Finanzkontrolle entdeckt IT-Sicherheitslücken im Parlament

Die Eidgenössische Finanzkontrolle (EFK) hat gravierende Sicherheitslücken in der IT-Infrastruktur des Parlaments aufgedeckt. Die EFK untersuchte zwei Digitalisierungsprojekte der Parlamentsdienste und kommt zum Schluss, dass in beiden Projekten wesentliche Probleme und Risiken bestehen, insbesondere im Hinblick auf die Informationssicherheit.

Schuld daran seien Versäumnisse bezüglich Governance und Strategie, heisst es im Untersuchungsbericht der EFK (PDF): "Eine auf die Geschäftsziele oder auf den Digitalisierungsauftrag abgestimmte IKT-Strategie ist nicht vorhanden." Zudem fehle es an Betriebs- und Sourcing-Strategien sowie an einer Ziel-Architektur, die alle relevanten Anforderungen berücksichtige. "In diesem Vakuum wurde von den Projekten – teilweise ohne umfassende Abklärung der Konsequenzen – Entscheide getroffen und Fakten geschaffen."

Namentlich geht es um das IT-Projekt Cervin und um das darauf aufbauende Projekt Curiaplus. Beide Vorhaben dienen dem Zweck, die Digitalisierung des Rats- und Kommissionsbetriebs voranzutreiben.

Info-Portal mit Sicherheitslücken

Cervin ist eine Plattform, die Parlamentarierinnen und Parlamentariern wie auch Mitarbeitenden der Parlamentsdienste einen personalisierbaren Zugang zu allen relevanten Informationen bietet. Das Portal ist bereits seit 2019 im Betrieb – obwohl wichtige Betriebsfragen weiterhin ungeklärt sind und Sicherheitsrisiken bestehen: "Das Sicherheitsniveau von Cervin ist gemäss extern durchgeführten Sicherheitsaudits unterdurchschnittlich", schreibt die EFK im Bericht. Man habe Schwachstellen identifiziert, "die gemäss Auditbericht schnellstmöglich behoben werden müssen, was nicht erfolgt ist".

Ferner seien die Testmöglichkeiten ungenügend; es habe keine Abnahme stattgefunden und: Den Betrieb der Plattform haben die Parlamentsdienste ohne entsprechenden Vertrag und Service Level Agreement an eine externe Firma übertragen. Der Zuschlag in Höhe von knapp 10 Millionen Franken ging 2019 an den IT-Dienstleister Clavis IT.

Das Fazit der EFK: "Die vom Projekt Cervin bereitgestellte Infrastruktur ist aktuell nicht sicher genug, um darauf die noch deutlich sensiblere Anwendung Curiaplus zu implementieren und zu betreiben." Aufgrund technischer Grundsatzfragen sei unklar, ob die Behebung der Schwachstellen in allen Fällen möglich sei.

Es fehlen sogar die Voraussetzungen, um zu erkennen, ob Angreifer bereits Sicherheitslücken ausgenutzt haben.

Projektstopp steht zur Debatte

Das Projekt Curiaplus galt als Wegbereiter für den digitalen Ratsbetrieb. Ziel ist es, dass Ratsmitglieder ihre Anträge direkt online bearbeiten können. Die Einführung war zur nächsten Legislaturperiode im Jahr 2023 geplant. Doch die EFK warnt nun vor einem hohen Realisierungsrisiko.

Es fehle eine unabhängige Beurteilung des Projektes beziehungsweise der Projekt- und Risikoberichte. Ebenfalls nicht vorhanden sei ein projektinternes Qualitäts- und Risikomanagement: "Im Risiko-Reporting des Projektleiters werden von internen Fachleuten gemeldete Risiken und solche aus externen Berichten nicht aufgenommen", schreibt die EFK.

Curiaplus sei auf die rechtzeitige Fertigstellung von anderen IT-Projekten angewiesen, von denen einige bereits wesentliche Verzögerungen gemeldet hätten. Curiaplus selbst sei bereits nach einigen Monaten im Rückstand und es bestünden Differenzen mit dem Lieferanten, ob das Projekt im vereinbarten Zeitraum abgeschlossen werden könne.

Die EFK zieht einen ernüchternden Schluss: "Angesichts der Projektrisiken und der ungeklärten strategischen Vorgaben ist zu klären, ob eine Sistierung des Projektes Curiaplus angebracht wäre."

Übrigens: In einem weiteren Untersuchungsbericht nahm die EFK die Zürcher Firma Axsana unter die Lupe. Das Zürcher Unternehmen ist eine von sieben sogenannten Stammgemeinschaften, die in der Schweiz das elektronische Patientendossier (EPD) anbieten können. Die verzögerte Einführung des EPD macht dem Zürcher Anbieter allerdings zu schaffen. Lesen Sie hier mehr dazu.