Die Pandemie hat es bereits aufgezeigt: Die Schweiz hat grosse Probleme damit, den Staat und die öffentlichen Bereiche zu digitalisieren. Die Berichte über gefaxte Covid-Infektionen oder die fatalen Pannen beim Impfbüchlein lieferten bereits gute Beispiel dafür. Ein Untersuchungsbericht der Eidgenössischen Finanzkontrolle (EFK) legt nun ein Beispiel obendrauf, das viele Fragen aufwirft.
Es geht diesmal um die Institution, die eigentlich den gesetzlichen Rahmen für eine ideale Digitalisierung bestimmen könnte: das eidgenössische Parlament selbst. Genauer gesagt um die beiden Digitalprojekte «CuriaPlus» und «Cervin», die im Arbeitsalltag der Parlamentarierinnen und Parlamentarier eine zentrale Rolle spielen – dazu aber später mehr.
Die Finanzkontrolle untersuchte, wie die beiden Systeme aufgestellt sind und verfasste einen 55-seitigen Bericht unter der Kennziffer EFK-21310. Das Urteil darin ist vernichtend.
Parlamente wie jenes in der Schweiz produzieren enorm viele Dokumente: Alles, was gefordert, diskutiert oder beschlossen wird, muss irgendwie in einer Form verschriftlicht werden. 2016 entschieden sich National- und Ständerat, ihre Arbeit mit neuen Lösungen zu digitalisieren. Volksvertreter sollten künftig alle Vorstösse digital einreichen, unterschreiben oder unterstützen können. Die notwendigen Protokolle dafür sollen digital abgelegt und und verwaltet werden können.
Dieses Mammutprojekt trägt den Namen «CuriaPlus» bzw. «Cervin». Es sind zwei Systeme, die aufeinander aufbauen und seit 2019 nach und nach das veraltete «Parlnet» ersetzt.
Die gute Nachricht: Soweit es einige angefragte Nationalrätinnen beurteilen können, scheint das System sogar zu funktionieren. Der Grundtenor ist: Es sei noch nicht fertig, aber ja, man wisse, dass es das gibt … und es sei nicht schlecht.
Die schlechte Nachricht: Nur hätte es nie hochgefahren werden dürfen. Nicht bloss, weil irgendein bestimmter bürokratischer Paragraph nicht eingehalten wurde. Die Probleme sind gravierender.
Der Bericht verrät, dass bereits vor Inbetriebnahme interne Warnungen ausgesprochen wurden. Der Qualitätsmanager soll dem Projektleiter «wenige Tage vor der Freigabe der Produktivsetzung» in einem Mail folgendes geschrieben haben:
Trotz der deutlichen Warnung erteilte auch er das «grüne Licht» für die Aufschaltung der Systeme. Im Bericht lesen wir, dass da ein gewisser Druck mitentscheidend war – so nach dem Motto: Wenn ein derart wichtiges System online ist, dann helfe der Druck, anstehende Probleme zu lösen. Die geschilderten Probleme waren aber kritisch: So fehlten wichtige Konzepte im Bereich der Userverwaltung, des Monitorings und Loggings sowie für Backup- und Recovery-Lösungen.
Diese Instrumente haben eine grosse Bedeutung in der Abwehr und Erkennung von Cyberangriffen. Fehlen diese, so sind verschiedene Angriffe auf die digitale Infrastruktur des Parlaments möglich: So hätte zeitweise eine unberechtigte Person die Rechte einer Nationalrätin oder eines Ständerats «imitieren» können – sprich: vertrauliche Dokumente oder geheime Protokolle lesen. Oder in den Worten der Finanzkontrolle: «Man kann sehen, was er sehen darf, die Daten herunterladen, die er herunterladen darf oder in seinem Namen Informationen anpassen, ändern und löschen.»
Ob solche Sicherheitslücken missbraucht wurden, kann nicht gesagt werden. Systeme, die solche Sicherheitsvorfälle und Unregelmässigkeiten hätten identifizieren können, wurden schlicht nicht eingebaut. Es ist nicht einmal überprüfbar, ob irgendein übermotivierter Administrator sich als Jux die Macht eines Parlamentariers gab. Die Finanzkontrolle rüffelt diese Probleme als «besonders kritisch» und «nicht akzeptabel».
Verhindert hätten solche Pannen durch ein sinnvolles Informationssicherheits- und Datenschutzkonzept werden können. Doch auch dieses fehlte bzw. war derart vage formuliert, dass sogar offensichtlichste Angriffsziele unerwähnt blieben:
Zu all diesen Fragen fehlten Massnahmen. Rückblickend betrachtet ist deshalb der Skandal um die Parlamentsdigitalisierung nicht überraschend: Was nicht vereinbart wurde, konnte auch nicht angeboten werden.
Als wäre das nicht genug, dokumentierte die Prüfung der Finanzkontrolle «menschliche» Probleme: So wünschte der Projektleiter keine direkten Kontakte zwischen den im Projekt involvierten Parteien. Sie seien nicht notwendig, verfrüht oder ineffizient. Seine Lösung, dass jegliche Kommunikation über ihn läuft, erwies sich jedoch als nicht praktikabel.
Die Frage kann nicht leicht beantwortet werden: Einerseits kann gar nichts darüber gesagt werden, ob die Parlaments-IT real angegriffen wurde. Andererseits ist die Digitalisierung des Bundeshauses noch nicht abgeschlossen. Die Finanzkontrolle warf deshalb auch die Frage auf, ob das Projekt überhaupt noch fortgeführt werden soll.
Die Parlamentsdienste halten jedoch nichts davon: Sie halten am CuriaPlus-Projekt fest und versprechen Besserung. Man wolle bis im März 2022 eine «Architekturbereinigung» machen und danach die Parlaments-IT nochmals auf allfällige Probleme überprüfen. Oder in den Worten der Parlamentsdienste: «Nach einer herausfordernden Anfangsphase schreitet die Realisierung nun zügig voran. Der vorgesehene Einführungszeitpunkt im 2023 wird nach heutigem Stand eingehalten, die Kosten ebenfalls.»
Ich kann die besorgten Leser jedoch beruhigen, im Normalfall werden da personelle Konsequenzen gezogen. Die miesen Verräter die die ganzen Schwachstellen und Pannen ausgeplaudert haben werden dafür büssen!
Solche Probleme sind systemisch bedingt…
Solange Manager die keine Ahnung haben resp. sich selbst und ihre Karriere in ein gutes Licht stellen, statt nachhaltige, qualitative Lösungen bauen zu wollen (Engineerkultur), wird der Fokus immer auf Schnelligkeit statt Qualität und auf Temporäre statt nachhaltige Lösungen gesetzt…