20.3496 · Interpellation · 2020-06-03
Finanzdepartement
Erledigt
Wortlaut
In einem Interview mit dem Tages-Anzeiger spricht Bundesrätin Viola Amherd von Überlegungen, eine Cyber-Interventionstruppe der Armee zu schaffen, die Betreiber von kritischen Infrastrukturen und private Firmen bei der Abwehr von Attacken unterstützen würde. Im Bericht des Bundesrates vom vergangenen November zur Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken ist festgehalten, dass die Aufgabe der Armee in erster Linie im Bereich Cyber-Defense anzusiedeln ist, das heisst im Schutz der eigenen Infrastruktur und bei Cyber-Angriffen um gegnerische Angriffe im Cyberraum abzuwehren. Der Bereich Cyber-Sicherheit ist im Finanzdepartement angesiedelt. Ich bitte den Bundesrat in diesem Zusammenhang um die Beantwortung folgender Fragen:
1. Widerspricht die Schaffung einer Cyber-Interventionstruppe der Nationalen Strategie zum Schutz von Cyberrisiken? Können Cyber-Interventionstruppen Aufgaben wahrnehmen, die über den Bereich hinausgehen, die der Bundesrat in seiner Verordnung über die militärische Cyberabwehr (MCAV; SR 510.921) umschrieben hat?
2. Ist es Aufgabe der Armee, über den Eigenschutz und die Selbstverteidigung hinaus private Firmen und zivile Betreiber von kritischer Infrastruktur vor Cyber-Angriffen zu schützen? Ab welcher Schwelle greift der Staat ein, wenn die Eigenverantwortung der Firmen und Betreiber von Infrastrukturen überfordert ist? Welche staatlichen Stellen kommen dann als erstes zum Zug? Ist es nicht problematisch, wenn in einem begrenzten Arbeitsmarkt die Armee die Spezialistinnen und Spezialisten abwirbt?
3. Wie sieht die Ressourcenverteilung innerhalb des Bundes aus? Für welche Aufgaben (Defense, Security, Crime) sind wie viele Stellen bei welchem Amt vorgesehen?
4. Sind die Zuständigkeiten und Abgrenzungen zwischen Armee und zivilen Stellen im Bereich Cyber-Security geregelt? Gibt es Doppelspurigkeiten? Ist das Primat der Politik und der zivilen Führung in jedem Fall gewährleistet?
5. Wie stellt sich der Bundesrat zum Vorwurf, dass es in diesem Bereich eine Rivalität zwischen Finanzdepartement und VBS gibt?
Stellungnahme des Bundesrates
Der Bundesrat nimmt zu den Fragen wie folgt Stellung:
1. Die "Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS)" bildet die originären Aufgaben der Armee im Cyberraum wie auch die subsidiäre Unterstützung der zivilen Behörden ab. Es handelt sich um gesetzlich verankerte Aufgaben der Armee, die unabhängig von der NCS bestehen, aber auch Teil dieser Strategie sind. Die Verordnung über die militärische Cyberabwehr (MCAV) regelt die Massnahmen und Zuständigkeiten zum Eigenschutz und zur Selbstverteidigung der Armee im Falle von Angriffen auf militärische Informationssysteme und Informatiknetzwerke. Die Armee kann gestützt auf das Militärgesetz (MG, Art. 1 und Art. 68-75) darüber hinaus auch im Cyberbereich subsidiäre Unterstützung leisten, wenn die Aufgabe im öffentlichen Interesse liegt und auf Gesuch ziviler Behörden erfolgt, deren eigenen Mittel nicht ausreichen.
2. Der Schutz von Unternehmen vor Cyberrisiken ist nicht in erster Linie Aufgabe der Armee und auch nicht des Staates. Generell gilt die Selbstverantwortung der Unternehmen für ihre eigene Cybersicherheit. Staatliche Stellen, ob zivile Behörden oder die Armee, werden nur auf Anfrage der Unternehmen zur Unterstützung beigezogen; eine aktive Intervention wäre nur denkbar, wenn ein Cyberangriff als bewaffneten Angriff auf die Schweiz zu qualifizieren wäre. Diese Bewertung erfolgt aber in jedem Fall durch politische Behörden, welche auch darüber entscheiden, ob die Armee oder zivile Behörden zur Abwehr eines solchen Angriffs eingesetzt werden. Für einen subsidiären Einsatz der Armee beim Schutz vor Cyberrisiken gelten die üblichen gesetzlichen Voraussetzungen (Antwort auf Frage 1).
Die Armee bildet mit dem Cyberlehrgang jährlich 40 Talente zu Cyberspezialisten aus und leistet so einen Beitrag zur Reduktion des Fachkräftemangels in der Schweiz.
3. Alle Mitarbeitenden der Bundesverwaltung mit Aufgaben im Bereich der inneren und äusseren Sicherheit befassen sich zwangsläufig mit Cyberrisiken, was eine vollständige Übersicht der eingesetzten Ressourcen verunmöglicht. Ausgewiesen werden können die Cyberspezialistinnen und -spezialisten, mit dedizierten, ausschliesslich auf Cyberrisiken bezogenen Aufgaben. In dem sich im Aufbau befindenden Nationalen Zentrum für Cybersicherheit sind dies bis Ende 2021 43 Stellen, unterstützt durch 26 dezentral in den Departementen EDA, EDI, UVEK und WBF angesiedelte Stellen. Das VBS verfügt über 175 fachspezifische Stellen, welche sowohl der Erfüllung der Aufgaben des VBS im Rahmen der NCS und zur Unterstützung des NCSC, wie auch den Aufgaben der Cyberdefence dienen.
Auch in der Strafverfolgung ist das gesamte Personal mit digitalen Aspekten bei Ermittlungen konfrontiert. Bei fedpol sind 41.5 Cyberspezialisten und -spezialistinnen im Einsatz. fedpol engagiert sich mit einem Cyberspezialisten im Europäischen Cybercrimecentrum EC3 bei Europol. Ausserdem wirkt fedpol im von Bund und Kantonen gemeinsam betriebenen polizeilichen "Netzwerk Ermittlungsunterstützung digitale Kriminalitätsbekämpfung NEDIK"und an der "Plateforme d'Information de la Criminalité Sérielle En Ligne" (PICSEL) mit.
4. Das Primat der Politik und der Grundsatz der zivilen Führung der Armee sind allgemein gültig und in der Bundesverfassung, im Militärgesetz und in der Verordnung über die militärische Cyberabwehr verankert. Die Zuständigkeiten und Abgrenzungen im Cyberbereich innerhalb des Bundes sind weiter im Nachrichtendienstgesetz und in der neuen Verordnung über den Schutz vor Cyberrisiken (CyberRV) in der Bundesverwaltung klar geregelt.
5. Die Zusammenarbeit zwischen dem VBS und dem EFD ist eng und stützt sich auf die rechtlich geregelten Aufgaben und Zuständigkeiten. Das EFD hat auf Stufe Bund eine Koordinationsrolle und ist für die Cybersicherheit zuständig, das VBS für die Cyberabwehr. Der Bundesrat hat mehrfach zum Ausdruck gebracht, dass er die Koordination zwischen den Departementen beim Schutz vor Cyberrisiken stärken will. Mit dem Cyberausschuss des Bundesrates, der Kerngruppe Cyber und dem Steuerungsausschuss NCS hat er dafür die nötigen Gremien und Voraussetzungen geschaffen.
Antwort des Bundesrates.