Eingereichter Text
In der Diskussion um die IT-Sicherheit kritischer Infrastrukturen sollte der Fokus vermehrt auf Industriespionage liegen. Die voranschreitende Digitalisierung unserer Gesellschaft wird für eine massive Zunahme an sensitiven Daten führen. Unsere Industrien werden mehr und mehr vernetzt und automatisiert. Der entsprechende Datenfluss kann nicht oder nur bedingt kontrolliert werden. Die IT-Infrastruktur dieser Firmen wird dadurch zu einem idealen Angriffspunkt für Industriespionage. Dadurch können Wissen und Innovation und als Konsequenz daraus Arbeitsplätze verloren gehen. Vor diesem Hintergrund und der engen Verzahnung ausländischer Unternehmen mit dem Staat und Militär ihrer Herkunftsländer stellen sich zentrale Fragen, welche unseren Wohlstand und unsere nationale Sicherheit betreffen. Andere Industrienationen, wie Deutschland, USA, Australien und kürzlich auch Japan, verbieten teilweise Anbieter oder Aufkäufe aus einzelnen Ländern. Eine Diskussion wie sich die Schweiz aufgrund dieser Gefahren verhalten sollte, ist dringend angezeigt und entsprechende Massnahmen zu prüfen. Vor diesem Hintergrund erbitte ich den Bundesrat zu folgenden Fragen Stellung zu beziehen:
1. Welche Möglichkeiten hat der Bund auf Basis der heutigen Gesetzgebung, um dem Einfluss ausländischer Anbieter auf die kritische IT-Infrastruktur entgegenzuwirken?
2. Welche zusätzlichen Massnahmen sind gegen die zunehmende Einflussnahme ausländischer Unternehmen auf Teile unserer kritischen IT-Infrastruktur denkbar?
3. Inwiefern sind unsere Festnetz- und Mobilfunkinfrastrukturen vor Wirtschaftskriminalität geschützt, zumal die aktuellen Netzwerkausrüster alles ausländische Anbieter sind?
4. Innerhalb der Revision des Fernmeldegesetzes werden die Mobilfunkanbieter zur Bekämpfung unbefugter Manipulationen von Fernmeldemeldeanlagen verpflichtet. Wie soll die entsprechende Kontrolle sichergestellt werden?
5. Hat er genügend Mittel in der Hand um bei Beschaffungen und Betrieb von kritischen IT-Infrastrukturen die IT-Sicherheit jederzeit zu gewährleisten oder braucht es neue rechtliche Grundlagen dafür?
Stellungnahme des Bundesrats
1. Der Bund kann bei eigenen Beschaffungen gestützt auf die Artikel 3 Absatz 2 Buchstabe a des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB; SR 172.056.1) bei Gefährdung der eigenen Sicherheit den Wettbewerb ausnahmsweise einschränken. Gegenüber privaten und kantonalen Betreibern kritischer Infrastrukturen kann der Bundesrat auf Grund der heutigen Rechtslage keine Vorgaben bezüglich Zulassung ausländischer Anbieter machen.
2. Der Einfluss ausländischer Anbieter auf die IKT-Infrastruktur der Schweiz lässt sich in absehbarer Zeit nicht wesentlich verringern. Für die meisten Produkte fehlen inländische Alternativen. Das Risiko eines Missbrauchs dieses Einflusses lässt sich aber eindämmen. Wichtig ist dabei eine Aufklärung über die vorhandenen Risiken, wie sie durch den Nachrichtendienst des Bundes (NDB) und durch die Melde- und Analysestelle Informationssicherung (MELANI) betrieben wird. Sie stützten sich dabei auf eigene Analysen sowie solche von weiteren Fachstellen des Bundes wie armasuisse oder Führungsunterstützungsbasis FUB, welche in Zusammenarbeit mit Forschung und Industrie das Missbrauchsrisiko von IKT untersuchen und Massnahmen entwickeln, um dieses zu verringern. Denkbar ist auch, für kritische Infrastrukturen Sicherheitsanforderungen über Zertifizierungen und Standardisierungen festzulegen oder die Durchführung von Betriebssicherheitsverfahren für kritische Dienstleistungen zu verlangen.
3. Die Festnetz- und Mobilinfrastruktur selber ist typischerweise nicht das Ziel von Wirtschaftskriminellen, sondern das Mittel, welches sie einsetzen, um Informationen zu stehlen. Das Sicherheitsniveau beim Einsatz von Festnetz- und Mobilinfrastrukturen hängt direkt von der Konfiguration dieser Technologien durch die Anwender ab. Unter entsprechendem Aufwand ist es möglich, ein hohes Schutzniveau zu erreichen. Dabei gilt es, die Sicherheit der verwendeten IKT sorgfältig und eigenständig zu prüfen und sich dabei nicht ausschliesslich auf die Angaben der Anbieter zu verlassen.
4. Mit der Revision des Fernmeldegesetzes (FMG; SR 784.10) wird eine Pflicht sämtlicher Fernmeldeanbieter geschaffen, unberechtigte Manipulationen von Fernmeldeanlagen durch fernmeldetechnische Übertragungen zu bekämpfen. Die Aufsicht obliegt dem Bundesamt für Kommunikation BAKOM. Anbieter sind verpflichtet, diesem alle Auskünfte zu erteilen, die für den Vollzug des Gesetzes notwendig sind. Sollte Anlass zum Verdacht bestehen, dass die Anbieter ihre Anlagen ungenügend gegen unberechtigte Manipulationen durch fernmeldetechnische Übertragungen schützen, würde das BAKOM im Rahmen seiner Aufsichtsbefugnisse einschreiten. Zudem gilt das Fernmeldegeheimnis.
5. Mit dem Informationssicherheitsgesetz (ISG, 17.028) schlägt der Bundesrat neue rechtliche Grundlagen für die Verbesserung der IKT-Sicherheit der bundeseigenen Infrastrukturen vor. Firmen, die kritische Informatikdienstleistungen für den Bund erbringen, sollen einem Betriebssicherheitsverfahren unterstellt werden. In einem solchen kann die Nationalität der Firma als Risikofaktor beurteilt werden. Das ISG bietet keine Grundlage für einen a priori Ausschluss von ausländischen Anbietern, würde aber die Möglichkeit schaffen, deren Vertrauenswürdigkeit und auch die Sicherheit während der Ausführung des Auftrags zu überprüfen. Der Geltungsbereich des ISG bleibt dabei gemäss Gesetzesentwurf grundsätzlich auf Aufträge des Bundes beschränkt, könnte aber nach Art. 2 Abs. 5 des Gesetzesentwurfs durch Spezialgesetzgebung auch auf Aufträge von Betreibern kritischer Infrastrukturen erstreckt werden.