Lexipedia

24.4014 · Interpellation · 2024-09-25

Departement für Verteidigung, Bevölkerungsschutz und Sport

Erledigt

Wortlaut

Cyberangriffe stellen eine erhebliche Bedrohung für die kritischen Infrastrukturen in der Schweiz und damit auch für die Schweizer Bevölkerung dar. Im September 2023 hat das Parlament eine Revision des Informationssicherheitsgesetzes (ISG) verabschiedet, die ab dem 1. Januar 2025 eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen vorsieht. Das revidierte ISG weist dem Bundesamt für Cybersicherheit (BACS) die Aufgabe zu, Meldungen zu Cybervorfällen und -bedrohungen entgegenzunehmen und zu bearbeiten (Art. 73a ISG).

Eine der sensibelsten kritischen Infrastrukturen ist das Gesundheitswesen, insbesondere die Spitäler. Um diesen Sektor besser zu schützen, hat das BACS das Projekt «Healthcare – Cyber Security Centre» lanciert, das sich aktuell in der Umsetzungsphase befindet. Ziel des Projekts ist es, die Spitäler besser vor Cyberangriffen zu schützen.

In diesem Zusammenhang bitte ich den Bundesrat um die Beantwortung der folgenden Fragen:

  1. Beabsichtigt der Bundesrat, die finanziellen und personellen Ressourcen des BACS aufzustocken, angesichts der absehbaren Mehrbelastung des BACS in Folge der Revision des ISG?

  2. Wie beurteilt der Bundesrat derzeit den Schutz der Spitäler vor Cyberangriffen?

  3. Wie erfolgreich ist das Projekt «Healthcare – Cyber Security Centre» bisher verlaufen? Wie gut funktioniert die Zusammenarbeit mit den Kantonen und den Spitälern bei diesem Projekt?

  4. Wäre es aus sicherheitstechnischen Gründen angesehen, nationale Mindeststandards oder Best Practices für Spitäler zum Schutz vor Cyberangriffen festzulegen? Was wäre gemäss Ansicht des Bundesrates die beste Vorgehensweise, um solche Mindeststandards einzuführen?

  5. Wer ist nach Ansicht des Bundesrates dafür verantwortlich, dass die Schweizer Spitäler angemessen vor Cyberangriffen geschützt sind?

  6. Wie ist die Aufgabenteilung bei einem Cyberangriff auf ein Spital geregelt, sowohl im Friedensfall als auch in einem nicht erklärten oder erklärten Kriegszustand? Welche Rollen spielen dabei das BACS, das Bundesamt für Polizei (fedpol), der NDB und die Kantone? Sind die Abläufe und Schnittstellen für die Zusammenarbeit dieser Institutionen klar geregelt?

Stellungnahme des Bundesrates

Zu 1) Mit der Schaffung des Bundesamts für Cybersicherheit (BACS) hat der Bundesrat beschlossen, die zivile Cybersicherheit zu stärken. Er hat die personellen Mittel des BACS stark ausgebaut. Die Anzahl Mitarbeitende wurde seit 2020 von 28 (im damaligen Nationalen Zentrum für Cybersicherheit) auf aktuell 67 Mitarbeitende erhöht. Bei diesem Ausbau wurde antizipiert, dass das BACS mit dem revidierten Informationssicherheitsgesetz (ISG; SR 128) zusätzliche Aufgaben übernimmt. Der Bundesrat wird prüfen, ob der Ausbau ausreichend ist, um sicherzustellen, dass das BACS seine Aufgaben vollumfänglich wahrnehmen kann. Zu 2) Die Spitäler gehören zu den kritischen Infrastrukturen der Schweiz, weshalb ihr Schutz vor Cyberbedrohungen höchste Priorität hat. In der Schweiz gab es in den vergangenen fünf Jahren nur vereinzelt erfolgreiche Cyberangriffe auf Spitäler. Im gleichen Zeitraum kam es in anderen Ländern (z.B. Frankreich, England) zu verschiedenen erfolgreichen Cyberangriffen mit unmittelbaren Auswirkungen auf den Betrieb grosser Spitäler. Dies zeigt, dass die Schweizer Spitäler sich verhältnismässig erfolgreich geschützt haben. Die Herausforderungen bleiben aber gross und der Schutz vor Cyberbedrohungen muss weiter ausgebaut werden. Zu 3) Das Projekt «Healthcare - Cyber Security Centre» des Gesundheitssektors bündelt die Kräfte von Schweizer Spitälern, des BACS und weiteren Akteuren zur Stärkung der Cybersicherheit. Das Projekt befindet sich in der Anfangsphase, zeigt jedoch durch die effektive Zusammenarbeit aller Beteiligten bereits vielversprechende Fortschritte. Zu 4 und 5) Einheitliche Standards und Best Practices sind wichtige Faktoren bei der Stärkung der Cybersicherheit. Solche bestehen auch bereits für den Gesundheitssektor. Für Spitäler hat der Verband H+ Leitlinien mit Mindestanforderungen für IT-Sicherheit von Drittsystemen definiert. Das BACS hat zudem 2022 in Absprache mit der Gesundheitsdirektorenkonferenz Best Practices für den Gesundheitssektor veröffentlicht. Die Verantwortung für die Cybersicherheit liegt bei den Spitälern selber. Rechtlich sind sie nach Art. 74 der Medizinprodukteverordnung (SR 812.213) verpflichtet, netzwerkfähige Produkte nach Stand der Technik vor Cyberbedrohungen zu schützen. Die Kantone erlassen für Listenspitäler Vorgaben und können sich dabei an den vorhandenen Leitlinien und Best Practices der Verbände und des BACS orientieren. So gelingt es, einheitliche Standards unter Wahrung bestehender Kompetenzen einzuführen. Zu 6) Ja, die Aufgabenteilung ist unabhängig von der Lage geregelt und etabliert: Das BACS unterstützt Spitäler subsidiär bei Cyberangriffen (Art. 74 ISG). Der Nachrichtendienst des Bundes ist für die frühzeitige Erkennung sowie Verhinderung von Cyber-Bedrohungen zuständig (Art. 6 Abs. 1 Bst. a Ziff. 4 NDG; SR 121) und kann gestützt auf Art. 26 Abs. 1 Bst. d Ziff. 2 und Art. 37 Abs. 2 NDG Massnahmen ergreifen, um Computersysteme aufzuklären, die genutzt werden, um Betreiber von kritischen Infrastrukturen anzugreifen. Für die Strafverfolgung sind kantonale Behörden oder im Falle einer Bundeszuständigkeit nach Art. 23 und Art. 24 der Strafprozessordnung (SR 312) die Bundesanwaltschaft zusammen mit der Bundeskriminalpolizei zuständig.