Die Parlamentsdienste sollen die Bundesversammlung und ihre Organe unterstützen. Im Notfall brauchen sie aber wohl selbst Hilfe.
Die Eidgenössische Finanzkontrolle EFK hat die Parlamentsdienste, welche die Bundesversammlung und ihre Organe bei der Erfüllung ihrer Aufgaben unterstützen sollen, zum zweiten Mal seit 2021 unter die Lupe genommen.
Sicherheit als Schwachstelle
Dabei wurden jeweils diverse Mängel bei der Anwendung CuriaPlus, respektive Parlnet sowie bei der darunterliegenden Plattform Liferay festgestellt.
Trotz positiver Entwicklungen bei der Governance und der Organisation bestünden Schwachstellen in den Bereichen Informatiksicherheit, Service Level Agreements (SLA) und Datensicherung, teilte die EFK in ihren jüngsten Untersuchungsberichten mit.
Für Parlnet und die Plattform Liferay wurden mehrere externe Sicherheitsprüfungen durchgeführt. Die Befunde daraus konnten allerdings noch nicht alle behoben werden, hiess es weiter.
Unklare Regelung
«Der IT-Grundschutz soll die minimalen organisatorischen, personellen und technischen Sicherheitsvorgaben im Bereich Informatiksicherheit für sämtliche Informatikmittel verbindlich festlegen, inklusive der zu ergreifenden Massnahmen», stand im Bericht.
Bei den Parlamentsdiensten sei aber nicht klar geregelt, welche Standards für den Grundschutz beigezogen würden und welche Massnahmen vorgesehen seien, lautete eine Kritik.
Kein Notfallkonzept
Um im Störungsfall rasch reagieren zu können, müssen die Verantwortlichkeiten der verschiedenen Lieferanten geklärt und vertraglich in den SLA definiert werden. Sowohl für CuriaPlus als auch für Parlnet fehlten jedoch Notfallkonzepte, mahnte die EFK.
Ausserdem müsste die Durchführbarkeit der Notfallmassnahmen regelmässig getestet werden, führten die Finanzprüfer zu den Schwachstellen aus.
Elementarer Standard fehlt
Da die Parlamentsdienste als kritische Infrastruktur des Landes eingestuft wurden, sollten sie eine Georedundanz mit zwei räumlich getrennten Rechenzentren prüfen. Offenbar ist das nicht der Fall und eigentlich ziemlich fahrlässig.
«Im Minimum sollten die PD Offsite-Backups auf einem entfernten Server oder auf Medien ausserhalb des eigenen Rechenzentrumstandorts bereithalten», was nichts anderes bedeutet, als dass Sicherungskopien derzeit direkt bei den Parlamentsdiensten aufbewahrt werden.
Bei Unternehmen sind dies elementare Standards, zwei Rechenzentren und separate Aufbewahrung von Sicherungskopien in Banksafes. Beim Schweizer Parlament aber offenbar nicht.
Alles noch im Fluss
Die Parlamentsdienste haben eine weitere Sicherheitsprüfung und einen Code Review durchführen lassen. Der Umfang dieser Sicherheitsprüfung wurde jedoch nicht wie empfohlen erweitert, fanden die Kontrolleure heraus.
Die geforderten Dokumente, Verträge und eine Risikoanalyse seien zwar vorhanden, jedoch alles «noch in Bearbeitung». Somit sind die Empfehlungen nur teilweise umgesetzt.
Papier aufbewahren
Die Parlamentsdienste teilen in einer Stellungnahme im ausführlichen Bericht die Einschätzung der EFK, dass mit der voranschreitenden Digitalisierung die Abhängigkeit der parlamentarischen Tätigkeit von IT-Systemen zunimmt.
Sobald keine Alternativen mehr (primär in Form von Papierunterlagen) für die Parlamentsarbeit zur Verfügung stehen, führt der Ausfall von kritischen Anwendungen zu operativen Einschränkungen.
Da dies aber heutzutage noch nicht der Fall ist (mit Ausnahme der Abstimmungssysteme in den Ratssälen), verstünden die Parlamentsdienste die diesbezüglichen Empfehlungen der EFK als wertvolle Hinweise für eine künftige, rein digitale Arbeitsweise des Parlaments.
Doch die Schweiz weiss ja nur zugut, was passiert, wenn E-Mails in Behörden nicht mehr aufgefunden werden können.
Fehlende Mittel aus Ausrede?
Angesichts des erheblichen Ressourcenbedarfs in personeller und finanzieller Hinsicht für die vollständige Umsetzung würden die Parlamentsdienste der Verwaltungsdelegation dazu Optionen vorlegen, welche jeweils den zusätzlichen Nutzen und die finanziellen Auswirkungen aufzeigen, erklärten die Parlamentsdienste fast beleidigt.
Die Beseitigung solcher eklatanten Missstände bei kritischer Infrastruktur darf in einem reichen Land, wie der Schweiz, ja nicht am fehlenden Geld scheitern.
17.01.2024/kut.