Lexipedia

24.3111 · Interpellation · 2024-03-07

Departement für Verteidigung, Bevölkerungsschutz und Sport

Erledigt

Wortlaut

1. Wie analysiert der Bundesrat die bedeutenden Cyberangriffe, die während der letzten Legislatur gegen das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS), die Armee, die RUAG, das Bundesamt für Polizei (fedpol), das Bundesamt für Zoll und Grenzsicherheit (BAZG) und das Bundesamt für Bevölkerungsschutz (BABS) sowie gegen deren Einrichtungen und Lieferanten stattgefunden haben und bis heute andauern?

2. Hat er eine Analyse unserer Schwachstellen vorgenommen?

3. Was sind die Schutzkonzepte und wer übernimmt die Verantwortung für deren Umsetzung bei:

  • der Armee?

  • dem restlichen VBS?

  • dem BABS?

  • fedpol?

  • dem BAZG?

  • der RUAG?

4. Worin besteht die Rolle des Bundesamtes für Cybersicherheit (BACS) genau? Was ist sein Grad an Verantwortung für die in Frage 3 genannten Organisationen und welche sind seine Lieferanten?

5. Müsste nicht eine unabhängige und äusserst gründliche Prüfung des Cyberschutzes der in Frage 3 genannten Organisationen und ihrer Lieferanten durchgeführt werden?

Stellungnahme des Bundesrates

Zu 1 und 2) Die Bundesverwaltung und die Armee sind täglich mit Cyberangriffen konfrontiert. Zur Abwehr dieser Angriffe, setzen sie deshalb Schutzmassnahmen um. In der letzten Legislatur wurden keine Vorfälle festgestellt, bei denen befürchtet werden musste, dass Angreifer in die Netze der Bundesverwaltung, der Armee oder der RUAG eindringen konnten. Schwerwiegende Folgen hatte jedoch der Angriff auf die Firma Xplain AG. Dieser Angriff richtete sich zwar nicht gegen die Netze des Bundes, sondern ausschliesslich gegen die Firma Xplain AG. Dennoch gelang es den Angreifern, schützenswerte und teilweise auch klassifizierte Informationen des Bundes, die bei der Firma Xplain AG vorhanden waren, zu entwenden. Der Bundesrat hat am 23. August 2023 eine Administrativuntersuchung angeordnet, welche diesen Vorfall untersucht und zudem prüft, welche Prozesse und Vorgaben in der Bundesverwaltung angepasst werden müssen, um Sicherheitsrisiken zu minimieren. Zu 3 und 5) Seit dem 1. Januar 2024 ist die Informationssicherheitsverordnung (ISV; SR 128.1) in Kraft, welche den Verwaltungseinheiten des Bundes die Verfahren zum Schutz ihrer Informationen und Informatikmittel vorschreibt. Die Verwaltungseinheiten werden verpflichtet, ihr Sicherheitsmanagement zu verbessern. Dazu müssen sie ihre Sicherheitskonzepte regelmässig aktualisieren und in einem jährlichen Kontroll- und Auditplan festhalten, wie sie die Einhaltung der Vorgaben der ISV bei sich selbst und bei ihren externen Dienstleistern überprüfen werden (Art. 13 Abs. 1 ISV). Die neue Fachstelle des Bundes für Informationssicherheit, welche im Staatssekretariat für Sicherheitspolitik (SEPOS) angesiedelt ist, stellt den Kontroll- und Auditbedarf für die gesamte Bundesverwaltung fest und kann selbst Überprüfungen durchführen (Art. 13. Abs. 3 und 4 ISV). Die sicherheitsempfindlichen Lieferanten des Bundes werden vom SEPOS betreut, regelmässig kontrolliert und bei Bedarf auditiert. Zu 4) Das Bundesamt für Cybersicherheit (BACS) ist das Kompetenzzentrum der Schweiz für Cybersicherheit. Seine Aufgaben und Funktionen sind in der Organisationsverordnung VBS (OV-VBS; SR 172.214.1) und der ISV geregelt. Für die Vorgaben und die Aufsicht der Informationssicherheit in der Bundesverwaltung ist die Fachstelle des Bundes für Informationssicherheit im SEPOS zuständig. Die Fachstelle Informationssicherheit wird 2024 in enger Zusammenarbeit mit dem BACS schrittweise aufgebaut. Entsprechend ist das BACS gemäss Übergangsbestimmung der ISV (Art. 51) bis Mitte 2025 weiterhin für die Vorgaben und Aufsicht der Informationssicherheit zuständig. Nach der Übergabe dieser Aufgaben an die Fachstelle Informationssicherheit konzentrieren sich die Aufgaben des BACS für die Bundesverwaltung und die Armee auf die fachliche Beratung in Fragen der Cybersicherheit. Das BACS kann weiterhin die Bundesverwaltung bei der Bewältigung von Sicherheitsvorfällen und der Behandlung von Sicherheitslücken unterstützen sowie bei grösseren Cybervorfällen, mit Zustimmung der betroffenen Verwaltungseinheit und des betroffenen Departements und durch Entscheid von SEPOS, die Federführung in der Vorfallbewältigung übernehmen. Zudem kann das BACS weiterhin in der Informatikinfrastruktur der Bundesverwaltung nach technischen Bedrohungen und Schwachstellen suchen.

Wiederholte Cyberangriffe im Verteidigungs- und Sicherheitsbereich | Lexipedia | Lexipedia