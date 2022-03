Sicherheitslücken in IT-Projekten der Parlamentsdienste

22. März 2022 - Mit den IT-Projekten Cervin und Curiaplus sollen die Schweizer Ratsbetriebe digitalisiert werden. Die Eidgenössische Finanzkontrolle hat nun aber in beiden Projekten gravierende Sicherheitsprobleme aufgedeckt.





Nun kommt die Die Eidgenössische Finanzkontrolle (EFK) hat das IT-Projekt Curiaplus der Parlamentsdienste unter die Lupe genommen, dessen Ziel die Digitalisierung des Rats- und Kommissionsbetriebs ist. Und weil das IT-Projekt Curiaplus auf den Arbeiten des Projektes Cervin basiert, hat die EFK relevante Themen in diesem Vorhaben ebenfalls geprüft. Denn die zwei Systeme, die aufeinander aufbauen, lösen seit 2019 nach und nach das veraltete Parlnet ab.Nun kommt die Untersuchung aber zu einem ernüchternden Schluss: In beiden Projekten bestehen demnach wesentliche Probleme und Risiken, insbesondere in Hinblick auf die Informationssicherheit. Schuld daran sind gemäss der EFK mehrheitlich die ungenügende Governance, die mangelhafte Einhaltung von Weisungen sowie die fehlenden Architekturvorgaben. So sei keine auf die Geschäftsziele oder auf den Digitalisierungsauftrag abgestimmte IKT-Strategie vorhanden. Ebenso fehle eine Betriebs- und Sourcing-Strategie und eine Ziel-Architektur, die alle relevanten Anforderungen berücksichtigen. Auf dieser Grundlage seien schliesslich Entscheidungen gefällt worden, teilweise sogar ohne Abklärung der Konsequenzen.

Des Weiteren kritisiert die EFK, dass die Projekte Curiaplus und Cervin die geltenden Richtlinien und Weisungen nicht ausreichend einhalten. Vorgeschriebene Sicherheitskonzepte bleiben im Anfangsstadium stecken und Arbeitsergebnisse wurden nicht wie vorgeschrieben erstellt und freigegeben.



Zudem werden beim Projekt Cervin der undefinierte Betrieb und Support sowie das fehlende Outsourcing-Konzept bemängelt. So werde Cervin seit Ende 2019 von den Parlamentariern genutzt, wichtige Betriebsfragen bleiben aber weiterhin ungeklärt. Die Testmöglichkeiten sind ungenügend, es fand keine Abnahme statt und der Support wird von der Projektorganisation nach best Effort wahrgenommen. Den Betrieb der Plattform haben die Parlamentsdienste ohne entsprechenden Vertrag und Service Level Agreement an eine externe Firma übertragen. Die von Curiaplus benötigten Deployment- und Test-Infrastrukturen sowie -Prozesse sind erst bruchstückhaft vorhanden. Ein projektübergreifendes Providermanagement und ein Betriebs- und Outsourcing-Konzept fehlen.



Ausserdem wird das Sicherheitsniveau von Cervin von extern durchgeführten Sicherheits-Audits als unterdurchschnittlich bezeichnet. Es wurden Schwachstellen identifiziert, die gemäss Audit-Bericht schnellstmöglich behoben werden müssen, was nicht erfolgt ist. Aufgrund architektonischer respektive technischer Grundsatzfragen ist zudem unklar, ob die Behebung der Schwachstellen in allen Fällen möglich ist. Ausserdem fehlen Voraussetzungen, um zu erkennen, ob Angreifer bereits Sicherheitslücken ausgenutzt haben. Schwachstellen in Cervin wirken sich zudem direkt oder indirekt auch auf Curiaplus aus, das mehr sensible Daten und Funktionen für die Parlamentarier zur Verfügung stellt.



Angesichts der Projektrisiken und der ungeklärten strategischen Vorgaben ist gemäss EFK zu klären, ob eine Sistierung des Projektes Curiaplus angebracht wäre. Die Parlamentsdienste sehen aber keinen Anlass, die Frage der Weiterführung des Projektes Curiaplus vertieft zu prüfen, seien doch keinen nennenswerten Einführungsrisiken ersichtlich. Zudem sei die Portalplattform im Rahmen des Projektes Cervin gründlich geprüft worden und verbesserungswürdige Punkte seien in der Umsetzung. Man werde weitere sicherheitstechnische Überprüfungen vornehmen, wenn die Schnittstellenanbindungen zu den benutzten Anwendungen erfolgt seien. (abr)