22.4344 · Interpellation · 2022-12-13
Departement für Verteidigung, Bevölkerungsschutz und Sport
Erledigt
Wortlaut
Ein Vorfall, der sich vor wenigen Wochen in Deutschland zugetragen hat, lässt aufhorchen. Saboteure durchtrennten an verschieden Stellen Leitungen für das Funknetz der Bahn. Der Verkehr war stillgelegt und die Kommunikation zwischen den Lokomotivführern und den Leitstellen unterbrochen.
Ein ähnliches Szenario könnte sich an jedem anderen Ort abspielen. Bei uns in der Schweiz im Bundesumfeld wird die Arbeitssicherheit und auch das vertrauensvolle Arbeiten als zentraler Schlüssel angesehen.
Es gibt aber noch immer Räume und Gebäude in welchen Bundesangestellte arbeiten und vertrauliche Gespräche führen müssen, in welchen nicht in jedem Fall ausgeschlossen werden kann, dass diese Umgebung gesichert ist. Im gleichen Gebäude arbeiten andere Unternehmen und die Informatikleitungen dieser unterschiedlichen Unternehmen, auch unserer Bundesstellen, münden im gleichen Serverraum. Ein Sabotageakt oder auch das gezielte Abhören kann nicht in jedem Fall ausgeschlossen werden.
In diesem Zusammenhang bitte ich den Bundesrat, die nachfolgenden Fragen zu beantworten:
1. Hat der Bund eine Übersicht, ob alle sicherheitsrelevanten Ämter 'sicher' arbeiten können?
2. Gibt es Hinweise auf verdeckte Tätigkeiten von anderen Staaten in unserem Umfeld?
3. Wo mehrere Mieterschaften (Bund und Externe) in einem Gebäude bestehen: gab/gibt es eine institutionalisierte Überprüfung dieser Personen/Unternehmen?
4. Welche Massnahmen wurden bisher getroffen, um sicherzustellen, dass alle sicherheitsrelevanten Ämter "sicher" arbeiten können?
5. Gibt es eine Unterscheidung/Klassifizierung je Amt oder Abteilung, bezüglich der Vertrauensumgebung (oder Sicherheitsstufe), die für die Ausübung der Tätigkeiten gegeben sein muss?
6. Werden die bisher getroffenen Massnahmen als genügend beurteilt, um den Schutz vor Sabotage und/oder Abhörsystemen gewährleisten zu können?
Stellungnahme des Bundesrates
1. Nein, es gibt keine konsolidierte Übersicht des Bundes über die sicherheitsrelevanten Ämter und deren Sicherheitsstand. Die Bundesämter sind für ihre Sicherheit selber verantwortlich. Im Rahmen ihres Risikomanagements müssen sie die Abhör- und Sabotagerisiken beurteilen und die nötigen Sicherheitsmassnahmen umsetzen. Bei allfälligen erhöhten Sicherheitsrisiken informieren sie ihr Departement, welches zusätzliche Massnahmen verlangen kann.
2. Ja, es gibt konkrete Hinweise auf versuchte Abhörtätigkeiten in Bundesgebäuden im In- und Ausland. Weitere Informationen sind im Bericht "Sicherheit Schweiz 2022" (https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-89472.html) des Nachrichtendiensts des Bundes enthalten.
3. Nein, es gibt keine institutionalisierte Überprüfung von externen Personen und Unternehmen bei geteilten Mieterschaften. Dafür fehlen auch die nötigen Rechtsgrundlagen. Die Bundesämter müssen die Risiken einer geteilten Mieterschaft beurteilen und entscheiden, ob sie tragbar sind. 4. Die Massnahmen des Bundes zum Schutz vor Abhöraktionen und Sabotage sind mehrschichtig:
- Die Informationsschutzverordnung (RS 510.411) und die Cyberrisikenverordnung (RS 120.73) legen die Massnahmen zum risikobasierten Schutz von klassifizierten Informationen und von Informatikmitteln vor Abhöraktionen beziehungsweise Sabotage fest. Werden sensitive Informationen bearbeitet oder sicherheitsempfindliche Informatikmittel eingesetzt, so müssen die Ämter eine Risikoanalyse durchführen und gestützt darauf ein Sicherheitskonzept erstellen. Im Sicherheitskonzept werden insbesondere die organisatorischen, personellen, technischen und baulichen Massnahmen zur Gewährleistung des Abhör- und Sabotageschutzes festgehalten.
- Die Verordnung über den Schutz von Personen und Gebäuden in Bundesverantwortung (RS 120.72) regelt die Massnahmen zum Schutz der Gebäude der Bundesverwaltung. Das Bundesamt für Polizei (fedpol) beurteilt die Risiken für die Gebäude, Anlagen und Einrichtungen, die in seiner Zuständigkeit liegen, weist diesen Gefährdungsstufen zu und legt die Schutzziele fest. Gestützt auf diese Risikoanalyse erstellt das Bundesamt für Bauten und Logistik eine bauliche und technische Sicherheitsmassnahmenplanung und einigt sich mit fedpol auf die definitive Massnahmenplanung. fedpol empfiehlt zudem den Inhaberinnen und Inhabern des Hausrechts organisatorische Sicherheitsmassnahmen. Die Inhaberin oder der Inhaber des Hausrechts entscheidet, welche baulichen, technischen, organisatorischen Sicherheitsmassnahmen umgesetzt werden. Bei Gebäuden, Objekten und Anlagen der Gruppe Verteidigung erstellt der Bereich Integrale Sicherheit des Armeestabs sogenannte "integrale Sicherheitskonzepte", in welchen die jeweils umzusetzenden Massnahmen festgelegt werden.
- Die Verordnung über die Personensicherheitsprüfungen (RS 120.4) regelt die Sicherheitsüberprüfung von Bundesangestellten, Angehörigen der Armee und Dritten, die sicherheitsempfindlichen Aufgaben des Bundes erfüllen. Die Personensicherheitsprüfung dient insbesondere dem Schutz vor Abhören und Sabotage durch Innentäterinnen und Innentäter.
- Der Nachrichtendienst des Bundes und der militärische Nachrichtendienst informieren die Ämter beziehungsweise die Gruppe Verteidigung, wenn sie über Hinweise auf eine konkrete Bedrohung verfügen.
5. Gestützt auf seine Risikoanalyse ordnet fedpol die Gebäude der zivilen Bundesverwaltung vier Gefährdungsstufen mit jeweils verschiedenen Schutzzielen und Sicherheitsmassnahmen zu. Innerhalb der Gebäude selbst werden die Räume je nach Sicherheitsempfindlichkeit der Tätigkeit oder des Inhalts in verschiedene Zonen unterteilt. Serverräume etwa werden in der Regel als Sicherheitszone bezeichnet und besonders geschützt. Letztlich entscheidet aber die Inhaberin oder der Inhaber des Hausrechts über die Umsetzung von Massnahmen. Für militärische Gebäude gelten ähnliche Zonenkonzepte.
6. Sofern die Ämter die Vorgaben und Massnahmen der Informations- und Objektsicherheit des Bundes konsequent umsetzen, gewährleisten diese einen angemessenen Schutz vor Abhören und Sabotage. Die Bedrohungen sind aber mit zunehmender Digitalisierung, Vernetzung und Miniaturisierung von Abhörmitteln komplexer geworden. Der Trend hin zu Grossraumbüros und mobilen Arbeitsformen stellt zudem eine weitere Herausforderung dar. Es ist die Aufgabe der Ämter, im Rahmen ihres Risikomanagements die Entwicklung der Bedrohungen zu beobachten, die Schutzmassnahmen regelmässig auf deren Wirksamkeit hin zu überprüfen und zu hinterfragen und ihre Mitarbeitenden auszubilden. Sie werden dabei von den Sicherheitsorganen des Bundes unterstützt.
Im Zusammenhang mit der Umsetzung des Informationssicherheitsgesetzes vom 18. Dezember 2020 werden die Massnahmen des Bundes zum Schutz vor Abhöraktionen und Sabotage aktualisiert. Das Informationssicherheitsgesetz soll noch 2023 in Kraft treten.
Antwort des Bundesrates.