Lexipedia

Flach Beat · Nationalrat · 2018-03-13

Flach Beat · Nationalrat · Aargau · Grünliberale Fraktion · 2018-03-13

Wortprotokoll

Die Grünliberalen treten ein und bitten Sie, auch einzutreten und damit der Minderheit zu folgen.

Worum geht es, und worum geht es nicht? Es geht nicht darum, ein neues Bürokratiemonster zu bauen, sondern es geht darum, ein Grundgesetz zu schaffen für die Koordination der Informationssicherheit im Bereich des Bundes, der Verwaltung und der nahestehenden wichtigen Betriebe und Organisationen des Bundes. Angriffe auf das EDA, den Nachrichtendienst des Bundes und zuletzt auf die Ruag haben, glaube ich, uns allen deutlich vor Augen geführt, dass in diesem Bereich Handlungsbedarf besteht. Es wurde schon mehrfach angetönt, dass sogar der Deutsche Bundestag offensichtlich ein Opfer eines solchen Internetangriffes war, eines Cyberangriffes, und dass dort wahrscheinlich über Monate hinweg ein riesiges Datenleck bestanden hat.

Es wurde jetzt in den Begründungen auch angeführt, dass genau das ein Grund sei, hier auf eine Gesetzgebung zu verzichten - einer der Vorredner hat das gerade gesagt -: Der Bundestag habe ja so ein Gesetz, und das habe ja dann auch nichts genützt. Ich muss Ihnen schon sagen: Das ist einfach komplett falsch! Das ist komplett falsch. Das föderalistische System in der Schweiz mit den verschiedenen Bundesämtern und angegliederten, teilweise sehr, sehr frei agierenden Organisationen ist keineswegs zu vergleichen mit der Bundesrepublik Deutschland und dem System des Deutschen Bundestages und den dort angegliederten Organisationen: Das ist etwas komplett anderes.

Worum geht es denn aber tatsächlich in unserer Vorlage? Sie ist relativ kompliziert. Es geht darin um Vertraulichkeit, es geht um Verfügbarkeit, es geht um Integrität, und es geht um Nachvollziehbarkeit von Informationen und um Informationssicherheit.

Sie müssen sich das einfach vorstellen: Die Regelungen, mit denen wir gedanklich noch leben, entstammen einer Zeit, in welcher man die Akten in Ordnern abgelegt hat, sie in einen Tresor oder in einen Aktenschrank gestellt und diesen abgeschlossen hat, einer Zeit, in welcher es ein Verzeichnis darüber gab, welche Informationen wo aufbewahrt werden, wer welche Kopien hat, wo die klassifizierten Dokumente und so weiter liegen. Diese Regelungen entstammen nicht einer Welt, wie wir sie heute haben, in der die Daten halt eben als Bits und Bytes auf einer Festplatte liegen, problemlos kopierbar, transferierbar, veränderbar und halt eben auch klaubar, entwendbar sind - und zwar, durch die Vernetzung, die wir heute in der Bundesverwaltung und in den angelehnten Betrieben haben, mit einfachsten Mitteln.

Es ist wichtig, dass wir hier eine koordinierte Sicherheit aufbauen, bei der alle Player entsprechend mitarbeiten können. Das ist auch der Grund, wieso es sieben Jahre dauerte, bis dieses Gesetz vorlag. Dass es sieben Jahre dauerte, bis die Vorlage da war, ist kein Grund zu sagen, das Gesetz sei schlecht. Wenn Sie ein Gesetz schaffen in einem Bereich, der sich ständig ändert wie die digitale Welt, in der Sie alle paar Wochen, alle paar Monate neue Erkenntnisse haben, dann kann es sein, dass Sie ein bisschen länger daran arbeiten müssen, weil ein Gesetz halt eben die Grundlagen dafür schaffen soll, dass es auch in der Zukunft funktioniert.

Ein wesentlicher Bestandteil bei der Erarbeitung dieses Gesetzes war es, dass die an den Bund, an das Parlament und an die Verwaltung angelehnten Betriebe in der Lage sind, entsprechend ihrem Sicherheitsbedürfnis ihre eigenen Regelungen zu treffen, und wir nur die Standards festhalten, wie das zu geschehen hat, inklusive halt eben der Nachvollziehbarkeit der Tätigkeiten, was einer der wichtigsten Bestandteile dieser ganzen Regelung ist. Damit Sie am Schluss wissen, dass etwas schiefgelaufen ist, müssen Sie nachvollziehen können, wie es funktioniert hat. Dieses Gesetz soll eben Lücken schliessen, Lücken, die heute bestehen.

Von allen Rednern habe ich immer wieder gehört, dass eigentlich Handlungsbedarf besteht. Man hat doch schon lange erkannt, dass im Bereich der Cybersecurity Handlungsbedarf besteht, auch bei uns in der Verwaltung. Trotzdem wollen Sie hier nicht auf dieses Gesetz eintreten. Das verstehe ich einfach nicht.

Es wurde in der Kommission ausgeführt, dass viele Dinge unklar seien. Es wurde insbesondere immer wieder die Frage der Kosten angeführt. Ja, es ist tatsächlich so, die Kosten belaufen sich auf irgendetwas zwischen 1,5 und 80 Millionen Franken. Es kommt aber darauf an, wie Sie das nachher im Detail umsetzen und wer dann was macht. Das können wir aber immer über das Budget steuern. Wir erlassen nicht ein Gesetz, und nachher fliesst das Geld in irgendeine Kasse oder kann einfach aus der Kasse genommen werden, sondern wir haben nach wie vor das Budget, das dann bestimmt, wie man das macht.

Wir wissen im Moment tatsächlich auch noch nicht, wo wir Einsparungen machen, denn ein grosser Teil der Massnahmen bei der Cybersecurity erfolgt im Moment in den Departementen. Sie treffen sie autonom, alleine. Und sie tun es eben unterschiedlich. Damit haben sie, sobald sie ein Netzwerk schaffen, eben auch unterschiedliche Standards und ein nichteinschätzbares Sicherheitsrisiko, weil sie nicht wissen, wie die Systeme und die Leute untereinander agieren.

Ich bitte Sie daher dringend, einzutreten. Und wenn Sie dann noch Fragen haben - das habe ich auch, denn auch ich habe das Gesetz noch nicht ganz verstanden; es sind über 90 Artikel mit Auswirkungen in sehr vielen Bereichen -, können Sie diese Fragen stellen und das bereinigen. Aber treten Sie doch bitte nicht einfach nicht ein, nachdem der Ständerat das Gesetz schon einmal durchberaten hat, und versenken Sie es nicht einfach. Es gibt Handlungsbedarf.

Ich bitte Sie, einzutreten, Ihre Kommission zu beauftragen, daran zu arbeiten, und nicht Arbeitsverweigerung zu betreiben, damit wir vorwärtsmachen können.