Kurzfassung

Die Eidgenössische Finanzkontrolle (EFK) hat in ihrer Prüfung der IKT-Sicherheit beim Staatssekretariat für Sicherheitspolitik (Sepos) erhebliche Defizite in der Cyberabwehr des Bundes identifiziert. Die neue Organisationsstruktur der Informationssicherheit ist zwar etabliert, weist aber noch bedeutende Stabilisierungsmängel auf. Besonders kritisch sind Lücken in der Zusammenarbeit zwischen dem Fachstab Informationssicherheit (FS BIS) und dem Bundesamt für Cybersicherheit (Bacs) bezüglich Vorgaben, Prozessen und der Meldung von Cybervorfällen.

Personen

  • Dajana Dakic (Autorin)

Themen

  • Cybersicherheit
  • Bundessicherheit
  • Organisationsentwicklung
  • IKT-Infrastruktur

Clarus Lead

Die Sicherheitsarchitektur des Bundes steht trotz Reorganisationsmassnahmen unter Druck. Die EFK-Prüfung offenbart, dass kritische Schnittstellen zwischen Bundes-Sicherheitsbehörden nicht optimal funktionieren – ein Risiko in einer Zeit, in der Cyberangriffe auf staatliche Infrastrukturen zunehmen und koordinierte Abwehrmassnahmen essentiell sind. Die Defizite bei Meldeprozessen und verbindlichen Standards deuten auf ein strukturelles Governance-Problem hin, das zeitnahe Behebung verlangt.

Detaillierte Zusammenfassung

Die EFK-Prüfung konzentriert sich auf die Aufgabenerfüllung im Bereich IKT-Sicherheit beim Sepos und bewertet die neue organisatorische Struktur als aufgebaut, aber nicht vollständig konsolidiert. Zentrale Schwachstellen liegen in der Koordination zwischen dem Fachstab Informationssicherheit (FS BIS) und dem Bundesamt für Cybersicherheit (Bacs).

Drei Problemfelder wurden identifiziert: Erstens fehlen einheitliche Vorgaben und Standards, die beide Behörden rechtssicher binden. Zweitens sind Prozessabläufe für die Eskalation und Bearbeitung von Sicherheitsvorfällen nicht ausreichend definiert. Drittens zeigen sich Lücken in der Meldepflicht für Cybervorfälle, was eine kritische Blindstelle in der Lageerkennung darstellt. Diese Koordinationsmängel gefährden die Kohärenz der Bundesabwehr und erschweren eine einheitliche Reaktion auf Bedrohungen.

Kernaussagen

  • Organisationsmängel: Die neu aufgebaute Sicherheitsstruktur des Bundes ist noch nicht vollständig stabilisiert
  • Koordinationsmängel: Lücken zwischen FS BIS und Bacs bei Standards, Prozessen und Meldungen
  • Handlungsbedarf: Dringende Massnahmen zur Harmonisierung von Vorgaben und Eskalationsverfahren erforderlich

Weitere Meldungen

  • Fortibleed-Angriff: Hackerkampagne kompromittiert 74.000 Fortinet-Firewalls weltweit; Sicherheitsforscher sprechen von "erschreckendem" Umfang bei der Offenlegung von Zugangsdaten
  • Polycom-Nachfolger: Vorprojekt für neue Sicherheitskommunikationslösung startet; soll fachliche und finanzielle Grundlagen schaffen
  • BVZ Security Operations Center: Walliser Verkehrs- und Tourismusdienstleister richtet SOC ein

Kritische Fragen

  1. Evidenz: Welche konkreten Cybervorfälle oder Sicherheitsverletzungen hat die EFK dokumentiert, um ihre Kritik an den Meldeprozessen zu belegen?

  2. Datenqualität: Wie vollständig sind die von der EFK analysierten Governance-Unterlagen (Prozessdokumentationen, Richtlinien, Eskalationsprotokolle) und decken diese die gesamte Bundeslandschaft ab?

  3. Interessenskonflikte: Haben FS BIS und Bacs unterschiedliche operative Prioritäten oder Budgetinteressen, die die fehlende Koordination erklären?

  4. Kausalität: Sind die identifizierten Lücken Folge unzureichender Ressourcen, mangelnder Managementvorgaben oder struktureller Kompetenzüberschneidungen?

  5. Umsetzbarkeit: Welche Fristen hat die EFK für die Behebung dieser Mängel gesetzt, und wie werden die Fortschritte gemessen?

  6. Vergleich: Wie schneidet die Schweiz bei dieser Bewertung im Vergleich zu anderen föderalen Staaten (DE, AT) ab?

  7. Risikobewertung: Hat die EFK eine Risikoanalyse durchgeführt, die den Schaden durch diese Koordinationsmängel quantifiziert?

Quellenverzeichnis

Primärquelle: EFK sieht Lücken in der Cyberabwehr des Bundes – Inside IT, 18. Juni 2026

Verifizierungsstatus: ✓ 18. Juni 2026

Weitere Sprachen: Französisch | Englisch

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt. Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 18. Juni 2026