Infostar
10.10.2022, 23:02 Uhr
Finanzkontrolle sieht Schwachstellen bei Informatik-Projekt
Beim Informatikprojekt Infostar des Bundes, bei dem es sich um ein zentrales Register für Zivilstandsdaten handelt, moniert die Eidgenössische Finanzkontrolle Mängel.
(Quelle: Archiv CW)
Die Eidgenössische Finanzkontrolle (EFK) hat beim Informatikprojekt Infostar des Bundes zur elektronischen Erfassung von Zivilstandsdaten Mängel auf mehreren Ebenen festgestellt. So müssten etwa die Sicherheitsdokumente und die Risiko-Analyse aktualisiert werden.
Infostar ist ein zentrales Register für Zivilstandsdaten wie Geburt, Ehe oder Tod, das der Bund seit 2005 bereitstellt, wie die EFK nun bekanntgab. Rund 1200 Benutzerinnen und Benutzer in 142 Zivilstandsämtern sind daran angeschlossen.
Seit vier Jahren läuft ein Projekt zur Modernisierung von Infostar mit einem Investitionsvolumen von rund 23,7 Millionen Franken, das ursprünglich 2023 hätte abgeschlossen werden sollen. Die EFK hat nun untersucht, ob die Informationssicherheit beim Betrieb der aktuellen Anwendung noch gewährleistet ist.
Ferner prüfte sie, ob die Sicherheitslücken mit dem Projekt zur Modernisierung behoben sind, und ob die Zusammenarbeit im Prozess zur Behandlung von Cyberattacken funktioniert. Die Grundlagen seien gelegt dank der Einbettung in die Infrastruktur des Informatik Service Centers des Eidg Justiz- und Polizeidepartements (ISC-EJPD).
Das Projekt Infostar befinde sich seit einigen Monaten in einer schwierigen Phase. Die Personalwechsel seien gross und die Projektleitung nur ad interim besetzt. Die Verantwortlichen seien sich der heiklen Situation bewusst und hätten Sofortmassnahmen ergriffen. Verzögerungen und Kostenüberschreitungen seien absehbar.
Die EFK verzichte auf eine Empfehlung, fordere aber eine verstärkte Integration von Fachpersonen für Sicherheit und Betrieb in die neue Organisation. Die Rollen und Zuständigkeiten seien im ISC-EJPD definiert, das für die Umsetzung des Projektes verantwortlich sei, doch müssten die Leistungsbezüger besser eingebunden werden.
Die Sicherheitsdokumentation sei weitgehend veraltet. Das könne dazu führen, dass die Verantwortlichen die Risiken unterschätzten, denen die Lösung ausgesetzt sei. Eine Risiko-Analyse dränge sich auf.
