Informationssicherheit beim Bund: Keine schwerwiegenden Vorfälle 2024
Der Bundesrat hat den Bericht «Informationssicherheit Bund 2024» zur Kenntnis genommen. Der Bericht beleuchtet den Stand der Informationssicherheit in der Bundesverwaltung. 2024 ist es zu keinen schwerwiegenden Vorfällen gekommen, bei denen eine ernsthafte Gefahr für die Informationen oder die Informatikmittel der Bundesverwaltung bestanden hätte. Zudem wird dargelegt, wie die Massnahmen des Bundesrates zur Vermeidung künftiger Datenabflüsse umgesetzt wurden.
Der Bericht «Informationssicherheit Bund 2024» hält fest, dass die Anzahl der Cyberangriffe auf die Bundesverwaltung auf hohem Niveau bleibt und die Schweiz international exponiert ist. Bezeichnend waren beispielsweise die zahlreichen DDoS-Angriffe im Zusammenhang mit dem Besuch des ukrainischen Präsidenten Wolodymyr Selenskyj am World Economic Forum (WEF) in Davos und während der hochrangigen Konferenz zum Frieden in der Ukraine auf dem Bürgenstock. Insgesamt ist es 2024 zu keinen schwerwiegenden Vorfällen gekommen, bei denen eine ernsthafte Gefahr für die Informationen oder Informatikmittel der Bundesverwaltung bestand. Dies konnte durch das rechtzeitige Erkennen und die konsequente Reaktion auf Angriffe abgewendet werden.
Prozesse der neuen Fachstelle Informationssicherheit des SEPOS etabliert
Zudem fallen zwei wichtige Meilensteine für die Informationssicherheit in die Berichtsperiode 2024: Das neue Informationssicherheitsgesetzes (ISG) ist in Kraft getreten und die Fachstelle des Bundes für Informationssicherheit (FS BIS) hat ihre Arbeit aufgenommen. Die Fachstelle ist als Vorgabestelle zuständig für die Beratung und die Unterstützung der Behörden beim Vollzug dieses Gesetzes. Die Departemente sind ihrerseits für die Umsetzung der Informationssicherheit verantwortlich. Die Fachstelle hat im Jahr 2024 die entsprechenden Prozesse aufgebaut und etabliert.
Datenabflüsse vermeiden und Informationssicherheit stärken
Gleichzeitig hat die Bundesverwaltung die Massnahmen des Bundesrats zur Vermeidung künftiger Datenabflüsse und Stärkung der Informationssicherheit umgesetzt, dies als Reaktion auf den Cyberangriff auf die Firma Xplain. Durch gezielte Investitionen in technische, organisatorische und personelle Ressourcen konnte das allgemeine Sicherheitsniveau erhöht werden.
Nach dem Fall Xplain von 2023 sind die Prüfaktivitäten bei Lieferanten des Bundes stark in den Fokus gerückt. So wurden im vorliegenden Bericht erstmals die sicherheitsempfindlichen Aufträge der gesamten Bundesverwaltung erhoben und Informationen zu Prüfaktivitäten bei den Lieferanten des Bundes erfasst.
Die Verwaltungseinheiten hatten den Auftrag, bis Ende 2024 auf ihrem Inventar der Schutzobjekte die beteiligten Lieferanten des Bundes zu ergänzen. Diese Massnahme wurde von den meisten Verwaltungseinheiten erfüllt. In den anderen Verwaltungseinheiten befand sich die Massnahme in der Umsetzung.
Die Fachstelle des Bundes für Informationssicherheit
Gestützt auf das neue Informationssicherheitsgesetz erstattet die Fachstelle des Bundes für Informationssicherheit dem Bundesrat Bericht über den Stand der Informationssicherheit beim Bund. Diese Aufgabe ist 2024 vom Bundesamt für Cybersicherheit (BACS) an das Staatssekretariat für Sicherheitspolitik (SEPOS) bzw. an die FS BIS übergegangen. Der seit 2018 regelmässig erstellte Bericht wurde dieses Jahr also erstmals von der FS BIS verfasst. Basis war eine strukturierte Umfrage bei den Departementen und der Bundeskanzlei zum Stand ihrer Informationssicherheit sowie die Sicherheitsmeldungen und -berichte der bundesinternen Leistungserbringer.
