19.3185 · Interpellation · 2019-03-20
Departement für Verteidigung, Bevölkerungsschutz und Sport
Erledigt
Wortlaut
Zahlreiche Staaten wie die USA, Australien, Neuseeland sowie die EU-Kommission bewerten die Zusammenarbeit mit gewissen globalen Telekommunikations-Anbietern als nationales Sicherheitsrisiko. So wird im Fall der Firma Huawei das Abfliessen sensibler Daten zum chinesischen Geheimdienst befürchtet. In der Schweiz stehen zurzeit verschiedene grosse Investitionen in kritische Infrastrukturen und Systeme der Telekommunikation an. Besonders sensibel sind die staatlichen Beschaffungen im Verteidigungsbereich.
Bei dieser Ausgangslage ersuche ich den Bundesrat um die Beantwortung folgender Fragen:
1. Wie begrenzt er das Risiko, dass im Verteidigungsbereich und bei anderen kritischen, staatlichen Infrastrukturen Systeme mit digitalen Hintertüren beschafft werden?
2. Welche Nachweise müssen Lieferanten und Industriepartner konkret erbringen, damit ihre Hard- und Software sicher gegen den Abfluss von sensiblen Daten ist?
3. Ist er bereit, seine Beschaffungspolitik dahingehend zu ändern, dass Lieferanten insbesondere im Verteidigungsbereich künftig die Quellcodes ihrer Software offenlegen und bei Bedarf Hand bieten müssen, diese einer nationalen Lösung zuzuführen (z.B. mit eigener Kryptologie)?
Stellungnahme des Bundesrates
1. Der Bundesrat und die zuständigen Beschaffungsstellen von sowohl zivilen als auch militärischen IKT-Systemen sind sich der durch die Interpellation adressierten Risiken bewusst. Wie mit diesen Risiken umzugehen ist, wird in den Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung beschrieben, welche regelmässig aktualisiert werden (zuletzt am 16. Januar 2019). Die Weisungen regeln insbesondere die organisatorischen, personellen und technischen Anforderungen und Massnahmen, um für die Schutzobjekte der Informations- und Kommunikationstechnik der Bundesverwaltung den angemessenen Schutz der Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit zu gewährleisten. Ergänzend dazu erlässt die Informatiksteuerungsbehörde des Bundes im Sinne eines Best-Practice-Ansatzes einen Prüfprozess zur Reduktion nachrichtendienstlicher Ausspähung. Der Prüfprozess sieht verschiedene Schutzmassnahmen vor. Dazu gehören die differenzierte Aufteilung von IKT-Beschaffungen in risikorelevante und unbedenkliche Leistungselemente, die Wiedereingliederung von IKT-Leistungserstellungen (Insourcing) sowie weitere organisatorische, sicherheitstechnische und beschaffungsrechtliche Massnahmen. Dieser Prüfprozess wird auch im Fall von Beschaffungen für die Schweizer Armee angewendet, und die Produkte werden bei jeder Beschaffung auf Risiken und Schwachstellen geprüft. Die aktuellen Vorgaben werden zudem regelmässig überprüft und gegebenenfalls neuen Entwicklungen angepasst.
2. Bezüglich der Lieferanten und Industriepartner ist eine ganze Reihe an Massnahmen vorgesehen. Zu den organisatorischen und sicherheitstechnischen Schutzmassnahmen gehören etwa die Einhaltung von Geheimhaltungsvereinbarungen sowie Auflagen zur Datenbearbeitung und -sicherung. Weiter gehört dazu die Anwendung des Geheimschutzverfahrens. Dieses umfasst alle Massnahmen zur Sicherstellung des Informationsschutzes, wenn an Dritte ein militärisch klassifizierter Auftrag erteilt wird. Unter anderem beinhaltet das Verfahren die Anordnung von besonderen Sicherheitsmassnahmen in Form eines Sicherheitsprotokolls. Dieses wird für jeden Dritten individuell erstellt. Jeder Betrieb muss zudem über eine Betriebssicherheitserklärung verfügen und wird zu diesem Zweck durch die Informations- und Objektsicherheit (IOS) des Eidgenössischen Departementes für Verteidigung, Bevölkerungsschutz und Sport geprüft.
Im Rahmen von beschaffungsrechtlichen Schutzmassnahmen steht die Einführung von sicherheitsrelevanten Eignungskriterien für die Ausschreibung im Vordergrund. Weiter wird die Anerkennung von Schweizer Recht und Gerichtsstand vorausgesetzt. Ebenfalls wird gefordert, dass bei militärisch klassifizierten Aufträgen die Datenbearbeitung in der Schweiz stattzufinden hat. Dies bedeutet, dass jeglicher Zugriff auf die Daten vom Ausland her verhindert werden muss. Dies muss vom jeweiligen Anbieter in einem Konzept bestätigt werden.
3. Für strategisch wichtige Hard- und Software im Verteidigungsbereich besteht die Möglichkeit der Offenlegung und Prüfung der Quellcodes bereits heute. Weiter gilt das Prinzip der Hinterlegung und Nutzungserlaubnis des Quellcodes für den Fall, dass die Anbieterfirma ihre Tätigkeiten in diesem Bereich, beispielsweise aus finanziellen Gründen, einstellt. Die vom Anbieter empfohlenen kryptologischen Lösungen werden geprüft und bei Bedarf entsprechend durch Einbindung interner Lösungen ersetzt. Daher sieht der Bundesrat aktuell keinen Handlungsbedarf, die Beschaffungspolitik zu ändern.
Antwort des Bundesrates.