Eingereichter Text
Der Bundesrat wird beauftragt, alle erforderlichen Massnahmen zu treffen, damit unsere Armee möglichst unabhängig und möglichst wenig anfällig bleibt für die elektronische Kontrolle, die gewisse ausländische Mächte über unsere Ausrüstung ausüben könnten.
Besonders betroffen sind unsere Kampfflugzeuge. Heutzutage hängt ihre Leistungsfähigkeit stark von den Bordcomputern ab. Viele ihrer Bestandteile stammen von ausländischen Herstellern. Es kann nicht ausgeschlossen werden, dass gewisse Komponenten mit einer versteckten Steuerung versehen sind, die vom Ausland aus aktiviert werden könnte, um das Funktionieren unserer Maschinen zu stören. Das ist in “Schönwetterzeiten” kein Problem. Was geschieht jedoch, wenn es mit dem Land, in dem diese elektronischen Bestandteile hergestellt werden, zu Unstimmigkeiten kommt?
Wir sind im Begriff, uns für ein neues Kampfflugzeug zu entscheiden, um unsere Flotte bis in fünf bis zehn Jahren zu erneuern. Diese Maschinen werden mit Technologie vollgestopft sein; daher ist es ausschlaggebend, zu den herkömmlichen Kriterien (Leistung, Preis usw.) das der digitalen Unabhängigkeit hinzuzufügen.
Der Bundesrat wird aufgefordert, Systeme zu entwickeln, die unsere Unabhängigkeit und den Schutz vor jeglichen ausländischen Störmanövern sicherstellen, insbesondere für die Luftfahrt (Verkehrsleitung, Steuerung, Schiessen usw.), die Flab und unsere militärischen Kommunikationssysteme, die Panzer und alle anderen potenziellen Ziele eines Cyberangriffs.
Der Bundesrat soll zudem untersuchen, wie die digitalen Befehlsketten mit Befehlsketten abgesichert werden können, die dank herkömmlicheren Methoden unabhängig von der digitalen Technik funktionieren. Es geht darum, eine minimale leistungsfähige Verteidigung sicherzustellen für den Fall einer Funktionsstörung der digitalen Kommunikationssysteme.
Begründung
Die Digitalisierung der Armee ist unabwendbar. Diese Entwicklung birgt jedoch ein neues grosses Risiko: eine nicht kontrollierbare Abhängigkeit. Um im Falle eines Cyberangriffs über einen Plan B zu verfügen, haben bereits heute verschiedene Armeen parallel zu ihren ultramodernen, vollständig digitalisierten Systemen wieder Schreibmaschinen und Geräte, die nicht ans Netz angeschlossen sind, eingeführt. Diese Absicherung der Befehlsketten mit konventionellen Geräten soll vom Stab der Armee strategisch vertieft abgeklärt werden.
Dabei geht es um Überlegungen, die all unseren sensiblen militärischen und zivilen Infrastrukturen nützen sollen, einschliesslich der Infrastrukturen wie Spitäler und das Stromnetz. Denn unsere Verteidigung muss als eine Einheit betrachtet werden.
Stellungnahme des Bundesrats vom 22.11.2017
Der Bundesrat teilt die Ansicht des Motionärs bezüglich der – zivilen und militärischen – Gefahren, welche absichtlich in Ausrüstungen integrierte Mechanismen zum Zweck der späteren Kontrollübernahme darstellen können. Die letzten Jahre haben gezeigt, dass diese Gefahr durchaus real ist. Daneben enthalten die Informations- und Kommunikationstechnologien (IKT) auch zahlreiche ungewollte Schwachstellen, die ebenfalls zu unserem Nachteil ausgenützt werden könnten.
Sämtliche Schwachstellen und allfälligen Manipulationsmechanismen aufzuspüren, die unsere Systeme und Infrastrukturen erheblich beeinträchtigen könnten, bedeutete aber einen immensen Aufwand, den kein Land aufbringen kann. Zwischen gewollten und ungewollten Schwachstellen zu unterscheiden, ist so gut wie unmöglich, ebenso die unabhängige Herstellung von Software für alle betroffenen Ausrüstungen, geschweige denn zu garantieren, dass jene Produkte tatsächlich schwachstellenfrei sind. Im Bereich Cyber-Risiken muss folglich eine ganze Palette von Massnahmen umgesetzt werden, um die Gefahren mit den zur Verfügung stehenden Kompetenzen und Mitteln zu erkennen und auf ein akzeptables Niveau zu senken. Diese Massnahmen können technischer, organisatorischer oder operativer Art sein.
Um die Cyber-Risiken zu vermindern, denen die wichtigsten VBS- und Armeesysteme ausgesetzt sind, werden momentan namentlich die folgenden Massnahmen umgesetzt: Redundanzen, Überwachung der Systeme und Infrastrukturen, Aufdecken und Eliminieren von Verwundbarkeiten, Betriebskontinuitätsmanagement (Business Continuity, auf Basis von Eventualplanungen), Schulung und Training für das zivile und das militärische Personal und Sicherheitsmanagement (nach ISO 27000). Mit demDer Bundesrat teilt die Ansicht des Motionärs bezüglich der – zivilen und militärischen – Gefahren, welche absichtlich in Ausrüstungen integrierte Mechanismen zum Zweck der späteren Kontrollübernahme darstellen können. Die letzten Jahre haben gezeigt, dass diese Gefahr durchaus real ist. Daneben enthalten die Informations- und Kommunikationstechnologien (IKT) auch zahlreiche ungewollte Schwachstellen, die ebenfalls zu unserem Nachteil ausgenützt werden könnten.
Sämtliche Schwachstellen und allfälligen Manipulationsmechanismen aufzuspüren, die unsere Systeme und Infrastrukturen erheblich beeinträchtigen könnten, bedeutete aber einen immensen Aufwand, den kein Land aufbringen kann. Zwischen gewollten und ungewollten Schwachstellen zu unterscheiden, ist so gut wie unmöglich, ebenso die unabhängige Herstellung von Software für alle betroffenen Ausrüstungen, geschweige denn zu garantieren, dass jene Produkte tatsächlich schwachstellenfrei sind. Im Bereich Cyber-Risiken muss folglich eine ganze Palette von Massnahmen umgesetzt werden, um die Gefahren mit den zur Verfügung stehenden Kompetenzen und Mitteln zu erkennen und auf ein akzeptables Niveau zu senken. Diese Massnahmen können technischer, organisatorischer oder operativer Art sein.
Um die Cyber-Risiken zu vermindern, denen die wichtigsten VBS- und Armeesysteme ausgesetzt sind, werden momentan namentlich die folgenden Massnahmen umgesetzt: Redundanzen, Überwachung der Systeme und Infrastrukturen, Aufdecken und Eliminieren von Verwundbarkeiten, Betriebskontinuitätsmanagement (Business Continuity, auf Basis von Eventualplanungen), Schulung und Training für das zivile und das militärische Personal und Sicherheitsmanagement (nach ISO 27000). Mit dem Aktionsplan Cyber-Defence (APCD) wird das VBS auch die Berücksichtigung der Cyber-Risiken in Beschaffungsverfahren stärken, ein Aspekt, dem bei der Beschaffung des neuen Kampfflugzeugs im Bericht der Expertengruppe über die Luftverteidigung der Zukunft (Kap. 13.3.5) bereits Rechnung getragen wird. Die erwähnten Massnahmen werden zusätzlich durch eine ständige Informationsbeschaffung durch die Nachrichtendienste gestützt. Das Bundesamt für Bevölkerungsschutz und das Bundesamt für wirtschaftliche Landesversorgung erstellen ausserdem mit den Betreibern kritischer Infrastrukturen Risikoanalysen, um Letztere dabei zu unterstützen, ihre Verteidigung und ihre Widerstandsfähigkeit gegenüber Cyber-Risiken zu stärken.
Die in der Motion aufgeworfenen Fragen sind ein Schlüsselbereich der strategischen Forschung, auf welchen das VBS vor Kurzem seine Aufmerksamkeit gerichtet hat. Dazu wurde in Zusammenarbeit mit Vertreterinnen und Vertretern der Bundesverwaltung, der Wirtschaft und der Hochschulen begonnen, Überlegungen anzustellen. Es ist jedoch noch zu früh, um Schlussfolgerungen zu ziehen, und der Bundesrat vertritt die Ansicht, dass die Vorschläge des Motionärs die Schweiz und die Armee in eine Art technologisches Abenteuer stürzen würden, was unbedachte und nicht bewältigbare Ausgaben mit sich bringen würde. Beim heutigen Kenntnisstand sind die durch das VBS in die Wege geleiteten Arbeiten und der gewählte multifaktorielle Ansatz zur Risikoreduktion angemessen.