Im Bun­des­blatt Nr. 15 vom 19. April 2017 wur­den der Ent­wurf und die Bot­schaft des Bun­des­ge­set­zes über die Infor­ma­ti­ons­si­cher­heit (Infor­ma­ti­ons­si­cher­heits­ge­setz, ISG) ver­öf­fent­licht. Das ISG bezweckt, “die siche­re Bear­bei­tung der Infor­ma­tio­nen, für die der Bund zustän­dig ist, sowie den siche­ren Ein­satz der Infor­ma­tik­mit­tel des Bun­des [zu] gewähr­lei­sten.” Es soll die heu­te zer­split­ter­ten Rechts­grund­la­gen in einer Viel­zahl von Erlas­sen erset­zen. Das ISG wird pri­mär auf den Bund anwend­bar sein, beson­ders die Bun­des­ver­wal­tung (aber auch eidg. Gerich­te und Bun­des­ver­samm­lung), aber auch auf kan­to­na­le Behör­den, wenn die­se klas­si­fi­zier­te Infor­ma­tio­nen des Bun­des bear­bei­ten oder auf sei­ne Infor­ma­tik­mit­tel zugreifen.

Zur Gewähr­lei­stung der Infor­ma­ti­ons­si­cher­heit sieht das ISG zunächst “all­ge­mei­ne Mass­nah­men” auf meh­re­ren Stu­fen vor:

  1. Die ver­pflich­te­ten Orga­ni­sa­tio­nen sind zunächst gene­rell ver­pflich­tet, die Infor­ma­ti­ons­si­cher­heit zu gewähr­lei­sten, ins­be­son­de­re also für die Ver­trau­lich­keit, die Ver­für­bar­keit und die Inte­gri­tät der Infor­ma­tio­nen in ihrem Zustän­dig­keits­be­reich und für die Nach­voll­zieh­bar­keit ihrer Bearbeitung.
  2. Fer­ner sind Infor­ma­tio­nen zu klas­si­fi­zie­ren und ent­spre­chend ihrer Klas­si­fi­zie­rung nur berech­tig­ten Behör­den zugäng­lich zu machen.
  3. Die Infor­ma­ti­ons­si­cher­heit beim Ein­satz von Infor­ma­tik­mit­teln zu gewähr­lei­sten. Dafür defi­niert das ISG Sicher­heits­stu­fen (“Grund­schutz”, “hoher Schutz” und “sehr hoher Schutz”) und gibt den ver­pflich­te­ten Behör­den vor, ent­spre­chen­de abge­stuf­te Min­dest­an­for­de­run­gen vorzusehen.
  4. Beim Per­so­nal­ein­satz müs­sen Aus­wahl, Iden­ti­fi­ka­ti­on, Aus- und Wei­ter­bil­dung und Ver­pflich­tung auf die Geheim­hal­tung ent­spre­chend gere­gelt wer­den, und es ist all­ge­mein ein “need-to-know-Prin­zip” einzuhalten.
  5. Zum Schutz von Infor­ma­tio­nen und Infor­ma­tik­mit­teln ist der phy­si­sche Schutz sicherzustellen.
  6. Iden­ti­täts­ver­wal­tungs­sy­ste­me (zen­tra­le Ver­wal­tung der Per­so­nen­iden­ti­fi­zie­rung) wer­den geregelt.

Detail­lier­te Vor­schrif­ten gel­ten sodann für Per­so­nen­si­cher­heits­prü­fun­gen (die heu­te im BWIS gere­gelt wer­den), für das Betriebs­si­cher­heits­ver­fah­ren (d.h. eine Prü­fung von Drit­ten, die für die Erfül­lung öffent­li­cher Auf­trä­ge in Betracht kom­men und dabei eine sicher­heits­emp­find­li­che Tätig­keit aus­üben wür­den; sog. “sicher­heits­emp­find­li­che Auf­trä­ge”; eine sol­che Prü­fung ist heu­te erst für mili­tä­ri­sche Beschaf­fun­gen eta­bliert) und für kri­ti­sche Infra­struk­tu­ren.

AI-generierte Takeaways können falsch sein.