Das Nationale Zentrum für Cybersicherheit der Schweiz NCSC und die Departemente des Bundes wollen gemeinsam Cybervorfälle bewältigen. Das Ganze funktioniert aber überhaupt nicht.
Die Eidgenössische Finanzkontrolle EFK hat mit einer Prüfung wieder einmal direkt in ein Wespennest gestochen. Diesmal geht es um den gemeinsamen Prozess zur Bewältigung eines Cybervorfalls in der Bundesverwaltung, der im April 2021 scharfgeschaltet wurde.
Ziel dieses Prozesses ist es, dem Nationalen Zentrum für Cybersicherheit NCSC sämtliche Cybervorfälle zu melden, die das ordnungsgemässe Funktionieren des Bundes gefährden.
Erkennen von Gefahren
Dies ist laut dem neuesten Report der EFK besonders wichtig, damit die Schweiz die Bedrohungslage einschätzen und aktuelle Angriffsmuster frühzeitig erkennen kann.
Die Prüfung der EFK konzentrierte sich auf die Umsetzbarkeit und Wirksamkeit des definierten Prozesses. Zudem kontrollierten die Prüfer anhand von zwei abgeschlossenen Fällen, ob die Schnittstellen und Kommunikationswege überhaupt funktionieren.
Jeder macht es anders
Gleich zu Beginn zeigte sich aber, dass nicht alle Vorfall-Konstellationen zu einer Meldung an das NCSC führen. Zudem sei die Koordination und Harmonisierung der Kategorisierung von Vorfällen (high, medium, low) herausfordernd, wenn eine Cyberattacke mehrere Stellen betreffe, hiess es.
Falls dies nicht koordiniert werde, bestünde aber die Gefahr, dass die verschiedenen Verwaltungseinheiten des Bundes einen Vorfall mit unterschiedlicher Priorität angingen.
Damit ein Vorfall überall diegleiche Aufmerksamkeit erhält, so die EFK, ist eine Anpassung und Harmonisierung der Kategorisierung zwischen den Departementen erforderlich. Dabei gelte es zu klären, ob das NCSC diese Kategorisierung vornehmen sollte und wie die Verantwortlichkeiten für die Kommunikation geregelt werden.
13 Tage bis zur Meldung
Die EFK pickte – wie erwähnt – zwei abgeschlossene Fälle heraus. Beim ersten handelte es sich um einen internen Vorfall; beim zweiten ging es um einen externen Dienstleister, der von einem Cybervorfall betroffen war. Von der Entdeckung des Vorfalls bis zur Meldung an das NCSC dauerte es im ersten Fall sage und schreibe 13 und im zweiten Fall immerhin noch 11 Tage.
Beim ersten Fall ging die betroffene Einheit des Bundes gemäss dem Abschlussbericht der EFK davon aus, dass nur ihr Netz betroffen sei. Später stellte sich jedoch heraus, dass auch ein externer Dienstleister betroffen war.
Im zweiten Fall wurde die Meldung vom externen Dienstleister zwar informell direkt ans NCSC gemeldet. Die Beamten führten in dieser Zeit die internen Untersuchungen durch und informierten das NCSC erst danach.
Stufensystem notwendig
Die EFK empfiehlt daher, die Verwaltungseinheiten bezüglich der Meldepflicht von Cybervorfällen zu sensibilisieren sowie die Abläufe und Pflichten stufengerecht aufzubereiten.
Der analysierte Cybervorfall beim externen Dienstleister brachte zudem ans Tageslicht, dass in den Verträgen keine Meldepflicht für solche Vorfälle vereinbart war. Dies sei umso bedeutsamer gewesen, da diese Firma auch Software für den Betrieb von kritischer Infrastruktur programmiere.
Geplante Anpassungen bei den Vertragsklauseln zur Cybersicherheit gingen zwar in die richtige Richtung, erklärten die Prüfer. Die Fristen zur Meldung von Cybervorfällen seien jedoch nicht einheitlich vorgegeben und müssten in jedem Vertrag einzeln definiert werden.
Übersicht fehlt völlig
Es ist laut der EFK allerdings fraglich, ob bei den Stellen des Bundes überall das Wissen vorhanden ist, um solche Fristen praxistauglich festzulegen. Ausserdem müssten diese Vertragsklauseln auch bei bestehenden Verträgen nachverhandelt werden. Es gibt also eindeutig zentralen Handlungsbedarf.
Im Rahmen der Prüfung konstatierte die EFK obendrein, dass die Bundesverwaltung nur mit grossem Aufwand feststellen könne, welche externen Dienstleister vorhanden sind. Eine Übersicht aller externen Firmen fehlt in der Administration nämlich gänzlich.
Auf der Ebene der Departemente ist dann umso schwieriger festzustellen, welche Einheiten durch einen externen Dienstleister bedient werden. Falls ein externer Leistungserbringer von einem Cybervorfall betroffen ist, könne der Bund aber nicht innerhalb nützlicher Frist erheben, welche weiteren Einheiten, Applikationen und Services potenziell betroffen seien, hiess es weiter.
Verwundbarkeit des Bundes
Im Falle eines Cybervorfalls geht daher viel wertvolle Zeit verloren. Ein übergreifendes Inventar aller externen Dienstleister könnte hierbei Abhilfe schaffen und dem Schwachstellen-Management helfen, Informationen zielgerichteter weiterzuleiten.
Nach Abschluss eines schwerwiegenden Cybervorfalls bei einem externen Dienstleister sollte obendrein unbedingt eine unabhängige Überprüfung möglich sein. Entsprechende Berichte sollten danach auch zu allen Beteiligten gelangen. Somit könnten alle Einheiten sicher sein, dass der Vorfall abgeschlossen und sachgerecht reagiert worden ist.
Stellvertreter fehlen gänzlich
Und last but not least, müsse die Rolle der IT-Verantwortlichen in den Departementen weiter geschärft werden. Zudem brauche es dringend eine Stellvertreter-Regelung. Notfalls müsse das NCSC die explizite Benennung der Stellvertretung des IT-Verantwortlichen für Cybervorfälle von den Departementen einfordern. Es gibt also insgesamt viel zu tun.
Interessant sind bei den EFK-Kontrollen aber immer die Reaktionen der betroffenen Institutionen, wie muula.ch bereits mehrfach berichtete. Diesmal fiel die Stellungnahme wohlwollend aus. Das NCSC bedankte sich brav für die Hinweise und will die Verbesserungsvorschläge in die Praxis umsetzen.
Dabei bleibt zu hoffen, dass Cyberkriminelle mit ihren Angriffen auf den Bund so lange zuwarten, bis alle Empfehlungen der EFK auch überall angepasst wurden und tatsächlich funktionieren.
06.10.2022/kut.