Das sind die Hausaufgaben der Bundesverwaltung in puncto Cybersicherheit

Der aktuelle Sicherheitsstand der Informatik in der Bundesverwaltung entspricht insgesamt der derzeitigen Bedrohungslage. Bei festgestellten Ereignissen konnten gemäss "Bericht Informatiksicherheit Bund 2022" des NCSC jeweils umgehend die notwendigen Schritte eingeleitet werden.

Insgesamt sei das Berichtsjahr 2022 für die bundesinternen Leistungserbringer in Bezug auf Cyberbedrohungen aber ein "relativ ereignisarmes Jahr" gewesen. Obwohl die Bundesverwaltung permanent äusserst vielfältigen Cyberangriffen ausgesetzt gewesen sei, habe es 2022 keine Vorfälle gegeben, die das ordnungsgemässe Funktionieren der Verwaltung gefährdet hätten:

• Das Computer Security Incident Response Team (CSIRT) des Bundesamtes für Informatik und Telekommunikation (BIT) löste 2022 insgesamt 116 Aufträge zu Domainsperrungen aus. Zudem meldete das BIT, dass einige Firewalls direkte Verbindungen ins Internet zuliessen. Diese wurden rasch angepasst. Ferner war der Malwareschutz auf einigen Servern (v.a. Linux-Server) mangelhaft. Die Betreiber wurden informiert und die Mängel zeitnah behoben. 
• Das Cyber Fusion Center (CFC) der Führungsunterstützungsbasis (FUB) bearbeitete 2022 total 559 Ereignisse. Diese reichten von einem Malware-Verdacht bis zu Phishing-Versuchen. Auch hier heisst es im Bericht, dass die "Gesamtsituation als eher ruhig beschrieben werden kann". Diese ruhige Lage würde weiterhin anhalten. 

Fast zeitgleich mit der Publikation des Berichts für 2022 wurde bekannt, dass ein Cyberangriff auf den IT-Dienstleister Xplain auch Fedpol, kantonale Polizeien, die Armee und den Zoll betrifft. Es könnten auch operative Daten des Bundes gestohlen worden sein. Lesen Sie hier mehr dazu.

Mehrere Lücken geschlossen

Im Bericht erwähnt das NCSC gewisse Sicherheitsvorfälle und Gegenmassnahmen explizit:

• Im Zusammenhang mit der Fussball-Weltmeisterschaft in Katar sperrte der zuständige Bereich der Bundeskanzlei zwei Apps auf den Geschäftshandys: "Ehteraz" und "Hayya to Qatar 2022". Die Apps würden weitreichenden Zugriff auf Daten verlangen.
• Kritische Schwachstellen im Atlassian-Confluence-Server wurden umgehend gepatcht. Eine Prüfung der betroffenen Systeme in der Bundesverwaltung gab keine Hinweise auf eine Kompromittierung. 
• Zwei kritische Zero-Day-Schwachstellen in Microsoft-Exchange-Servern wurden nach Veröffentlichung entsprechender Aktualisierungen ebenfalls umgehend abgesichert. Auch hier zeigte eine Prüfung der betroffenen Systeme keine Hinweise darauf, dass diese kompromittiert wurden. Im Februar hatte das NCSC erneut vor dieser Schwachstelle namens ProxyNotShell gewarnt, da weiterhin hunderte Server in der Schweiz gefährdet waren.
• Eine kritische Sicherheitslücke im FortiOS-VPN von Fortinet zwang den Bund Anfang Dezember 2022 ebenfalls zum Handeln. Direkt nach Bekanntgabe der Schwachstelle aktualisierte und prüfte die Bundesverwaltung diese Systeme. Hinweise auf eine Kompromittierung gab es keine. 
• Ebenfalls im Dezember musste die Bundesverwaltung eine kritische Schwachstelle in den Citrix-Produkten ADC und Gateway patchen. Davon war auch das Mobile Device Management der Bundesverwaltung betroffen. 

Veraltete Protokolle

Keine akute Sicherheitslücke, aber auch ein Problem, sind die veralteten Systeme und Netzwerkprotokolle, die noch genutzt werden. Die Verantwortlichen, die diese Systeme ersetzen sollten, hätten jedoch nicht in jedem Fall die nötigen Ressourcen dafür. Dies könnte zu einer Kumulierung von Sicherheitsrisiken führen. Das NCSC werde diese Problematik verfolgen. 

Das BIT erfasste etwa unterschiedliche Schnittstellen, die das Authentisierungs- und Verschlüsselungsprotokoll der veralteten Protokollversionen "TLS 1.0 und TLS 1.1" verwenden würden. Da diese Schwachstellen aufweisen, ist die Nutzung dieser Protokollversionen in der Bundesverwaltung nicht mehr gestattet. 

Aufgrund der hohen Verbreitung rechnet das NCSC damit, dass es teilweise bis Ende 2026 gehen könnte, dieses Problem zu beheben. Aktuell seien noch 1786 Systeme mit den veralteten Protokollen im Einsatz. 2022 habe die Bundesverwaltung etwa genau so viele Systeme aktualisieren können. Solange nur bundesintern kommuniziert werde, sei das Risiko aber gering. Das NCSC empfiehlt dennoch eine komplette Blockierung, beispielsweise in eine isolierte Netzwerkumgebung.

Was 2022 getan wurde und 2023 zu tun ist

Im Bericht zählt das NCSC auch auf, welche Massnahmen zur Stärkung der IT-Sicherheit 2022 durchgeführt wurden. Dazu zählen: 

• Die Mitarbeitenden wurden mit verschiedenen Massnahmen, wie etwa der nationalen S-U-P-E-R-Kampagne, sensibilisiert.
• Ein Projekt wurde gestartet, um eine Endpoint-Detection-and-Response-Lösung auf möglichst vielen Systemen innerhalb der Bundesverwaltung einzuführen.
• Für die agile Projekteinsetzung wurde ein Security-Champions-Programm eingeführt.
• Die externe Zertifizierung nach ISO 27001 wurde bei gewissen Verwaltungseinheiten fortgesetzt.
• Das NCSC startete ein Bug-Bounty-Programm der Bundesverwaltung.
• Zur Verbesserung des Meldeflusses von Schwachstellen wurde der "Security.txt"-Standard auf den Internetseiten der Bundesverwaltung lanciert.
• Die personellen Ressourcen für die Informatiksicherheit wurden weiter ausgebaut.
• Ein neuer Makrosignatur-Service soll von Microsoft-Office-Makros ausgehende Risiken reduzieren.

Zur kurz- und mittelfristigen Stärkung der Security planen die Departemente und die Bundeskanzlei in diesem Jahr unter anderem die folgenden Massnahmen:

• Die monatlich wiederkehrenden Webscans von sämtlicher im Internet exponierter Websites soll erweitert werden.
• Weitere geschäftskritische Anwendungen sollen Teil des Bug-Bounty-Programms werden.
• Systeme, die vom Internet zugänglich sind, werden durch weitere Penetration-Tests untersucht und die entsprechenden Massnahmen umgesetzt. 
• Die bundeseigene Verschlüsselungssoftware "Securecenter" soll durch die Nachfolgelösung "CHCrypt" abgelöst werden. 

Zum Bericht

Die Berichte zur Informatiksicherheit beim Bund erstellt das NCSC jährlich. Zu diesem Zweck führt es strukturierte Umfragen bei allen IT-Security-Beauftragten der Departemente und der Bundeskanzlei durch. Zudem berücksichtige das NCSC in diesen Berichten die eigenen Erfahrungen und Feststellungen sowie Meldungen der bundesinternen Leistungserbringer. 

Übrigens: Ab 2024 soll aus dem NCSC das Bundesamt für Cybersicherheit werden. Der Direktor des künftigen Bundesamts steht schon fest: Florian Schütz, der Delegierte des Bundes für Cybersicherheit und Leiter des NCSC. Lesen Sie hier mehr dazu.