Inter­pel­la­ti­on Was­ser­fal­len (18.4197): IT-Sicher­heit kri­ti­scher Infra­struk­tu­ren – Wel­che Mit­tel und Mass­nah­men ergreift der Bun­des­rat?

Eingereichter Text

In der Dis­kus­si­on um die IT-Sicher­heit kri­ti­scher Infra­struk­tu­ren soll­te der Fokus ver­mehrt auf Indu­strie­spio­na­ge lie­gen. Die vor­an­schrei­ten­de Digi­ta­li­sie­rung unse­rer Gesell­schaft wird für eine mas­si­ve Zunah­me an sen­si­ti­ven Daten füh­ren. Unse­re Indu­stri­en wer­den mehr und mehr ver­netzt und auto­ma­ti­siert. Der ent­spre­chen­de Daten­fluss kann nicht oder nur bedingt kon­trol­liert wer­den. Die IT-Infra­struk­tur die­ser Fir­men wird dadurch zu einem idea­len Angriffs­punkt für Indu­strie­spio­na­ge. Dadurch kön­nen Wis­sen und Inno­va­ti­on und als Kon­se­quenz dar­aus Arbeits­plät­ze ver­lo­ren gehen. Vor die­sem Hin­ter­grund und der engen Ver­zah­nung aus­län­di­scher Unter­neh­men mit dem Staat und Mili­tär ihrer Her­kunfts­län­der stel­len sich zen­tra­le Fra­gen, wel­che unse­ren Wohl­stand und unse­re natio­na­le Sicher­heit betref­fen. Ande­re Indu­strie­na­tio­nen, wie Deutsch­land, USA, Austra­li­en und kürz­lich auch Japan, ver­bie­ten teil­wei­se Anbie­ter oder Auf­käu­fe aus ein­zel­nen Län­dern. Eine Dis­kus­si­on wie sich die Schweiz auf­grund die­ser Gefah­ren ver­hal­ten soll­te, ist drin­gend ange­zeigt und ent­spre­chen­de Mass­nah­men zu prü­fen. Vor die­sem Hin­ter­grund erbit­te ich den Bun­des­rat zu fol­gen­den Fra­gen Stel­lung zu bezie­hen:

1. Wel­che Mög­lich­kei­ten hat der Bund auf Basis der heu­ti­gen Gesetz­ge­bung, um dem Ein­fluss aus­län­di­scher Anbie­ter auf die kri­ti­sche IT-Infra­struk­tur ent­ge­gen­zu­wir­ken?

2. Wel­che zusätz­li­chen Mass­nah­men sind gegen die zuneh­men­de Ein­fluss­nah­me aus­län­di­scher Unter­neh­men auf Tei­le unse­rer kri­ti­schen IT-Infra­struk­tur denk­bar?

3. Inwie­fern sind unse­re Fest­netz- und Mobil­funk­in­fra­struk­tu­ren vor Wirt­schafts­kri­mi­na­li­tät geschützt, zumal die aktu­el­len Netz­werk­aus­rü­ster alles aus­län­di­sche Anbie­ter sind?

4. Inner­halb der Revi­si­on des Fern­mel­de­ge­set­zes wer­den die Mobil­funk­an­bie­ter zur Bekämp­fung unbe­fug­ter Mani­pu­la­tio­nen von Fern­mel­de­mel­de­an­la­gen ver­pflich­tet. Wie soll die ent­spre­chen­de Kon­trol­le sicher­ge­stellt wer­den?

5. Hat er genü­gend Mit­tel in der Hand um bei Beschaf­fun­gen und Betrieb von kri­ti­schen IT-Infra­struk­tu­ren die IT-Sicher­heit jeder­zeit zu gewähr­lei­sten oder braucht es neue recht­li­che Grund­la­gen dafür?

Stellungnahme des Bundesrats

1. Der Bund kann bei eige­nen Beschaf­fun­gen gestützt auf die Arti­kel 3 Absatz 2 Buch­sta­be a des Bun­des­ge­set­zes über das öffent­li­che Beschaf­fungs­we­sen (BöB; SR 172.056.1) bei Gefähr­dung der eige­nen Sicher­heit den Wett­be­werb aus­nahms­wei­se ein­schrän­ken. Gegen­über pri­va­ten und kan­to­na­len Betrei­bern kri­ti­scher Infra­struk­tu­ren kann der Bun­des­rat auf Grund der heu­ti­gen Rechts­la­ge kei­ne Vor­ga­ben bezüg­lich Zulas­sung aus­län­di­scher Anbie­ter machen.

2. Der Ein­fluss aus­län­di­scher Anbie­ter auf die IKT-Infra­struk­tur der Schweiz lässt sich in abseh­ba­rer Zeit nicht wesent­lich ver­rin­gern. Für die mei­sten Pro­duk­te feh­len inlän­di­sche Alter­na­ti­ven. Das Risi­ko eines Miss­brauchs die­ses Ein­flus­ses lässt sich aber ein­däm­men. Wich­tig ist dabei eine Auf­klä­rung über die vor­han­de­nen Risi­ken, wie sie durch den Nach­rich­ten­dienst des Bun­des (NDB) und durch die Mel­de- und Ana­ly­se­stel­le Infor­ma­ti­ons­si­che­rung (MELANI) betrie­ben wird. Sie stütz­ten sich dabei auf eige­ne Ana­ly­sen sowie sol­che von wei­te­ren Fach­stel­len des Bun­des wie arma­su­is­se oder Füh­rungs­un­ter­stüt­zungs­ba­sis FUB, wel­che in Zusam­men­ar­beit mit For­schung und Indu­strie das Miss­brauchs­ri­si­ko von IKT unter­su­chen und Mass­nah­men ent­wickeln, um die­ses zu ver­rin­gern. Denk­bar ist auch, für kri­ti­sche Infra­struk­tu­ren Sicher­heits­an­for­de­run­gen über Zer­ti­fi­zie­run­gen und Stan­dar­di­sie­run­gen fest­zu­le­gen oder die Durch­füh­rung von Betriebs­si­cher­heits­ver­fah­ren für kri­ti­sche Dienst­lei­stun­gen zu ver­lan­gen.

3. Die Fest­netz- und Mobil­in­fra­struk­tur sel­ber ist typi­scher­wei­se nicht das Ziel von Wirt­schafts­kri­mi­nel­len, son­dern das Mit­tel, wel­ches sie ein­set­zen, um Infor­ma­tio­nen zu steh­len. Das Sicher­heits­ni­veau beim Ein­satz von Fest­netz- und Mobil­in­fra­struk­tu­ren hängt direkt von der Kon­fi­gu­ra­ti­on die­ser Tech­no­lo­gi­en durch die Anwen­der ab. Unter ent­spre­chen­dem Auf­wand ist es mög­lich, ein hohes Schutz­ni­veau zu errei­chen. Dabei gilt es, die Sicher­heit der ver­wen­de­ten IKT sorg­fäl­tig und eigen­stän­dig zu prü­fen und sich dabei nicht aus­schliess­lich auf die Anga­ben der Anbie­ter zu ver­las­sen.

4. Mit der Revi­si­on des Fern­mel­de­ge­set­zes (FMG; SR 784.10) wird eine Pflicht sämt­li­cher Fern­mel­de­an­bie­ter geschaf­fen, unbe­rech­tig­te Mani­pu­la­tio­nen von Fern­mel­de­an­la­gen durch fern­mel­de­tech­ni­sche Über­tra­gun­gen zu bekämp­fen. Die Auf­sicht obliegt dem Bun­des­amt für Kom­mu­ni­ka­ti­on BAKOM. Anbie­ter sind ver­pflich­tet, die­sem alle Aus­künf­te zu ertei­len, die für den Voll­zug des Geset­zes not­wen­dig sind. Soll­te Anlass zum Ver­dacht bestehen, dass die Anbie­ter ihre Anla­gen unge­nü­gend gegen unbe­rech­tig­te Mani­pu­la­tio­nen durch fern­mel­de­tech­ni­sche Über­tra­gun­gen schüt­zen, wür­de das BAKOM im Rah­men sei­ner Auf­sichts­be­fug­nis­se ein­schrei­ten. Zudem gilt das Fern­mel­de­ge­heim­nis.

5. Mit dem Infor­ma­ti­ons­si­cher­heits­ge­setz (ISG, 17.028) schlägt der Bun­des­rat neue recht­li­che Grund­la­gen für die Ver­bes­se­rung der IKT-Sicher­heit der bun­des­ei­ge­nen Infra­struk­tu­ren vor. Fir­men, die kri­ti­sche Infor­ma­tik­dienst­lei­stun­gen für den Bund erbrin­gen, sol­len einem Betriebs­si­cher­heits­ver­fah­ren unter­stellt wer­den. In einem sol­chen kann die Natio­na­li­tät der Fir­ma als Risi­ko­fak­tor beur­teilt wer­den. Das ISG bie­tet kei­ne Grund­la­ge für einen a prio­ri Aus­schluss von aus­län­di­schen Anbie­tern, wür­de aber die Mög­lich­keit schaf­fen, deren Ver­trau­ens­wür­dig­keit und auch die Sicher­heit wäh­rend der Aus­füh­rung des Auf­trags zu über­prü­fen. Der Gel­tungs­be­reich des ISG bleibt dabei gemäss Geset­zes­ent­wurf grund­sätz­lich auf Auf­trä­ge des Bun­des beschränkt, könn­te aber nach Art. 2 Abs. 5 des Geset­zes­ent­wurfs durch Spe­zi­al­ge­setz­ge­bung auch auf Auf­trä­ge von Betrei­bern kri­ti­scher Infra­struk­tu­ren erstreckt wer­den.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.