Diese Cybersecurity-Baustellen hat der Bund 2024 angepackt

Die IT der Bundesverwaltung ist 2024 oft angegriffen worden. Die Anzahl der verzeichneten Cyberangriffe bleibe auf hohem Niveau, schreibt die Fachstelle des Bundes für Informationssicherheit (FS BIS) in ihrem Bericht zum vergangenen Jahr.

In der Mitteilung zum Bericht erwähnt die Behörde insbesondere die zahlreichen DDoS-Angriffe im Zusammenhang mit dem Besuch des ukrainischen Präsidenten Wolodymyr Selenskyj am World Economic Forum (WEF) in Davos und während der Konferenz zum Frieden in der Ukraine auf dem Bürgenstock, in deren Zusammenhang es im Sommer 2025 eine internationale Polizeiaktion gab. Des Weiteren verzeichnete die Bundesverwaltung viele Phishing-Angriffe, wie dem Bericht (PDF) zu entnehmen ist. Die bundesinternen Leistungserbringer stellten Phishing-Wellen fest, bei denen beispielsweise verschlüsselte Dateianhänge verwendet wurden. Zudem sei es zu Phishing-Angriffen im Zusammenhang mit Microsoft 365 gekommen, heisst es weiter. Mit der flächendeckenden Einführung von M365 gewinne die Umsetzung von Massnahmen zur Risikominimierung zunehmend an Bedeutung.

Die positive Nachricht der Fachstelle: "Insgesamt ist es 2024 zu keinen schwerwiegenden Vorfällen gekommen, bei denen eine ernsthafte Gefahr für die Informationen oder Informatikmittel der Bundesverwaltung bestand."

Gegen künftige Datenabflüsse

Ein prägendes Thema im Cybersecurity-Jahr 2024 des Bundes war der Cyberangriff auf den Webhoster Xplain. Dieser fand zwar bereits 2023 statt. 2024 habe man ihn jedoch weiter aufgearbeitet sowie Massnahmen umgesetzt, mit denen die Bundesverwaltung Angriffe dieses Ausmasses künftig verhindern will. So starteten etwa die Arbeiten für ein funktionsbezogenes Ausbildungskonzept. Jetzt schon müssen sämtliche Verwaltungseinheiten ihre Mitarbeitenden konsequent bei Stellenantritt in der Informationssicherheit schulen, gefolgt von periodischen Grundschulungen.

Seit dem Xplain-Vorfall seien die Prüfaktivitäten bei Lieferanten des Bundes stark in den Fokus gerückt, schreibt die Fachstelle weiter. Je nach Verwaltungseinheiten würden diese unterschiedlich durchgeführt. Wo 2024 noch keine Prüfaktivitäten erfolgten, seien diese zumindest in der Planung für 2025 ausgewiesen worden, heisst es weiter. Die FS BIS merkt an, dass sie auch selbst dazu befugt ist, Bereiche zu inspizieren, in denen sicherheitsempfindliche Aufträge ausgeführt werden. 2024 seien 104 Kontrollen bei den Betrieben erfolgt. "Im Zuge dieser Kontrollen wurde eine Betriebssicherheitserklärung widerrufen, weil der Betrieb seine Pflichten nach ISG nicht erfüllt hat."

Als weitere Massnahme ergänzten die meisten Verwaltungseinheiten ihr Inventar der Schutzobjekte mit den beteiligten Lieferanten. Die Bundesstellen, die noch kein Lieferantenmanagement führen, forderte die Fachstelle schliesslich auf, "einen Zeithorizont für die Einführung eines solchen zu nennen". Übrigens veröffentlichte der Bund im Frühling 2025 einen separaten Bericht, in welchem er aufzeigt, wie sich Datenabflüsse bei Lieferanten künftig vermeiden lassen.

ISG umsetzen

Auch das Informationssicherheitsgesetz (ISG) trieb die Bundesverwaltung 2024 um. Das Gesetz trat Anfang 2024 in Kraft und schafft einen einheitlichen, verbindlichen Sicherheitsrahmen für alle Bundesbehörden, wie die FS BIS schreibt. Tatsächlich bildet das ISG die gesetzliche Grundlage für die Fachstelle, die ebenfalls Anfang 2024 gegründet wurde. Der Aufbau sei schrittweise erfolgt, durch die Schaffung neuer Stellen und durch die Reorganisation bestehender Stellen des Generalsekretariats des Departements für Verteidigung, Bevölkerungsschutz und Sport. "Der Aufbau der FS BIS war aufgrund der Ressourcensituation herausfordernd", schreibt die Fachstelle. Dadurch seien noch nicht alle Grundlagen zur Umsetzung des ISG vorhanden.

Es bleibt einiges zu tun

Die Bundesverwaltung reagiere aktiv auf die aktuellen und künftigen Herausforderungen im Bereich Informationssicherheit, hält die Fachstelle im abschliessenden Kapitel fest. "Entscheidend für die kommenden Jahre wird sein, die eingeschlagene Professionalisierung konsequent fortzusetzen." Dazu zählt die Fachstelle unter anderem die Förderung von Innovationen im Bereich der Cybersicherheit. Sowie das Intensivieren der Zusammenarbeit sowohl innerhalb der Bundesverwaltung als auch mit externen Partnern.

Weitere Schwerpunkte sind der Aufbau und Betrieb eines ISMS, die Durchführung von Audits bei externen Leistungserbringern und die Planung eines Security Operations Center (SOC) beim Informatik Service Center (ISC-EJPD).

In einem anderen Kapitel räumt die Fachstelle auch Handlungsbedarf im Bereich der Schutzobjekte ein – das können Datensammlungen oder Informatikmittel sein. 2582 solche Objekte gab es 2024 insgesamt. Für 86 Prozent von ihnen gab es gültige Sicherheitsdokumentationen, doch nur 89 Prozent von diesen gültigen Sicherheitsdokumentationen lägen auch in aktueller Form vor, heisst es im Bericht. Im Vergleich zum Vorjahr seien die Erfassung der Schutzobjekte und die Umsetzung der Sicherheitsmassnahmen auf ähnlichem Niveau geblieben. Die JFS BIS findet die ausgewiesenen Zahlen allerdings "insgesamt zu niedrig, was auf Schwierigkeiten hindeutet. Dies führt wiederum dazu, dass die Compliance nicht gewährleistet ist." Auch könne man nicht allgemein sagen, "ob die Qualität der IT-Sicherheitsdokumente ausreichend geprüft und ob diese auch wirklich kritisch hinterfragt wurden. Selbst eine aktuelle Dokumentation garantiert nicht, dass die Sicherheitsmassnahmen entsprechend implementiert und überprüft worden sind."

Im Juli 2025 veröffentlichte die Eidgenössische Finanzkontrolle einen Synthesebericht zur Informations- und Kommunikationstechnologie des Bundes. Sie kommt darin zum Schluss, der Bund schöpfe die Möglichkeiten bei Digitalisierung und Cybersicherheit nicht aus, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.