Der Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir haben sie aus IT-Sicherheitssicht analysiert und mit Hinweisen für alle IT-Verantwortlichen versehen, egal ob öffentliche Hand oder Privatwirtschaft.
Dies ist eine Kompaktversion meines DNIP-Artikels zum Thema.
IT-Sicherheit geht alle an
Die allermeisten heutigen Unternehmen sind von einer funktionierenden Informatikinfrastruktur abhängig. Manche sind sich das sehr bewusst; andere merken es erst, wenn Teile ihrer IT crasht, gehackt wurde, Geschäfts- und Personaldaten im Darknet auftauchen oder wenn ein Wassereinbruch bzw. Feuer die Rechner und Festplatten zerstört hat.
Für IT-Sicherheit gibt es keine 0815-Lösung
Deshalb muss sie immer auf die spezifischen Bedürfnisse der Organisation zugeschnitten sein. Sie kann auch nicht isoliert betrachtet werden, sondern muss von allen gelebt werden, wenn sie wirkungsvoll sein soll. Sicherheit ist auch hier nur so stark wie das schwächste Glied; und das ist jenes, das man nicht in die Betrachtungen einbezogen hat.
Entsprechend kann es die Putzfrau sein, die wie üblich alle Türen zuzieht, auch wenn dies die Kühlung des temporären Servers stört. Oder die Brüstung, die vor allen Fenstern durchläuft und so das Türschloss im Obergeschoss aushebelt. Oder…
Der Brief des Bundes berücksichtigt dies zu wenig
Er verallgemeinert Anforderungen und impliziert veraltete Sicherheitsmassnahmen. Oder bleibt unklar, was gewisse Forderungen jetzt eigentlich bedeuten.
Schlussfolgerungen
Der Brief scheint als plötzliche Reaktion geschrieben worden zu sein und nicht in einer wohl überlegten Aktion geplant. Der Brief wirkt so, als ob kein Feedback von BIT oder NCSC eingeholt wurde.
Als Grund für den Brief bieten sich insbesondere drei Optionen an:
- Der Bund hat keine Ahnung, wie es um seine Dienstleister bestellt ist.
- Der Bund ist wirklich besorgt um die Qualität seiner Dienstleister und hat das erst jetzt bemerkt.
- Der Bund ist wirklich besorgt um die Qualität seiner Dienstleister und weiss das schon seit Jahren.
Alle drei Optionen sind nicht wirklich beruhigend. In allen drei Fällen muss die öffentliche Hand sich aber auf die Fahne schreiben, die externen Dienstleister enger kompetent zu begleiten.
Handlungsfreiheit erhalten
Einer der Sorgenpunkte des Bundes ist, laut Pressemitteilungs-PDF, die «Wartung und Weiterentwicklung dieser [von Xplain erstellten] essentiellen Softwarekomponenten sicherzustellen».
Egal, wie die aktuelle Geschichte ausgeht: Fälle, in denen ein Dienstleister Probleme hat oder man sich von einem Dienstleister trennen will, wird es immer wieder geben. Entsprechend sollte der Bund zukünftig auch besser darauf vorbereitet sein, einen solchen Schritt möglichst schmerzlos gehen zu können.
Dabei könnte er sich beispielsweise an einigen klassischen Werkzeuge zur Reduktion von Lock-In orientieren:
- Modularisierung bei den Projekten (einfach und eigenständig, Mut zur Lücke),
- Nutzung von offenen, standardisierten APIs, [Neu 2023-08-02, danke an Stephan Neuhaus]
- eine Two-Vendor-Strategie, auch wenn das im IT-Bereich nicht immer einfach ist und
- Verpflichtung der IT-Dienstleister, den im Rahmen des Projekts erstellten Quellcode als Open Source zu veröffentlichen (Public Money, Public Code). Diesen Schritt halte ich für den Vielversprechendsten.
Weiterführende Informationen
- Marcel Waldvogel: IT-Sicherheit ist kein Bürostuhl (DNIP, 2022-08-01)
Der Artikel in voller Länge. - Martin Steiger und Marcel Waldvogel: IT-Sicherheit bei Dienstleistern des Bundes, Teil 1 (Datenschutz Plaudereien, 2022-08-02)
Das Thema als Podcast aus leicht anderen Blickwinkeln. - Reto Vogt: Exklusiv: Bund kontaktiert seine IT-Dienstleister wegen Security (Inside IT, 2022-07-19)
Der Beitrag, der diesen ausgelöst hat und das gesamte Schreiben des Bundes enthält. - Marcel Waldvogel: Was uns Ransomware zu Datenschutz und Datensicherheit lehrt (2022-12-05)
IT-Sicherheit und ein paar einfache aber effektive Massnahmen einfach erklärt. Diese Checklisten können aber nicht mehr als der Anfang einer wundervolle Freundschaft mit der IT-Sicherheit sein. - Marcel Waldvogel: Ransomware ist anders (2018-09-26)
Wie Ransomware funktioniert und was man dagegen tun sollte (und was nicht). - BSI: Forschrittliche Angriffe — dynamische Entwicklung.
Hintergrund zu Ransomware und Cyber-Sicherheitsempfehlungen.
Aktuelles zu IT-Sicherheit
- Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht. - Wie die Open-Source-Community an Ostern die (IT-)Welt rettete
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können. - Endet die Zeit im Jahr 2038?
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein. - Wie zählt ein Computer?
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer. - Spamwelle zu Weihnachten?
Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die Antispam-Massnahmen der weitverbreitesten Mailserver können ausgehebelt werden. Sogar die Vortragsreise dazu ist schon geplant. Nur: Der weitverbreiteste Mailserver weiss davon nichts, seine User sind ungeschützt. - «5 Minuten für mehr Datenschutz»: Tracking vermeiden
«Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz vieler Fortschritte helfen Gesetze da bisher nur Ansatzweise. «Eigenverantwortung» ist also wieder einmal angesagt… - 2FA verschwindet in der Cloud
Zwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch Googles Synchronisation in die Cloud wird der Schutz aber massiv geschwächt. - IT-Sicherheit ≠ Bürostuhl
Der Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir haben sie aus IT-Sicherheitssicht analysiert und mit Hinweisen für alle IT-Verantwortlichen versehen, egal ob öffentliche Hand oder Privatwirtschaft. Dies ist eine Kompaktversion meines DNIP-Artikels zum Thema. IT-Sicherheit geht alle an Die allermeisten heutigen Unternehmen … Weiterlesen: IT-Sicherheit ≠ Bürostuhl - 📹 Cloud: Technologie für Datenschutz?
Moderne Technologie wie Homomorphe Verschlüsselung könne vielleicht künftig den Datenschutz in der Cloud garantieren, meinte kürzlich der oberste Datenschützer. Hier Hintergründe und Schlussfolgerungen. - SBB-Kundentracking: Offene Fragen
Seit einer Woche wird heiss über die zukünftige biometrische Verfolgung der Bahnhofsbesucher diskutiert. Hier ein paar Bemerkungen und Fragen zum «KundenFrequenzMessSystem 2.0» aus technischer Sicht. - Cloud-Sicherheit am Winterkongress
Am Winterkongress der Digitalen Gesellschaft halten Adrienne Fichter, Patrick Seemann und ich zwei Vorträge zu Cloud-Sicherheit am 25. Februar. Es hat noch freie Plätze! - Jugendschutzgesetz: Ein kleiner Medien-Faktencheck
In der letzten Woche haben sowohl Tagesanzeiger als auch NZZ über das JSFVG berichtet. In den jeweiligen Artikeln werden die Aussagen der Befürworter des aktuellen Gesetzestexts jedoch sehr unkritisch übernommen. Patrick Seemann und ich haben das nachgeholt.
Schreibe einen Kommentar