Das BAG muss bei der Cybersicherheit nachrüsten

Das Gesetz will, dass das Bundesamt für Gesundheit ein Information Security Management System betreibt. Davon ist die Behörde allerdings noch weit entfernt.

, 9. April 2024 um 12:47
image
Das Bundesamt für Gesundheit in Bern-Liebefeld  |  Bild: BAG / Wikimedia Commons
Seit Anfang Jahr gilt das neue Gesetz über die Informationssicherheit beim Bund. Darin werden die einheitlichen Mindestanforderungen an die Cybersicherheit für alle Bundesbehörden geregelt. Diese umfassen auch ein Information Security Management System (ISMS), das verschiedene Vorschriften, Verfahren und Massnahmen zur Verbesserung der Informationssicherheit enthält.
Das Bundesamt für Gesundheit (BAG) verfügt noch nicht über ein solches ISMS und muss aufrüsten. Dies geht aus einer Ausschreibung hervor, welche die Behörde kürzlich im Rahmen von «Alpin 2.0» publiziert hat. In einem Mini-Tender-Verfahren sucht das BAG einen Anbieter, der das fehlende ISMS aufbaut, in Betrieb nimmt und zum späteren Zeitpunkt «eventuell zertifizieren» lässt.

Welche Sicherheitsziele?

Im Lastenheft zur Ausschreibung sind haarsträubende Details zum derzeitigen Security-Management im BAG zu lesen. So ist schriftlich festgehalten, dass das Bundesamt über kein einheitliches Schutzobjektregister verfügt. Weiter heisst es, dass es kein durchgängiges Risikomanagement auf der Stufe Amt gibt und Ausnahmegenehmigungen nicht nach einheitlichen Prozessen abgewickelt werden.
Zudem hat das BAG – Stand heute – keine konkreten Sicherheitsziele formuliert. Und auch die entsprechende «Strategie sowie die Security Policy sind auf Stufe BAG nicht vorhanden». Ein Lieferantenmanagement aus Sicht Security ist gemäss den Ausschreibungsunterlagen im Aufbau. Ein aktives Lieferantenmanagement inklusive Lieferantensicherheitsprüfungen muss aber erst noch geschaffen werden.
  • Dieser Beitrag erschien erstmals auf «Inside-IT» unter dem Titel «Das Security-Management beim BAG liegt im Argen».
So gibt es im BAG zwar ein Vorfallmanagement für die Informationssicherheit, aber eine «Verzahnung mit anderen ISMS-Themen ist noch zu überprüfen und zu verbessern». ISMS-Messungen und -Bewertungen existieren ebenfalls nicht.
Es werden jedoch manche Schlüsselkennzahlen (KPI) gemessen und im Rahmen des jährlichen Sicherheitsberichts an die Amtsleitung rapportiert. Zudem gibt es regelmässige Managementberichte. Diese sollen im Hinblick auf das neue ISMS überprüft und allenfalls angepasst werden.
Im Bundesamt gibt es zwar Schulungen zur IT-Sicherheit für neue Angestellte, für andere Zielgruppen wiederum gibt es keine solchen Schulungskonzepte. Ebenfalls fehlen Konzepte für Kommunikation und Awareness; diese sollen durch den Gewinner der Ausschreibung aufgebaut werden.

1’100 Arbeitsstunden

Und so dürfte der Prozess bei der bestehenden Situation eine Herausforderung werden. Der ausgewählte Anbieter soll bis 2025 ein massgeschneidertes ISMS nach ISO 27001 einführen. «Dabei wird von der externen Firma erwartet, dass sie sowohl die Projektleitung bei der Projektsteuerung unterstützen kann als auch zu den anfallenden Arbeitspaketen einen inhaltlich und qualitativ wertvollen Input geben kann.»
Zertifiziert werden soll das System aber nicht: «Wir sehen im Moment in der kostspieligen ISO 27001 Zertifizierung und den wiederkehrenden teuren Rezertifizierungen keinen Mehrwehrt für den Steuerzahler – zumal es gesetzlich auch nicht vorgeschrieben ist», schreibt die Behörde auf eine Anfrage von «Inside-It».
Das Projekt wird nach Hermes-Methode durchgeführt und ist in zwei Phasen eingeteilt. Bis Ende 2024 sollen passende Prozesse und ein Setting definiert werden, die dann in der Organisation umgesetzt werden. Danach soll das ISMS in Betrieb gesetzt werden. In der zweiten Phase sollen die umgesetzten Lieferobjekte dann ins ISMS-Tool überführt werden. Dies soll im Laufe des Jahres 2025 geschehen.
Für die erste Phase rechnet das BAG mit einem Gesamtaufwand von rund 1’100 Arbeitsstunden. Auf Anfrage teilt die Behörde mit, dass für die erste Phase rund 180'000 Franken budgetiert sind. Der detaillierte Aufwand für den zweiten Teil wird dann zu einem späteren Zeitpunkt ermittelt, sobald das ISMS-Tool der Bundesverwaltung in Betrieb ist.

Mindestmass an Governance

Weshalb wurde die Arbeit am ISMS erst jetzt angegangen? Das Amt betont, dass «die Cyber- bzw. IT-Sicherheit im BAG bereits in der Vergangenheit sehr ernst genommen und sämtliche Vorgaben eingehalten wurden.» Die Beschaffung beruhe nun auf den neuen gesetzlichen Vorgaben im Rahmen des Bundesgesetzes über die Informationssicherheit und das BAG komme diesen Anforderungen mit der Einführung des neuen ISMS nach.
Ein Insider kommentierte das Security-Management des BAG allerdings mit: «Viel schlechter kann man es eigentlich gar nicht machen. Wir schreiben das Jahr 2024, da kann man schon erwarten, dass ein Amt, welches gerade erst dreistellige Millionenkredite gesprochen bekam, um wichtige Digitalisierungsprojekte im Gesundheitswesen voranzubringen, ein Mindestmass an Governance und sorgfältiger Geschäftsführung an den Tag legt.»

Personelle Verflechtungen

Der Insider stört sich zudem daran, dass der Verfasser der Ausschreibung erst kürzlich eine neue Tätigkeit bei einem Schweizer Security-Anbieter bekannt gegeben hatte. In einem mittlerweile gelöschten Beitrag auf Linkedin wurde der Informationssicherheitsbeauftragte des BAG beim besagten Anbieter willkommen geheissen.
Auf Nachfrage zu einem möglichen Interessenkonflikt teilte das Bundesamt mit, dass «die Kommunikation des Anbieters vor Abschluss des Bewilligungsverfahrens etwas verfrüht gewesen» sei. Der Interessenkonflikt sei bereits zuvor erkannt worden, so das BAG. Die entsprechende Ankündigung im Internet sei entfernt worden, heisst es vom Anbieter.
Wobei es bei der Löschung aufgrund der Feiertage zu einer Verzögerung in der Kommunikation gekommen sei.


  • cyberattacken
  • cybercrime
  • BAG
  • IT
Artikel teilen

Loading

Kommentar

Mehr zum Thema

image

Unispital Basel beschafft Datenplattform bei Swisscom

Der Auftrag umfasst knapp 17 Millionen Franken. Kein anderer Anbieter habe die Eignungskriterien erfüllt, erklärt das USB die freihändige Vergabe.

image

Doppelausgabe? Kispi Zürich mit neuer Patienten-App trotz Millionen-KIS

Das Kinderspital Zürich nutzt eine Patienten-App, obwohl ihr KIS genau diese Funktion mitbringt.

image

Efas: Abgestimmt wird am 24. November

Nun hat der Bundesrat festgelegt, wann das Volk über die einheitliche Finanzierung von ambulanten und stationären Leistungen entscheidet.

image

Cyberattacke legt Londoner Spitäler teils lahm

800 Operationen mussten bislang verschoben werden. Und die Probleme könnten noch monatelang andauern.

image

Timing und Treffgenauigkeit: Die Kunst der Informationsvermittlung

In einer Zeit, in der die Effizienz und Qualität im Gesundheitswesen mehr denn je von entscheidender Bedeutung sind, kommt der reibungslosen Kommunikation zwischen den verschiedenen Akteuren eine zentrale Rolle zu.

image

«Frau Bundesrätin: Wäre es nicht besser, wenn Sie die Zahlen erheben würden?»

Warum das BAG keinen Arzneimittelvergleich mit dem Ausland durchführt.

Vom gleichen Autor

image

KIS-Suche am CHUV: Epic bevorzugt?

Das Waadtländer Spital sucht ein neues KIS - und soll die Ausschreibung auf den amerikanischen KIS-Anbieter Epic zugeschnitten haben. So lautet der Vorwurf eines Konkurrenten.

image

St. Galler Spitäler suchen den digitalen Patientenweg

Die Gruppe der kantonalen Spitäler wollen künftig über eine App mit ihren Patienten kommunizieren. Dazu sucht sie jetzt neue Lösungen.

image

Hände inklusive Sehnen – direkt aus dem 3D-Drucker

Ein neues 3D-Druckverfahren von ETH-Forschern verbindet verschiedenste Materialien: So müssen Einzelteile später nicht mehr montiert werden.