriebssicherheit im SEPOS überprüft.  Zu Frage 5: Der Bundesrat hat keine einheitlichen Kriterien definiert, nach denen die Zusammenarbeit mit fehlbaren IKT-Zulieferern beendet werden kann. Grundsätzlich obliegt es der Verwaltungseinheit in eigener Zuständigkeit, die Risiken abzuwägen und die entsprechenden Konsequenzen zu ziehen. Konnte eine Anbieterin aber bereits in der Vergangenheit ihren Pflichten betreffend die Informationssicherheit nicht nachkommen, riskiert sie, für zukünftige Aufträge nicht berücksichtigt zu werden (Art. 44 Absatz 1 Buchstabe h des Bundesgesetzes über das öffentliche Beschaffungswesen [BöB; SR 172.056.1]). Im Falle der Nichteinhaltung von Verpflichtungen bei sicherheitsempfindlichen Aufträgen kann dem Dienstleister die zuvor durch die Fachstelle Betriebssicherheit erteilte Betriebssicherheitserklärung entzogen werden.</div>
2023 wurden gleich mehrere IKT-Zulieferer der Bundesverwaltung Opfer von Cyberangriffen und es wurden teils sensible Daten der Behörden entwendet. Im Sommer 2023 fiel zuerst die Firma Xplain einer Cyberattacke zum Opfer und in der Zwischenzeit wurde auch bei der Firma Concevis eine verheerender Ransomware-Angriff gemeldet. Der Vorwurf wurde laut, die Behörden hätten die Informationssicherheit der IKT-Zulieferer während Jahren nicht überprüft und damit von ihrem vertraglichen Auditrecht nicht Gebrauch gemacht. In diesem Zusammenhang ersuche ich den Bundesrat um die Beantwortung folgender Fragen: <ol><li>Welche Sofortmassnahmen wurden in Bezug auf die IKT-Zulieferer bereits ergriffen?</li><li>Wo stehen die Arbeiten des politisch-strategischen Krisenstabs "Datenabfluss" (PSK-D) und der Administrativuntersuchung durch die Kanzlei OBERSON ADELS SA? </li><li>Mittels welcher Vorgaben stellt der Bundesrat künftig sicher, dass die IKT-beziehenden Organisationseinheiten von ihrem Auditrecht Gebrauch machen?</li><li>Wie beurteilt der Bundesrat die Einführung einer Auditpflicht für die Organisationseinheiten der Bundesverwaltung, welche externe IKT-Dienstleistungen in Anspruch nehmen und wie würde er diese umsetzen?</li><li>Hat der Bundesrat einheitlich definiert, nach welchen Kriterien in Bezug auf die Informationssicherheit die Zusammenarbeit mit fehlbaren IKT-Zulieferern beendet wird?</li></ol>
Externe IKT-Zulieferer des Bundes

State

Erledigt

Related Affairs

Drafts

Index

0

Texts
- Gerade die Bundesbehörden verfügen potenziell über sensible Daten über die Schweizer Bürgerinnen und Bürger. Der Staat ist daher verpflichtet, seine Daten besonders sorgfältig zu schützen.
- <div>Zu Frage 1: Der Bundesrat hat im Juni 2023 den Auftrag erteilt, die Verträge der Departemente und der Bundeskanzlei zu IKT-Leistungen punkto Cybersicherheit zu überprüfen. Zudem erteilte er den Auftrag, die Mustervertragsklausel der Beschaffungskonferenz des Bundes betreffend Cyberbedrohungen und die Allgemeinen Geschäftsbedingungen des Bundes zu ergänzen und bis Ende 2023 an das neue Bundesgesetz über die Informationssicherheit beim Bund (ISG; SR 128) anzupassen. Ebenfalls im Juni hat das EJPD ein Schreiben an seine wichtigsten externen IKT-Leistungserbringer gesandt, diese an ihre Pflichten zur Wahrung des IT-Grundschutzes erinnert und diesbezügliche Auskünfte verlangt. Das Bundesamt für Bauten und Logistik (BBL) und das Bundesamt für Rüstung (ar) haben in Ergänzung dazu sämtlichen relevanten IKT-Leistungserbringern der Bundesverwaltung ein Schreiben zukommen lassen, in dem diese zusätzlich über die vom Bundesrat beauftragte Vertragsüberprüfung informiert wurden. Bis Ende 2023 wurden rund 7'000 bestehende Verträge mit IKT-Leistungserbringern überprüft. Dabei wurden gut 2’200 Verträge als sicherheitsrelevant eingestuft. Bei der Hälfte dieser Verträge konnte festgestellt werden, dass diese punkto Cybersicherheit angemessene Bestimmungen enthalten. Bei der zweiten Hälfte dieser Verträge, müssen rund 600 Verträge, die nicht in den nächsten Monaten auslaufen, vertieft geprüft und allenfalls angepasst werden. Zu Frage 2: Die Arbeiten des politisch-strategischen Krisenstabs "Datenabfluss" (PSK-D) und der Administrativuntersuchung durch die Kanzlei OBERSON ABELS SA laufen derzeit. Bis Ende März 2024 wird von OBERSON ABELS SA zu Handen des Bundesrats einen Bericht erarbeitet. Der Bundesrat wird auf Basis der Ergebnisse dieses Berichts über das weitere Vorgehen entscheiden.  Zu Frage 3: Das neue Informationssicherheitsgesetz (ISG; SR 128), das seit dem 1. Januar 2024 in Kraft ist, bietet dem Bund neue Möglichkeiten, um die Einhaltung der Vorgaben zur Informationssicherheit und die Durchführung von Audits sicherzustellen.Gemäss Artikel 9 ISG und Artikel 10 Absatz 3 der Informationssicherheitsverordnung (ISV; SR 128.1) müssen in Verträgen mit IKT-Anbietern klare Anforderungen an die Informationssicherheit und deren Überprüfung bzw. ein Auditrecht für den Bund festgehalten werden. Entsprechende Musterklauseln werden derzeit im Staatssekretariat für Sicherheitspolitik (SEPOS) erarbeitet. Diese umfassen Mindestanforderungen, die in sämtlichen Verträgen berücksichtigt werden müssen, sowie risikobasierte Zusatzanforderungen, die sich nach dem jeweiligen Auftrag und den zu bearbeitenden Daten richten. Bei sicherheitsempfindlichen Aufträgen müssen die Unternehmen bereits bei der Vergabe ein Betriebssicherheitsverfahren durchlaufen und können diesen nach Art. 62 ISG erst ausführen, wenn die Fachstelle Betriebssicherheit des SEPOS die Betriebssicherheitserklärung ausgestellt hat. In Anwendung von Artikel 64 ISG führt die Fachstelle Betriebssicherheit regelmässige Kontrollen bei diesen Firmen durch. Sie kann auch Audits verlangen oder diese selber durchführen. Zu Frage 4: Die Einführung einer allgemeinen Auditpflicht für Organisationseinheiten der Bundesverwaltung, welche externe IKT-Dienstleistungen beziehen, wäre unverhältnismässig und ist gesetzlich nicht vorgesehen. Nicht alle IKT-Dienstleistungen beinhalten sicherheitsempflindliche Aufträge. IKT-Dienstleister, die sicherheitsempflindliche Aufträge ausführen, werden aber periodisch durch die Fachstelle Betriebssicherheit im SEPOS überprüft.  Zu Frage 5: Der Bundesrat hat keine einheitlichen Kriterien definiert, nach denen die Zusammenarbeit mit fehlbaren IKT-Zulieferern beendet werden kann. Grundsätzlich obliegt es der Verwaltungseinheit in eigener Zuständigkeit, die Risiken abzuwägen und die entsprechenden Konsequenzen zu ziehen. Konnte eine Anbieterin aber bereits in der Vergangenheit ihren Pflichten betreffend die Informationssicherheit nicht nachkommen, riskiert sie, für zukünftige Aufträge nicht berücksichtigt zu werden (Art. 44 Absatz 1 Buchstabe h des Bundesgesetzes über das öffentliche Beschaffungswesen [BöB; SR 172.056.1]). Im Falle der Nichteinhaltung von Verpflichtungen bei sicherheitsempfindlichen Aufträgen kann dem Dienstleister die zuvor durch die Fachstelle Betriebssicherheit erteilte Betriebssicherheitserklärung entzogen werden.</div>
- 2023 wurden gleich mehrere IKT-Zulieferer der Bundesverwaltung Opfer von Cyberangriffen und es wurden teils sensible Daten der Behörden entwendet. Im Sommer 2023 fiel zuerst die Firma Xplain einer Cyberattacke zum Opfer und in der Zwischenzeit wurde auch bei der Firma Concevis eine verheerender Ransomware-Angriff gemeldet. Der Vorwurf wurde laut, die Behörden hätten die Informationssicherheit der IKT-Zulieferer während Jahren nicht überprüft und damit von ihrem vertraglichen Auditrecht nicht Gebrauch gemacht. In diesem Zusammenhang ersuche ich den Bundesrat um die Beantwortung folgender Fragen: <ol><li>Welche Sofortmassnahmen wurden in Bezug auf die IKT-Zulieferer bereits ergriffen?</li><li>Wo stehen die Arbeiten des politisch-strategischen Krisenstabs "Datenabfluss" (PSK-D) und der Administrativuntersuchung durch die Kanzlei OBERSON ADELS SA? </li><li>Mittels welcher Vorgaben stellt der Bundesrat künftig sicher, dass die IKT-beziehenden Organisationseinheiten von ihrem Auditrecht Gebrauch machen?</li><li>Wie beurteilt der Bundesrat die Einführung einer Auditpflicht für die Organisationseinheiten der Bundesverwaltung, welche externe IKT-Dienstleistungen in Anspruch nehmen und wie würde er diese umsetzen?</li><li>Hat der Bundesrat einheitlich definiert, nach welchen Kriterien in Bezug auf die Informationssicherheit die Zusammenarbeit mit fehlbaren IKT-Zulieferern beendet wird?</li></ol>
- Externe IKT-Zulieferer des Bundes

Back to List