DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
So sieht ein Drucker im Bundeshaus aus. Daneben: ganz viel Papier.
So sieht ein Drucker im Bundeshaus aus. Daneben: ganz viel Papier.Bild: Keystone

Brisanter Bericht zeigt: Parlaments-IT war löchrig wie ein Käse

Die digitale Infrastruktur des Bundesparlaments war unzureichend gesichert. Ein Untersuchungsbericht zeigt nun: Es gab auch andere Probleme.
22.03.2022, 05:4623.03.2022, 09:41

Die Pandemie hat es bereits aufgezeigt: Die Schweiz hat grosse Probleme damit, den Staat und die öffentlichen Bereiche zu digitalisieren. Die Berichte über gefaxte Covid-Infektionen oder die fatalen Pannen beim Impfbüchlein lieferten bereits gute Beispiel dafür. Ein Untersuchungsbericht der Eidgenössischen Finanzkontrolle (EFK) legt nun ein Beispiel obendrauf, das viele Fragen aufwirft.

Es geht diesmal um die Institution, die eigentlich den gesetzlichen Rahmen für eine ideale Digitalisierung bestimmen könnte: das eidgenössische Parlament selbst. Genauer gesagt um die beiden Digitalprojekte «CuriaPlus» und «Cervin», die im Arbeitsalltag der Parlamentarierinnen und Parlamentarier eine zentrale Rolle spielen – dazu aber später mehr.

Die Finanzkontrolle untersuchte, wie die beiden Systeme aufgestellt sind und verfasste einen 55-seitigen Bericht unter der Kennziffer EFK-21310. Das Urteil darin ist vernichtend.

Was wurde untersucht?

Parlamente wie jenes in der Schweiz produzieren enorm viele Dokumente: Alles, was gefordert, diskutiert oder beschlossen wird, muss irgendwie in einer Form verschriftlicht werden. 2016 entschieden sich National- und Ständerat, ihre Arbeit mit neuen Lösungen zu digitalisieren. Volksvertreter sollten künftig alle Vorstösse digital einreichen, unterschreiben oder unterstützen können. Die notwendigen Protokolle dafür sollen digital abgelegt und und verwaltet werden können.

Im Parlament wird viel Altpapier produziert.
Im Parlament wird viel Altpapier produziert.Bild: Keystone

Dieses Mammutprojekt trägt den Namen «CuriaPlus» bzw. «Cervin». Es sind zwei Systeme, die aufeinander aufbauen und seit 2019 nach und nach das veraltete «Parlnet» ersetzt.

Die gute Nachricht: Soweit es einige angefragte Nationalrätinnen beurteilen können, scheint das System sogar zu funktionieren. Der Grundtenor ist: Es sei noch nicht fertig, aber ja, man wisse, dass es das gibt … und es sei nicht schlecht.

Die schlechte Nachricht: Nur hätte es nie hochgefahren werden dürfen. Nicht bloss, weil irgendein bestimmter bürokratischer Paragraph nicht eingehalten wurde. Die Probleme sind gravierender.

Was ist das Problem?

Der Bericht verrät, dass bereits vor Inbetriebnahme interne Warnungen ausgesprochen wurden. Der Qualitätsmanager soll dem Projektleiter «wenige Tage vor der Freigabe der Produktivsetzung» in einem Mail folgendes geschrieben haben:

  • Die Inbetriebnahme sei «höchst riskant».
  • Die Anwendung sei «unvollständig getestet, nicht abgenommen und mehrere notwendige Konzepte für die produktive Einführung würden fehlen».

Trotz der deutlichen Warnung erteilte auch er das «grüne Licht» für die Aufschaltung der Systeme. Im Bericht lesen wir, dass da ein gewisser Druck mitentscheidend war – so nach dem Motto: Wenn ein derart wichtiges System online ist, dann helfe der Druck, anstehende Probleme zu lösen. Die geschilderten Probleme waren aber kritisch: So fehlten wichtige Konzepte im Bereich der Userverwaltung, des Monitorings und Loggings sowie für Backup- und Recovery-Lösungen.

Diese Instrumente haben eine grosse Bedeutung in der Abwehr und Erkennung von Cyberangriffen. Fehlen diese, so sind verschiedene Angriffe auf die digitale Infrastruktur des Parlaments möglich: So hätte zeitweise eine unberechtigte Person die Rechte einer Nationalrätin oder eines Ständerats «imitieren» können – sprich: vertrauliche Dokumente oder geheime Protokolle lesen. Oder in den Worten der Finanzkontrolle: «Man kann sehen, was er sehen darf, die Daten herunterladen, die er herunterladen darf oder in seinem Namen Informationen anpassen, ändern und löschen.»

«Es lässt sich daher nicht eruieren, ob Cervin/Parlnet seit Inbetriebnahme Ende 2019 angegriffen wurde.»
Finanzkontrolle

Ob solche Sicherheitslücken missbraucht wurden, kann nicht gesagt werden. Systeme, die solche Sicherheitsvorfälle und Unregelmässigkeiten hätten identifizieren können, wurden schlicht nicht eingebaut. Es ist nicht einmal überprüfbar, ob irgendein übermotivierter Administrator sich als Jux die Macht eines Parlamentariers gab. Die Finanzkontrolle rüffelt diese Probleme als «besonders kritisch» und «nicht akzeptabel».

Hier funktioniert die Digitalisierung: In der Wandelhalle wird eine Nationalratsdebatte gestreamt.
Hier funktioniert die Digitalisierung: In der Wandelhalle wird eine Nationalratsdebatte gestreamt.Bild: KEYSTONE

Wie war das möglich?

Verhindert hätten solche Pannen durch ein sinnvolles Informationssicherheits- und Datenschutzkonzept werden können. Doch auch dieses fehlte bzw. war derart vage formuliert, dass sogar offensichtlichste Angriffsziele unerwähnt blieben:

  • Wie verhindern wir das automatische Herunterladen von geheimen Dokumenten?
  • Wie verhindern wir mutwillige oder ungewollte Veränderungen von Daten eines Parlamentsmitglieds?
  • Was muss gegen Denial-of-Service-Attacken getan werden, damit niemand die ganze Parlaments-Infrastruktur lahmlegen kann?

Zu all diesen Fragen fehlten Massnahmen. Rückblickend betrachtet ist deshalb der Skandal um die Parlamentsdigitalisierung nicht überraschend: Was nicht vereinbart wurde, konnte auch nicht angeboten werden.

Als wäre das nicht genug, dokumentierte die Prüfung der Finanzkontrolle «menschliche» Probleme: So wünschte der Projektleiter keine direkten Kontakte zwischen den im Projekt involvierten Parteien. Sie seien nicht notwendig, verfrüht oder ineffizient. Seine Lösung, dass jegliche Kommunikation über ihn läuft, erwies sich jedoch als nicht praktikabel.

Wie gross ist der Schaden?

Die Frage kann nicht leicht beantwortet werden: Einerseits kann gar nichts darüber gesagt werden, ob die Parlaments-IT real angegriffen wurde. Andererseits ist die Digitalisierung des Bundeshauses noch nicht abgeschlossen. Die Finanzkontrolle warf deshalb auch die Frage auf, ob das Projekt überhaupt noch fortgeführt werden soll.

Die Parlamentsdienste halten jedoch nichts davon: Sie halten am CuriaPlus-Projekt fest und versprechen Besserung. Man wolle bis im März 2022 eine «Architekturbereinigung» machen und danach die Parlaments-IT nochmals auf allfällige Probleme überprüfen. Oder in den Worten der Parlamentsdienste: «Nach einer herausfordernden Anfangsphase schreitet die Realisierung nun zügig voran. Der vorgesehene Einführungszeitpunkt im 2023 wird nach heutigem Stand eingehalten, die Kosten ebenfalls.»

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Sieben eindrückliche Hacker-Attacken

1 / 10
Sieben eindrückliche Hacker-Attacken
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Daten-Schlamassel bei Facebook – 30'000 Schweizer betroffen

Video: srf

Abonniere unseren Newsletter

43 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Fastadi
22.03.2022 06:51registriert September 2015
Was brauchts um IT-Projektleiter beim Bund zu werden? Abgeschlossener Kindergarten?
8413
Melden
Zum Kommentar
avatar
insert_brain_here
22.03.2022 07:57registriert Oktober 2019
Als jemand der in einem IT-Projekt des Bundesamtes für Informatik involviert war hatte ich beim lesen des Artikels etwa ein Dutzend déjà-vu-Momente.
Ich kann die besorgten Leser jedoch beruhigen, im Normalfall werden da personelle Konsequenzen gezogen. Die miesen Verräter die die ganzen Schwachstellen und Pannen ausgeplaudert haben werden dafür büssen!
767
Melden
Zum Kommentar
avatar
Rethinking
22.03.2022 07:11registriert Oktober 2018
Solange von Oben unrealistische Erwartungen und Druck kommen, wird sich nie etwas daran ändern…

Solche Probleme sind systemisch bedingt…

Solange Manager die keine Ahnung haben resp. sich selbst und ihre Karriere in ein gutes Licht stellen, statt nachhaltige, qualitative Lösungen bauen zu wollen (Engineerkultur), wird der Fokus immer auf Schnelligkeit statt Qualität und auf Temporäre statt nachhaltige Lösungen gesetzt…
497
Melden
Zum Kommentar
43
Swiss Life hat in der ersten Jahreshälfte den Reingewinn gesteigert

Die Swiss Life ist gut in die neue Strategiephase gestartet, die noch bis Ende 2024 läuft. In der ersten Jahreshälfte 2022 hat die Gruppe solide, über dem Vorjahr liegende Ergebnisse erzielt. Dabei wurde das profitable Wachstum im Gebührengeschäft weiter vorangetrieben.

Zur Story