AB 256163
Maurer Ueli · Bundesrat · Zürich · 2019-12-17
Wortprotokoll
Wie wir in der Antwort auf die Interpellation ausgeführt haben, sind wir daran, das Kompetenzzentrum für Cybersicherheit aufzubauen und die Verbindungen innerhalb der Bundesverwaltung zu festigen. Wir haben für diese Arbeiten insbesondere auch noch die Kantone beigezogen. Die Konferenz der kantonalen Justiz- und Polizeidirektorinnen und -direktoren sowie der Sicherheitsverbund Schweiz sind in diesen Bereich der Cybersicherheit entsprechend eingebunden. Wir fahren innerhalb der Bundesverwaltung nach wie vor zweigleisig: Da ist einerseits die zivile Bundesverwaltung mit dem Kompetenzzentrum, und da ist andererseits der Bereich der grünen Informatik, also der Armee, die entsprechende Ausbildungen durchführt und ein Kompetenzzentrum für die Ausbildung in Thun aufbaut. Selbstverständlich tauscht man sich aus, wir sind miteinander verbunden.
Zu den Fragen, die Herr Dittli angesprochen hat, die auch uns beschäftigen: Es geht um die Kompetenzen, die dieser Delegierte für die Cybersicherheit innerhalb der Bundesverwaltung hat. Wir sind daran, die Verordnung zu erarbeiten. Sie kennen das aus anderen Diskussionen: Die Bundesverwaltung ist eigentlich eine Holding mit achtzig Gesellschaften, den achtzig Bundesämtern, und sieben Subholdings, den Departementen. Das ist die abstrakte Erklärung, die ich jeweils verwende. Jetzt sind wir daran, festzulegen, welche Kompetenzen dieser Delegierte haben wird. Wir gehen davon aus, und das ist unser Vorschlag, dass er insbesondere Informatiksicherheitsvorgaben machen muss, minimale Sicherheitsvorgaben in Bezug auf die Hard- und Software. Er muss diese dann auch durchsetzen können. Es geht um den Erlass von Mindeststandards, die dann auch durchgesetzt werden. Das ist im Moment noch dezentral geregelt. Das ist der eine Punkt.
Der zweite Punkt ist, dass bei Informatikprojekten Berichte zur Sicherheit abzuliefern sind und Nachbesserungen verlangt werden können. Der Delegierte soll sein Veto einlegen können, auch bei anderen Projekten, wenn diese nicht den geforderten Standards entsprechen.
Der dritte Punkt dieser Kompetenzen ist der Bereich von Anordnungen für Sondermassnahmen. Wenn etwas passiert, sind Sondermassnahmen anzuordnen und auch durchzusetzen. Es geht zusammengefasst darum, einen minimalen Standard bei Geräten, die eingesetzt werden, durchzusetzen. Es geht auch um Projekte, also um Prozesse, die ablaufen. Da soll der Delegierte ein Veto einlegen können, wenn das nicht den Sicherheitsanforderungen entspricht. Er muss Kompetenzen haben, damit bei Vorfällen Sondermassnahmen sofort umgesetzt werden können. Das sind die Vorstellungen, die wir in Bezug auf die Durchsetzungsfähigkeit haben.
Die Normen, die wir dann innerhalb der Bundesverwaltung einsetzen, sollen weitgehend auch von den Kantonen übernommen werden. Im Hinblick auf eine Stelle, die Produkte prüft, arbeiten wir auch eng mit den ETH zusammen, die mehr Know-how und auch Kompetenzen haben. Das soll einen Standard ergeben, der hoffentlich dann auch für die Kantone gilt und an dem sich auch die Privatwirtschaft messen kann.
Die Schweiz hat ja mit über 70 Ländern die Swiss Digital Initiative gestartet. Sie soll am WEF in Davos noch weiterentwickelt werden. Dort geht es eher um ethische Standards, die von den Herstellern von Hardware und Software aufgenommen werden. Das Ziel ist, dass sich auch international Hersteller zu diesen Standards bekennen. An der Gründungsversammlung dieser Initiative waren von Huawei bis Apple eigentlich alle massgebenden Akteure anwesend. Das ist eine internationale Initiative der Schweiz, bei welcher der Delegierte dabei ist.
Die zweite Frage lautet, was der Delegierte macht, welche Projekte durch welche Gremien geführt werden und welche Kosten dort entstehen sollen. Das heisst, der Delegierte braucht auch in Bezug auf allfällige Kosten gewisse Kompetenzen, um seine Arbeit durchzuführen. Es geht insbesondere um Detailfragen: Wie wird kommuniziert? Welche Ansprechstellen bestehen? In welchen Projekten sind wir zuständig? In diesem Zusammenhang gibt es eine Initiative des Finanzplatzes zum Zahlungssystem. Das Zahlungssystem betrachten wir als besonders gefährdet. Es gibt eine Arbeitsgruppe mit Vertretern der Bankiervereinigung, der Börse, der Finma und der Nationalbank. Die Nationalbank wird noch vermehrt in den Lead gehen müssen, um diesen Bereich zu koordinieren. Unserer Meinung nach besteht im Nationalbankgesetz die rechtliche Grundlage für ein Meldesystem, damit dieser Zahlungsbereich funktionieren und rechtzeitig reagieren kann. Es sind für nächstes Jahr auch Übungen in diesem Bereich geplant, damit das, was wir theoretisch festlegen, auch geprüft werden kann.
Zur dritten Frage, der generellen Meldepflicht für Cybervorfälle: Wir werden nächstes Jahr eine entsprechende Vorlage vorbereiten. Wir sind noch daran festzulegen, ab welchem Level was gemeldet werden muss. Wir gehen aber davon aus, dass eine Meldepflicht für gewisse Vorfälle zwingend ist, um erstens daraus zu lernen und zweitens auch sofort reagieren und dann entsprechende Massnahmen treffen zu können, auch präventiv. In diesem Sinne arbeiten wir einerseits innerhalb der Bundesverwaltung mit den Departementen und den Ämtern, andererseits mit den Kantonen, aber auch mit der Privatwirtschaft zusammen.
Ein Bereich, den ich nicht angesprochen habe, sind die kritischen Infrastrukturen. Dort bestehen bereits gewisse Standards und Normen. Diese müssen ausgebaut und erweitert werden. Bei den kritischen Infrastrukturen - ich spreche von Elektrizität, von unserer Versorgung, aber es geht hin bis zum Detailhandel, der auch ein wichtiger Versorger innerhalb der Privatwirtschaft ist - sind wir in Diskussionen über gewisse Standards, an denen sich dann auch die Privatwirtschaft messen kann, um gegen Cyberangriffe gefeit zu sein. Es handelt sich aber um einen Prozess, der uns Jahre beschäftigen wird und der wahrscheinlich nie aufhört. Das müssen wir auch sehen.
Ich glaube, wir haben uns unterdessen so aufgestellt und so organisiert, dass wir hier Schritt für Schritt vorwärtskommen. Wir machen das wie immer mit schweizerischer Gründlichkeit. In unserem dreistufigen System braucht das manchmal etwas mehr Zeit. Ich bin aber zuversichtlich, wir haben hier wesentliche Fortschritte erzielt. [PAGE 1202]