Moti­on Eichen­ber­ger-Walt­her (16.3186): Aus­tausch tech­ni­scher Informationen
Im Rat noch nicht behan­delt. Der Bun­des­rat bean­tragt die Ableh­nung der Motion.

Ein­ge­reich­ter Text

Der Bun­des­rat wird ein­ge­la­den, im Zusam­men­hang mit der nach fünf Jah­ren (im Som­mer 2017) vor­zu­le­gen­den Über­prü­fung der “Natio­na­len Stra­te­gie zum Schutz der Schweiz vor Cyber-Risi­ken (NCS)” auf­zu­zei­gen, wie Daten­schutz, Daten­si­cher­heit und die Bekämp­fung von Cyber­at­tacken (Kri­mi­na­li­tät, Spio­na­ge, Dieb­stahl gei­sti­gen Eigen­tums) recht­lich von­ein­an­der klar abge­grenzt wer­den, so dass Daten geschützt wer­den, der Aus­tausch tech­ni­scher Infor­ma­tio­nen aber ermög­licht wird. Für den Aus­tausch tech­ni­scher Infor­ma­tio­nen ist eine Rechts­grund­la­ge zu schaffen.

Begrün­dung

Ange­sichts der Sen­si­ti­vi­tät der Daten der Opfer von Cyber­at­tacken und der tech­ni­schen Kom­ple­xi­tät schei­nen eine kla­re Abgren­zung der The­men Daten­schutz, Daten­si­cher­heit und Bewäl­ti­gung von Cyber­at­tacken drin­gend, eben­so wie die dar­auf auf­bau­en­de Rechts­grund­la­ge, die den Aus­tausch tech­ni­scher Infor­ma­tio­nen unter kla­ren Bedin­gun­gen erlaubt. 

Stel­lung­nah­me des Bundesrats

Die recht­li­chen Rah­men­be­din­gun­gen sind die folgenden:

Im Rah­men einer lau­fen­den Straf­un­ter­su­chung setzt die Straf­pro­zess­ord­nung den Rah­men der Geheim­hal­tung bzw. der Öffent­lich­keit des Verfahrens.

Soweit Infor­ma­tio­nen aus nach­rich­ten­dienst­li­chen Quel­len anfal­len, wird dies im neu­en Nach­rich­ten­dienst­ge­setz gere­gelt wer­den (dage­gen ist aller­dings das Refe­ren­dum zustan­de gekommen).

Tech­ni­sche Infor­ma­tio­nen, die im Zusam­men­hang mit Cyber­at­tacken bear­bei­tet wer­den, stel­len in der Regel kei­ne Per­so­nen­da­ten dar; es fehlt in die­sen Fäl­len am Per­so­nen­be­zug. Aus­ge­nom­men davon sind Infor­ma­tio­nen, die Rück­schlüs­se auf betrof­fe­ne Per­so­nen oder Fir­men erlau­ben. Damit fal­len tech­ni­sche Infor­ma­tio­nen grund­sätz­lich nicht in den Anwen­dungs­be­reich des Daten­schutz­ge­set­zes (Bun­des­ge­setz vom 19. Juni 1992 über den Daten­schutz, DSG; SR 235.1). Folg­lich gibt es hier kei­nen Abgren­zungs- oder (zusätz­li­chen) Schutz­be­darf; das Risi­ko einer Per­sön­lich­keits­ver­let­zung ist in die­sen Fäl­len äusserst gering.

(Personen-)Daten von Opfern von Cyber­at­tacken gel­ten bereits unter dem Regime des heu­ti­gen DSG als beson­ders schüt­zens­wer­te Per­so­nen­da­ten (sofern sie sich auf admi­ni­stra­ti­ve oder [nicht hän­gi­ge] straf­recht­li­che Sanktionen/Verfolgungen bezie­hen); sie wer­den einem erhöh­ten tech­ni­schen und orga­ni­sa­to­ri­schen Schutz unter­zo­gen, der aus­rei­chend ist.

Der Bun­des­rat inter­pre­tiert die Moti­on nun dahin­ge­hend, dass es mög­lich sein sol­le, tech­ni­sche Infor­ma­tio­nen im Sin­ne der Prä­ven­ti­on zwi­schen dem Staat und der Pri­vat­wirt­schaft auszutauschen.

Im Bereich der kri­ti­schen Infra­struk­tu­ren exi­stiert seit 2004 eine öffent­lich-pri­va­te Part­ner­schaft zwi­schen dem Staat und der Pri­vat­wirt­schaft, die Mel­de- und Ana­ly­se­stel­le Infor­ma­ti­ons­si­che­rung MELANI. In MELANI arbei­ten Part­ner zusam­men, wel­che im Umfeld der Sicher­heit von Com­pu­ter­sy­ste­men und des Inter­nets sowie des Schut­zes der schwei­ze­ri­schen kri­ti­schen Infra­struk­tu­ren tätig sind. Eine sol­che Zusam­men­ar­beit bedingt ein hohes Mass an Ver­trau­en, damit Infor­ma­tio­nen zwi­schen den Part­nern aus­ge­tauscht werden.

Ein wich­ti­ges Kri­te­ri­um hier­bei ist, dass der Infor­ma­ti­ons­lie­fe­rant sei­ne Infor­ma­tio­nen heu­te nach einem ver­ein­bar­ten System klas­si­fi­ziert. Sind die­se Infor­ma­tio­nen ver­trau­lich oder sogar geheim klas­si­fi­ziert, so ver­traut er dem Staat, dass die­se nicht wei­ter­ge­ge­ben wer­den. Dies betrifft auch tech­ni­sche Infor­ma­tio­nen, da es oft mög­lich ist, anhand die­ser Infor­ma­tio­nen Rück­schlüs­se zum Infor­ma­ti­ons­lie­fe­ran­ten, sprich zum Geschä­dig­ten, zu erhal­ten. Der Infor­ma­ti­ons­aus­tausch mit wei­te­ren Krei­sen kann nur inner­halb die­ses Rah­mens erfol­gen. Aus heu­ti­ger Sicht ist nicht geplant, an die­ser Pra­xis etwas zu ändern, da es die sehr gute Zusam­men­ar­beit zwi­schen MELANI und den Betrei­bern Kri­ti­scher Infra­struk­tu­ren gefähr­den könnte.

Der Aus­tausch von Infor­ma­tio­nen zwi­schen MELANI und den Betrei­bern von kri­ti­schen Infra­struk­tu­ren ist auch Gegen­stand des geplan­ten Infor­ma­ti­ons­si­cher­heits­ge­set­zes ISG. Die Ver­ab­schie­dung der Bot­schaft ISG ist nach erfolg­ter Ver­nehm­las­sung zuhan­den des Par­la­ments bis Som­mer 2016 vorgesehen.

Da meh­re­re Rechts­be­rei­che mit viel­fäl­ti­gen Schnitt­stel­len betrof­fen sind, ach­tet die Koor­di­na­ti­ons­stel­le NCS mit den bereichs­ver­ant­wort­li­chen Bun­des­stel­len dar­auf, dass in der Recht­set­zung und im Voll­zug die koor­di­nie­ren­de Zusam­men­ar­beit kon­se­quent sicher­ge­stellt wird und auf neue Her­aus­for­de­run­gen rasch und kohä­rent reagiert wer­den kann.

Die hier auf­ge­führ­ten Mass­nah­men wer­den bereits ohne Annah­me der Moti­on umge­setzt. Eine zusätz­li­che Rege­lung drängt sich aus Sicht des Bun­des­ra­tes nicht auf.

AI-generierte Takeaways können falsch sein.