Das BAG muss bei der Cybersicherheit nachrüsten

Das Gesetz will, dass das Bundesamt für Gesundheit ein Information Security Management System betreibt. Davon ist die Behörde allerdings noch weit entfernt.

, 9. April 2024 um 12:47
image
Das Bundesamt für Gesundheit in Bern-Liebefeld  |  Bild: BAG / Wikimedia Commons
Seit Anfang Jahr gilt das neue Gesetz über die Informationssicherheit beim Bund. Darin werden die einheitlichen Mindestanforderungen an die Cybersicherheit für alle Bundesbehörden geregelt. Diese umfassen auch ein Information Security Management System (ISMS), das verschiedene Vorschriften, Verfahren und Massnahmen zur Verbesserung der Informationssicherheit enthält.
Das Bundesamt für Gesundheit (BAG) verfügt noch nicht über ein solches ISMS und muss aufrüsten. Dies geht aus einer Ausschreibung hervor, welche die Behörde kürzlich im Rahmen von «Alpin 2.0» publiziert hat. In einem Mini-Tender-Verfahren sucht das BAG einen Anbieter, der das fehlende ISMS aufbaut, in Betrieb nimmt und zum späteren Zeitpunkt «eventuell zertifizieren» lässt.

Welche Sicherheitsziele?

Im Lastenheft zur Ausschreibung sind haarsträubende Details zum derzeitigen Security-Management im BAG zu lesen. So ist schriftlich festgehalten, dass das Bundesamt über kein einheitliches Schutzobjektregister verfügt. Weiter heisst es, dass es kein durchgängiges Risikomanagement auf der Stufe Amt gibt und Ausnahmegenehmigungen nicht nach einheitlichen Prozessen abgewickelt werden.
Zudem hat das BAG – Stand heute – keine konkreten Sicherheitsziele formuliert. Und auch die entsprechende «Strategie sowie die Security Policy sind auf Stufe BAG nicht vorhanden». Ein Lieferantenmanagement aus Sicht Security ist gemäss den Ausschreibungsunterlagen im Aufbau. Ein aktives Lieferantenmanagement inklusive Lieferantensicherheitsprüfungen muss aber erst noch geschaffen werden.
  • Dieser Beitrag erschien erstmals auf «Inside-IT» unter dem Titel «Das Security-Management beim BAG liegt im Argen».
So gibt es im BAG zwar ein Vorfallmanagement für die Informationssicherheit, aber eine «Verzahnung mit anderen ISMS-Themen ist noch zu überprüfen und zu verbessern». ISMS-Messungen und -Bewertungen existieren ebenfalls nicht.
Es werden jedoch manche Schlüsselkennzahlen (KPI) gemessen und im Rahmen des jährlichen Sicherheitsberichts an die Amtsleitung rapportiert. Zudem gibt es regelmässige Managementberichte. Diese sollen im Hinblick auf das neue ISMS überprüft und allenfalls angepasst werden.
Im Bundesamt gibt es zwar Schulungen zur IT-Sicherheit für neue Angestellte, für andere Zielgruppen wiederum gibt es keine solchen Schulungskonzepte. Ebenfalls fehlen Konzepte für Kommunikation und Awareness; diese sollen durch den Gewinner der Ausschreibung aufgebaut werden.

1’100 Arbeitsstunden

Und so dürfte der Prozess bei der bestehenden Situation eine Herausforderung werden. Der ausgewählte Anbieter soll bis 2025 ein massgeschneidertes ISMS nach ISO 27001 einführen. «Dabei wird von der externen Firma erwartet, dass sie sowohl die Projektleitung bei der Projektsteuerung unterstützen kann als auch zu den anfallenden Arbeitspaketen einen inhaltlich und qualitativ wertvollen Input geben kann.»
Zertifiziert werden soll das System aber nicht: «Wir sehen im Moment in der kostspieligen ISO 27001 Zertifizierung und den wiederkehrenden teuren Rezertifizierungen keinen Mehrwehrt für den Steuerzahler – zumal es gesetzlich auch nicht vorgeschrieben ist», schreibt die Behörde auf eine Anfrage von «Inside-It».
Das Projekt wird nach Hermes-Methode durchgeführt und ist in zwei Phasen eingeteilt. Bis Ende 2024 sollen passende Prozesse und ein Setting definiert werden, die dann in der Organisation umgesetzt werden. Danach soll das ISMS in Betrieb gesetzt werden. In der zweiten Phase sollen die umgesetzten Lieferobjekte dann ins ISMS-Tool überführt werden. Dies soll im Laufe des Jahres 2025 geschehen.
Für die erste Phase rechnet das BAG mit einem Gesamtaufwand von rund 1’100 Arbeitsstunden. Auf Anfrage teilt die Behörde mit, dass für die erste Phase rund 180'000 Franken budgetiert sind. Der detaillierte Aufwand für den zweiten Teil wird dann zu einem späteren Zeitpunkt ermittelt, sobald das ISMS-Tool der Bundesverwaltung in Betrieb ist.

Mindestmass an Governance

Weshalb wurde die Arbeit am ISMS erst jetzt angegangen? Das Amt betont, dass «die Cyber- bzw. IT-Sicherheit im BAG bereits in der Vergangenheit sehr ernst genommen und sämtliche Vorgaben eingehalten wurden.» Die Beschaffung beruhe nun auf den neuen gesetzlichen Vorgaben im Rahmen des Bundesgesetzes über die Informationssicherheit und das BAG komme diesen Anforderungen mit der Einführung des neuen ISMS nach.
Ein Insider kommentierte das Security-Management des BAG allerdings mit: «Viel schlechter kann man es eigentlich gar nicht machen. Wir schreiben das Jahr 2024, da kann man schon erwarten, dass ein Amt, welches gerade erst dreistellige Millionenkredite gesprochen bekam, um wichtige Digitalisierungsprojekte im Gesundheitswesen voranzubringen, ein Mindestmass an Governance und sorgfältiger Geschäftsführung an den Tag legt.»

Personelle Verflechtungen

Der Insider stört sich zudem daran, dass der Verfasser der Ausschreibung erst kürzlich eine neue Tätigkeit bei einem Schweizer Security-Anbieter bekannt gegeben hatte. In einem mittlerweile gelöschten Beitrag auf Linkedin wurde der Informationssicherheitsbeauftragte des BAG beim besagten Anbieter willkommen geheissen.
Auf Nachfrage zu einem möglichen Interessenkonflikt teilte das Bundesamt mit, dass «die Kommunikation des Anbieters vor Abschluss des Bewilligungsverfahrens etwas verfrüht gewesen» sei. Der Interessenkonflikt sei bereits zuvor erkannt worden, so das BAG. Die entsprechende Ankündigung im Internet sei entfernt worden, heisst es vom Anbieter.
Wobei es bei der Löschung aufgrund der Feiertage zu einer Verzögerung in der Kommunikation gekommen sei.


  • cyberattacken
  • cybercrime
  • BAG
  • IT
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Universitätsspital Basel bricht KIS-Beschaffung teilweise ab

Im besten Fall verzögert sich die Einführung einer offenen Datenplattform im USB. Im schlechtesten Fall muss eine neue Lösung her.

image

Das will das Unispital Zürich von seinem KIS-Lieferanten

Das USZ hat einen Anforderungskatalog für ein geplantes Klinik­informations­system publiziert.

image

Weniger Cyberattacken auf deutsche Spitäler

Greifen Hacker wirklich immer öfter Krankenhäuser an? Ein Regierungsbericht widerspricht dem gängigen Bild.

image

BAG: Neue Leiterin der Abteilung Internationales

Barbara Schedler Fischer folgt im August auf Nora Kronig Romero.

image

Mit Best Practices zum neuen KIS

Finanzielle und personelle Engpässe fordern die IT-Abteilungen in Spitälern. Gefragt sind Lösungen, die sich ressourcenschonend einführen lassen.

image

Cyber-Sicherheit: Spital STS liess sich hacken – und fand Lücken

Ethische Hacker entdeckten im Auftrag der Thuner Spital-Gruppe Sicherheitslücken, die andernorts schon für Ransomware-Angriffe ausgenutzt worden waren.

Vom gleichen Autor

image

Hände inklusive Sehnen – direkt aus dem 3D-Drucker

Ein neues 3D-Druckverfahren von ETH-Forschern verbindet verschiedenste Materialien: So müssen Einzelteile später nicht mehr montiert werden.

image

Das Basler Unispital braucht ein neues KIS für 100 Millionen Franken

Das aktuelle Klinikinformationssystem wird nicht mehr weiterentwickelt. Deshalb muss eine neue Lösung her. In Frage kommen eigentlich nur zwei Anbieter.