Das BAG muss bei der Cybersicherheit nachrüsten

Seit Anfang Jahr gilt das neue Gesetz über die Informationssicherheit beim Bund. Darin werden die einheitlichen Mindestanforderungen an die Cybersicherheit für alle Bundesbehörden geregelt. Diese umfassen auch ein Information Security Management System (ISMS), das verschiedene Vorschriften, Verfahren und Massnahmen zur Verbesserung der Informationssicherheit enthält.

Das Bundesamt für Gesundheit (BAG) verfügt noch nicht über ein solches ISMS und muss aufrüsten. Dies geht aus einer Ausschreibung hervor, welche die Behörde kürzlich im Rahmen von «Alpin 2.0» publiziert hat. In einem Mini-Tender-Verfahren sucht das BAG einen Anbieter, der das fehlende ISMS aufbaut, in Betrieb nimmt und zum späteren Zeitpunkt «eventuell zertifizieren» lässt.

Im Lastenheft zur Ausschreibung sind haarsträubende Details zum derzeitigen Security-Management im BAG zu lesen. So ist schriftlich festgehalten, dass das Bundesamt über kein einheitliches Schutzobjektregister verfügt. Weiter heisst es, dass es kein durchgängiges Risikomanagement auf der Stufe Amt gibt und Ausnahmegenehmigungen nicht nach einheitlichen Prozessen abgewickelt werden.

Zudem hat das BAG – Stand heute – keine konkreten Sicherheitsziele formuliert. Und auch die entsprechende «Strategie sowie die Security Policy sind auf Stufe BAG nicht vorhanden». Ein Lieferantenmanagement aus Sicht Security ist gemäss den Ausschreibungsunterlagen im Aufbau. Ein aktives Lieferantenmanagement inklusive Lieferantensicherheitsprüfungen muss aber erst noch geschaffen werden.

So gibt es im BAG zwar ein Vorfallmanagement für die Informationssicherheit, aber eine «Verzahnung mit anderen ISMS-Themen ist noch zu überprüfen und zu verbessern». ISMS-Messungen und -Bewertungen existieren ebenfalls nicht.

Es werden jedoch manche Schlüsselkennzahlen (KPI) gemessen und im Rahmen des jährlichen Sicherheitsberichts an die Amtsleitung rapportiert. Zudem gibt es regelmässige Managementberichte. Diese sollen im Hinblick auf das neue ISMS überprüft und allenfalls angepasst werden.

Im Bundesamt gibt es zwar Schulungen zur IT-Sicherheit für neue Angestellte, für andere Zielgruppen wiederum gibt es keine solchen Schulungskonzepte. Ebenfalls fehlen Konzepte für Kommunikation und Awareness; diese sollen durch den Gewinner der Ausschreibung aufgebaut werden.

Und so dürfte der Prozess bei der bestehenden Situation eine Herausforderung werden. Der ausgewählte Anbieter soll bis 2025 ein massgeschneidertes ISMS nach ISO 27001 einführen. «Dabei wird von der externen Firma erwartet, dass sie sowohl die Projektleitung bei der Projektsteuerung unterstützen kann als auch zu den anfallenden Arbeitspaketen einen inhaltlich und qualitativ wertvollen Input geben kann.»

Zertifiziert werden soll das System aber nicht: «Wir sehen im Moment in der kostspieligen ISO 27001 Zertifizierung und den wiederkehrenden teuren Rezertifizierungen keinen Mehrwehrt für den Steuerzahler – zumal es gesetzlich auch nicht vorgeschrieben ist», schreibt die Behörde auf eine Anfrage von «Inside-It».

Das Projekt wird nach Hermes-Methode durchgeführt und ist in zwei Phasen eingeteilt. Bis Ende 2024 sollen passende Prozesse und ein Setting definiert werden, die dann in der Organisation umgesetzt werden. Danach soll das ISMS in Betrieb gesetzt werden. In der zweiten Phase sollen die umgesetzten Lieferobjekte dann ins ISMS-Tool überführt werden. Dies soll im Laufe des Jahres 2025 geschehen.

Für die erste Phase rechnet das BAG mit einem Gesamtaufwand von rund 1’100 Arbeitsstunden. Auf Anfrage teilt die Behörde mit, dass für die erste Phase rund 180'000 Franken budgetiert sind. Der detaillierte Aufwand für den zweiten Teil wird dann zu einem späteren Zeitpunkt ermittelt, sobald das ISMS-Tool der Bundesverwaltung in Betrieb ist.

Weshalb wurde die Arbeit am ISMS erst jetzt angegangen? Das Amt betont, dass «die Cyber- bzw. IT-Sicherheit im BAG bereits in der Vergangenheit sehr ernst genommen und sämtliche Vorgaben eingehalten wurden.» Die Beschaffung beruhe nun auf den neuen gesetzlichen Vorgaben im Rahmen des Bundesgesetzes über die Informationssicherheit und das BAG komme diesen Anforderungen mit der Einführung des neuen ISMS nach.

Ein Insider kommentierte das Security-Management des BAG allerdings mit: «Viel schlechter kann man es eigentlich gar nicht machen. Wir schreiben das Jahr 2024, da kann man schon erwarten, dass ein Amt, welches gerade erst dreistellige Millionenkredite gesprochen bekam, um wichtige Digitalisierungsprojekte im Gesundheitswesen voranzubringen, ein Mindestmass an Governance und sorgfältiger Geschäftsführung an den Tag legt.»

Der Insider stört sich zudem daran, dass der Verfasser der Ausschreibung erst kürzlich eine neue Tätigkeit bei einem Schweizer Security-Anbieter bekannt gegeben hatte. In einem mittlerweile gelöschten Beitrag auf Linkedin wurde der Informationssicherheitsbeauftragte des BAG beim besagten Anbieter willkommen geheissen.

Auf Nachfrage zu einem möglichen Interessenkonflikt teilte das Bundesamt mit, dass «die Kommunikation des Anbieters vor Abschluss des Bewilligungsverfahrens etwas verfrüht gewesen» sei. Der Interessenkonflikt sei bereits zuvor erkannt worden, so das BAG. Die entsprechende Ankündigung im Internet sei entfernt worden, heisst es vom Anbieter.

Wobei es bei der Löschung aufgrund der Feiertage zu einer Verzögerung in der Kommunikation gekommen sei.