Share on facebook
Share on twitter
Share on linkedin
Share on print

Finanzkontrolle sieht Schwachstellen bei Informatik-Projekt

Share on facebook
Share on twitter
Share on linkedin
Share on print

Das ist ein bezahlter Beitrag mit kommerziellem Charakter. Text und Bild wurden von der Firma Muster AG aus Musterwil zur Verfügung gestellt oder im Auftrag der Muster AG erstellt.

Die Eidgenössische Finanzkontrolle hat beim Informatikprojekt Infostar des Bundes zur elektronischen Erfassung von Zivilstandsdaten Mängel auf mehreren Ebenen festgestellt. So müssten etwa die Sicherheitsdokumente und die Risiko-Analyse aktualisiert werden.

Infostar ist ein zentrales Register für Zivilstandsdaten wie Geburt, Ehe oder Tod, das der Bund seit 2005 bereitstellt, wie die Eidg. Finanzkontrolle (EFK) am Montag bekanntgab. Rund 1200 Benutzerinnen und Benutzer in 142 Zivilstandsämtern sind daran angeschlossen.

Seit vier Jahren läuft ein Projekt zur Modernisierung von Infostar mit einem Investitionsvolumen von rund 23,7 Millionen Franken, das ursprünglich 2023 hätte abgeschlossen werden sollen. Die EFK hat nun untersucht, ob die Informationssicherheit beim Betrieb der aktuellen Anwendung noch gewährleistet ist.

Ferner prüfte sie, ob die Sicherheitslücken mit dem Projekt zur Modernisierung behoben sind, und ob die Zusammenarbeit im Prozess zur Behandlung von Cyberattacken funktioniert. Die Grundlagen seien gelegt dank der Einbettung in die Infrastruktur des Informatik Service Centers des Eidg Justiz- und Polizeidepartements (ISC-EJPD).

Das Projekt Infostar befinde sich seit einigen Monaten in einer schwierigen Phase. Die Personalwechsel seien gross und die Projektleitung nur ad interim besetzt. Die Verantwortlichen seien sich der heiklen Situation bewusst und hätten Sofortmassnahmen ergriffen. Verzögerungen und Kostenüberschreitungen seien absehbar.

Das EFK verzichte auf eine Empfehlung, fordere aber eine verstärkte Integration von Fachpersonen für Sicherheit und Betrieb in die neue Organisation. Die Rollen und Zuständigkeiten seien im ISC-EJPD definiert, das für die Umsetzung des Projektes verantwortlich sei, doch müssten die Leistungsbezüger besser eingebunden werden.

Die Sicherheitsdokumentation sei weitgehend veraltet. Das könne dazu führen, dass die Verantwortlichen die Risiken unterschätzten, denen die Lösung ausgesetzt sei. Eine Risiko-Analyse dränge sich auf.

Kommentar (0)

Schreiben Sie einen Kommentar. Stornieren.

Ihre E-Mail Adresse wird nicht veröffentlicht. Die Pflichtfelder sind mit * markiert.

Meistgelesen