Sicherheitslücken in IT-Projekten der Parlamentsdienste
Quelle: www.parlament.ch

Sicherheitslücken in IT-Projekten der Parlamentsdienste

Mit den IT-Projekten Cervin und Curiaplus sollen die Schweizer Ratsbetriebe digitalisiert werden. Die Eidgenössische Finanzkontrolle hat nun aber in beiden Projekten gravierende Sicherheitsprobleme aufgedeckt.
22. März 2022

     

Die Eidgenössische Finanzkontrolle (EFK) hat das IT-Projekt Curiaplus der Parlamentsdienste unter die Lupe genommen, dessen Ziel die Digitalisierung des Rats- und Kommissionsbetriebs ist. Und weil das IT-Projekt Curiaplus auf den Arbeiten des Projektes Cervin basiert, hat die EFK relevante Themen in diesem Vorhaben ebenfalls geprüft. Denn die zwei Systeme, die aufeinander aufbauen, lösen seit 2019 nach und nach das veraltete Parlnet ab.


Nun kommt die Untersuchung aber zu einem ernüchternden Schluss: In beiden Projekten bestehen demnach wesentliche Probleme und Risiken, insbesondere in Hinblick auf die Informationssicherheit. Schuld daran sind gemäss der EFK mehrheitlich die ungenügende Governance, die mangelhafte Einhaltung von Weisungen sowie die fehlenden Architekturvorgaben. So sei keine auf die Geschäftsziele oder auf den Digitalisierungsauftrag abgestimmte IKT-Strategie vorhanden. Ebenso fehle eine Betriebs- und Sourcing-Strategie und eine Ziel-Architektur, die alle relevanten Anforderungen berücksichtigen. Auf dieser Grundlage seien schliesslich Entscheidungen gefällt worden, teilweise sogar ohne Abklärung der Konsequenzen.
Des Weiteren kritisiert die EFK, dass die Projekte Curiaplus und Cervin die geltenden Richtlinien und Weisungen nicht ausreichend einhalten. Vorgeschriebene Sicherheitskonzepte bleiben im Anfangsstadium stecken und Arbeitsergebnisse wurden nicht wie vorgeschrieben erstellt und freigegeben.

Zudem werden beim Projekt Cervin der undefinierte Betrieb und Support sowie das fehlende Outsourcing-Konzept bemängelt. So werde Cervin seit Ende 2019 von den Parlamentariern genutzt, wichtige Betriebsfragen bleiben aber weiterhin ungeklärt. Die Testmöglichkeiten sind ungenügend, es fand keine Abnahme statt und der Support wird von der Projektorganisation nach best Effort wahrgenommen. Den Betrieb der Plattform haben die Parlamentsdienste ohne entsprechenden Vertrag und Service Level Agreement an eine externe Firma übertragen. Die von Curiaplus benötigten Deployment- und Test-Infrastrukturen sowie -Prozesse sind erst bruchstückhaft vorhanden. Ein projektübergreifendes Providermanagement und ein Betriebs- und Outsourcing-Konzept fehlen.


Ausserdem wird das Sicherheitsniveau von Cervin von extern durchgeführten Sicherheits-Audits als unterdurchschnittlich bezeichnet. Es wurden Schwachstellen identifiziert, die gemäss Audit-Bericht schnellstmöglich behoben werden müssen, was nicht erfolgt ist. Aufgrund architektonischer respektive technischer Grundsatzfragen ist zudem unklar, ob die Behebung der Schwachstellen in allen Fällen möglich ist. Ausserdem fehlen Voraussetzungen, um zu erkennen, ob Angreifer bereits Sicherheitslücken ausgenutzt haben. Schwachstellen in Cervin wirken sich zudem direkt oder indirekt auch auf Curiaplus aus, das mehr sensible Daten und Funktionen für die Parlamentarier zur Verfügung stellt.

Angesichts der Projektrisiken und der ungeklärten strategischen Vorgaben ist gemäss EFK zu klären, ob eine Sistierung des Projektes Curiaplus angebracht wäre. Die Parlamentsdienste sehen aber keinen Anlass, die Frage der Weiterführung des Projektes Curiaplus vertieft zu prüfen, seien doch keinen nennenswerten Einführungsrisiken ersichtlich. Zudem sei die Portalplattform im Rahmen des Projektes Cervin gründlich geprüft worden und verbesserungswürdige Punkte seien in der Umsetzung. Man werde weitere sicherheitstechnische Überprüfungen vornehmen, wenn die Schnittstellenanbindungen zu den benutzten Anwendungen erfolgt seien. (abr)


Weitere Artikel zum Thema

Parlament spricht sich für elektronische Steuererklärung und SAP-Migration aus

22. September 2020 - In Bundesbern findet derzeit die Herbstsession statt. Während der Nationalrat die Kantone zwingen will, die Steuererklärung vollumfänglich elektronisch anzubieten, gab der Ständerat der anstehenden SAP-Migration seinen Segen.

Soprano: IT-Plattform für Parlamentarier noch vor Inbetriebnahme eingestellt

29. Juni 2020 - Sorpano hätte eine digitale Plattform werden sollen, die Parlamentarier bei ihrer Arbeit unterstützen sollte. Nach rund zwei Jahren Entwicklung, Kosten von fast 2 Millionen Franken und wiederkehrenden Verzögerungen wird das Projekt nun gestoppt.

Das meinen National- und Ständeratskandidaten zur Digitalisierung

25. September 2019 - Der Digitalisierungsmonitor 2019 von Swico zeigt, wie die Schweizer Politiker zur Digitalisierung stehen. Allerdings haben nicht einmal ein Fünftel der angefragten Parlamentskandidaten alle Fragen beantwortet. Jene, die an der Befragung teilgenommen haben, sehen mehr Chancen als Risiken.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER