Baumann Isidor · Ständerat · 2017-12-04
Baumann Isidor · Ständerat · Uri · CVP-Fraktion · 2017-12-04
Wortprotokoll
Die uns vorliegende Botschaft zum Informationssicherheitsgesetz hat der Bundesrat am 22. Februar dieses Jahres verabschiedet. Wir sind Erstrat.
Der Bundesrat will die Informationssicherheit beim Bund an die Herausforderungen der Informationsgesellschaft anpassen. Mit diesem Gesetz will der Bundesrat, dass für alle Bundesbehörden ein formell einheitlicher gesetzlicher Rahmen für den Schutz von Informationen und die Sicherheit beim Einsatz von Informatikmitteln geschaffen wird. Das Gesetz optimiert die Rechtsgrundlagen und passt sie an die Bedürfnisse der Digitalisierung an. Es schafft einen Mindeststandard an Informationssicherheit für alle Bundesbehörden, einschliesslich Parlament, eidgenössischer Gerichte, Bundesanwaltschaft und Nationalbank, und es schliesst damit zahlreiche Sicherheitslücken. Private und die Wirtschaft sind vom Gesetz nur dann betroffen, wenn sie im Auftrag der Bundesbehörden sicherheitsempfindliche Tätigkeiten ausführen. Mit dem Gesetz wird auch eine Fachstelle des Bundes für die Informationssicherheit zur behördenübergreifenden Steuerung der Informatiksicherheit geschaffen.
Wichtig zu wissen ist auch: Mit diesem Gesetz werden mehrere Empfehlungen der GPK und der GPDel umgesetzt, und es wird die Rechtsprechung des Bundesverwaltungsgerichtes berücksichtigt. Somit werden mit diesem Gesetz die rechtlichen Grundlagen der wichtigsten Massnahmen zur Informationssicherheit in einem einzigen Erlass zusammengefasst. Diese Massnahmen sind insbesondere das Management der Informationssicherheit, die Klassifizierung von Informationen, die Informationssicherheit oder, wie vielmals gehört, Cybersicherheit, die Verwaltung von Identitäten und Zugriffen, die Personensicherheitsprüfung, das Betriebssicherheitsverfahren - das bedeutet die Sicherheitsüberprüfung von Firmen, die gerne sicherheitsempfindliche Aufträge des Bundes übernehmen möchten -, die Unterstützung der kritischen Infrastrukturen im Bereich der Cybersicherheit durch die Melde- und Analysestelle Informationssicherung, Melani genannt, sowie die Organisation der Informationssicherheit.
Ihre Kommission, die SiK-SR, hat sich an vier Sitzungen intensiv mit dieser Vorlage auseinandergesetzt, zum ersten Mal im April und zum letzten Mal im Oktober dieses Jahres. Die Beratungen und Betrachtungen fanden immer im Beisein von Bundesrat Parmelin, dem Chef des VBS, Herrn Saladin, dem Chef Recht des VBS, und Herrn Perron von der Koordinationsstelle Informationsschutz des VBS statt.
An der ersten Sitzung wurden in einer breiten Auslegeordnung die Notwendigkeit sowie der grosse Umfang dieser Gesetzesvorlage versus eine schlankere Vorlage diskutiert. Es wurde auch Auskunft zu den finanziellen und personellen Auswirkungen verlangt. Bundesrat Parmelin erinnerte daran, dass der Grundauftrag für eine neue Rechtsgrundlage vom Bundesrat im Mai 2010 - Sie hören richtig! - erteilt wurde. Aufgrund der Ergebnisse einer Expertengruppe unter der Leitung von Professor Markus Müller hatte der Bundesrat 2011 entschieden, eine umfassende Rechtsgrundlage zu erarbeiten. Bundesrat Parmelin hob auch hervor, dass dieses Gesetz als Einheitserlass viele Doppelspurigkeiten eliminiere, Zuständigkeitsfragen kläre und zahlreiche hängige Anliegen der parlamentarischen Aufsichtsbehörden berücksichtige.
Zudem soll die neue Regelung für alle Behörden und Organisationen des Bundes gelten, damit ein möglichst einheitliches Sicherheitsniveau erreicht wird. Die Regelung über die Personensicherheitsprüfung wird vom Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit in das neue Gesetz übertragen und an die heutigen Bedürfnisse der Informationssicherheit angepasst. Infolgedessen will der Bundesrat den Einsatz der Personensicherheitsprüfung auf ein Mindestmass reduzieren.
Neu werden auch die Grundlagen für zwei wichtige Bereiche geschaffen: erstens die Betriebssicherheitsverfahren bei der Vergabe von sicherheitsempfindlichen Aufträgen an Dritte und zweitens die Bearbeitung von Adressierungselementen im Fernmeldebereich durch den Bund, dies zur Unterstützung von Betreiberinnen von kritischen Infrastrukturen.
Weiter sieht die Vorlage die Einsetzung eines Koordinationsorgans vor, in dem auch die Kantone Einsitz nehmen und an der Standardisierung der Massnahmen mitwirken.
Zu den finanziellen und personellen Auswirkungen wurde der Kommission nur eine Einschätzung des Bundesrates abgegeben. Er geht davon aus, dass nebst internen Personalverschiebungen mittelfristig zwischen vier und elf Stellen zusätzlich erforderlich sind.
Von den Kommissionsmitgliedern wurden sehr viele, zum Teil auch sehr kritische Fragen zur Notwendigkeit, zur Wirkung und zum Umfang dieses Gesetzes gestellt. Ich gehe auf ein paar Punkte kurz ein.
Ein Gesetz mit neunzig Artikeln, das sich eher wie eine Verordnung liest - ist das notwendig? Seitens der Verwaltung wurde begründet, dass man ursprünglich ein schlankeres Gesetz mit rund vierzig Artikeln anstrebte. Die Parlamentsdienste, die Bundesgerichte und die Schweizerische Nationalbank verlangten jedoch ganz klar, dass Bestimmungen, die für alle gelten sollen, im Informationssicherheitsgesetz aufzunehmen seien. Darum habe man die grosse Regelungsdichte in Kauf genommen, weil auch andere Behörden an einer einheitlichen Lösung interessiert seien. Somit enthält der Gesetzentwurf nun diese neunzig Artikel. Weil nur auf Gesetzesstufe für alle Betroffenen einheitliche Standards eingeführt werden können, figurieren nun gewisse Normen im Gesetz statt in der Verordnung.
Eine Frage war auch, warum bei der Ämterkonsultation so viele Änderungen verlangt wurden. Es gab 572 Anträge. In der Vernehmlassung sagten aber 11 Beteiligte Ja, 35 sagten "Ja, aber" und 3 "Nein, aber"; einzig die SVP lehnte die Vorlage ab. Der Kommission wurde beispielhaft aufgezeigt, dass das Informationssicherheitsgesetz sehr kontrovers beurteilt wurde, dies insbesondere, weil sehr stark divergierende Interessen vorhanden waren. Aufgrund ihrer bisherigen Arbeitsweise wollen einige auf jeglichen Schutz verzichten und andere am liebsten alles unter Verschluss behalten. Was jetzt vorliegt, ist selbst aus diesen divergierenden Meinungen heraus mehrheitsfähig geworden.
Weitere Themen der Fragen waren die Rolle der Kantone und die Kosten für die Kantone. Dazu wurde seitens der Verwaltung klar festgehalten, dass die Kantone nur dort betroffen sind, wo sie klassifizierte Informationen des Bundes bearbeiten oder auf Netzwerke des Bundes zugreifen; nur dann müssen die Kantone auch die Sicherheitsvorschriften des Bundes einhalten bzw. eigene, gleichwertige Vorschriften erlassen. Bei der Beurteilung und Gestaltung der Massnahmen wird mit den Kantonen zusammengearbeitet.
Was die Kosten der Kantone betrifft, wurde den Kantonen eine Zusammenstellung der Regierungskonferenz Militär, Zivilschutz, Feuerwehr übergeben. In dieser Zusammenstellung steht, dass die Kosten nicht abschätzbar sind. Es wurden [PAGE 843] Schätzungen gemacht, die in den einzelnen Kantonen von 20 000 bis 800 000 Franken gehen. Man spricht von einer Viertelstelle bis zu vier Stellen - es gibt also eine sehr grosse Spannweite bei den Einschätzungen des künftigen Aufwandes in den Kantonen. Es weiss es also niemand genau. Trotzdem haben der Vorlage 7 Kantone vorbehaltlos und 18 Kantone grundsätzlich zugestimmt; nur 1 Kanton lehnte die Vorlage ab.
Auf weitere spannende wie auch kritische Fragen in der Kommission zur Personensicherheitsprüfung, zu Cyber, Gesetzesentschlackung und anderem mehr gehe ich nicht weiter ein. Vielleicht kann ich Ihnen, wenn Sie Fragen haben, bei der Detailberatung noch weitere Auskunft geben.
Ihre Kommission kam in der ersten Sitzung zum Schluss, dass sie weitere Unterlagen benötigte und dass sie auch Anhörungen durchführen wollte. So verlangte sie Unterlagen und eine klare Präsentation mit verschiedenen Strukturen, die Hinweise darauf geben sollte, wie andere Gesetze betroffen würden. Sie verlangte eine Liste der zu schliessenden rechtlichen Lücken, eine Auflistung der indirekten Auswirkungen auf die Kantone sowie Angaben zu den personellen und finanziellen Folgen mit verbindlicheren Grössenordnungen, als sie bisher bekannt waren. Ihre Kommission bestimmte auch, welche Personen und Organisationen zu einer Anhörung eingeladen werden sollten.
An der zweiten Sitzung lagen die anbegehrten Unterlagen sehr detailliert vor, und es wurden folgende Anhörungen durchgeführt: mit Herrn Professor Markus Müller, Leiter der Expertengruppe; Herrn Paul Tschümperlin, Bundesgericht; Frau Martina Buol, Parlamentsdienste; Herrn Zsolt Madaràsz, Schweizerische Nationalbank. Alle Eingeladenen begrüssten den integralen Ansatz und die Vereinheitlichung der Klassifizierungsvorschriften. Auch dass Handlungsbedarf besteht, wurde von niemandem bestritten. Es gab aber auch Vorbehalte, so etwa Bemerkungen zu vermehrter Bürokratie, formalen Vorschriften und Mehraufwand.
Wie Sie sich sicher vorstellen können, gab es natürlich auch Aussagen zu den Sonderstellungen der Schweizerischen Nationalbank und der Gerichte, die zwar für die Vorlage sind, sich aber auf gewisse Alleinstellungsmerkmale ihres Status - "wir sind unabhängig" - berufen.
Auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, Herr Adrian Lobsiger, wurde angehört. Er würdigte, dass er in der Expertenkommission Einsitz nehmen konnte. Es sei für ihn wichtig, dass er zu den Verordnungen konsultiert werde, was so auch vorgesehen ist. Im Speziellen betonte er die Wichtigkeit der Aussage in Artikel 4 des Informationssicherheitsgesetzes, dass das Öffentlichkeitsgesetz auch im Bereich des Informationsschutzes uneingeschränkt gilt. Somit bestehen für ihn keine Differenzen zum Informationssicherheitsgesetz.
Von der Wirtschaft nahmen an der Anhörung teil: Herr Jean-Marc Hensch, Geschäftsführer von Swico, ein Branchenvertreter des Gewerbeverbandes; Herr Henrique Schneider, Schweizerischer Gewerbeverband; Herr Simon Osterwalder, Rechtsanwalt, ebenfalls Branchenvertreter des Gewerbeverbandes.
Hier darf ich einleitend festhalten: Die Wirtschaftsvertretung verhielt sich gegenüber dem Informationssicherheitsgesetz kritisch. Die anwesenden Vertreter der Wirtschaft äusserten sich tendenziell kritisch zu den einzelnen Artikeln und damit auch zum Stand der Gesetzesvorlage. Sie gaben aber auch zu, dass es innerhalb des Gewerbeverbandes nicht alle gleich betreffe, und sie machten sogar die Aussage, dass sicherheitsrelevante, also speziell betroffene Unternehmen die Vernehmlassung verschlafen hätten. Insbesondere bemängeln sie, dass im Gesetz die Bezeichnung "KMU" nicht vorkomme. Sie leiten daraus ab, das Gesetz müsse auf seine KMU-Tauglichkeit geprüft werden. Einmannbetriebe könnten nicht wie Weltkonzerne alle Auflagen bewerkstelligen.
Kritisiert wurde insbesondere die "Heimatschutzbestimmung" in Artikel 58 Absatz 2 Buchstabe b. Diese Bestimmung überzeuge aus Sicht der Wirtschaft nicht, sei diskriminierend und praktisch nicht durchführbar. Dieselbe Kritik wurde zu Artikel 59 im 4. Kapitel, "Betriebssicherheitsverfahren", ausgesprochen. Diese Bestimmung gehe zu weit, weil die einzelnen Unternehmen nicht nur polizeilich, sondern auch nachrichtendienstlich und auch aufgrund ihres öffentlichen Auftretens beurteilt würden.
Die Vertreter der Wirtschaft haben die Kommission auch gebeten, dafür zu sorgen, dass das Informationssicherheitsgesetz mit der laufenden Revision des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB) abgestimmt werde.
Zum Schluss wurden auch die Kantone angehört, und zwar in der Person von Herrn Alexander Krethlow, Generalsekretär der Regierungskonferenz Militär, Zivilschutz und Feuerwehr. Er hob zu Beginn der Anhörung hervor, dass die Kantone die Schaffung eines Gesetzes ausdrücklich begrüssten und dass sie die Intensivierung der Zusammenarbeit zwischen Bund und Kantonen befürworteten. Darauf folgte jedoch sofort die Forderung, dass die Aufwendungen der Kantone für die Tätigkeiten nach Informationssicherheitsgesetz vollumfänglich vom Bund entschädigt würden. Für die Kantone ist, wie vorgesehen, die Mitwirkung an der Ausarbeitung der Vollzugserlasse zwingend. Zusammengefasst heisst das: Die Kantone sind für das Gesetz, jedoch wollen sie keine Kosten tragen. Gleichzeitig wollen sie in die kommenden Prozesse gut eingebunden sein und ein grosses Mitsprache- und Entscheidungsrecht.
Am Schluss dieser Anhörungssitzung, die als sehr aufschlussreich empfunden wurde, verlangte die Kommission vom VBS eine Stellungnahme zur Koordination des Informationssicherheitsgesetzes mit der geplanten Totalrevision des Bundesgesetzes über das öffentliche Beschaffungswesen. Das VBS soll Antworten auf die Frage geben, wie diese Themenkomplexe zueinander stehen und inwiefern sie miteinander synchronisiert werden müssen. Die Kommission verlangte auch eine synoptische Darstellung des VBS zu den Änderungsvorschlägen und Empfehlungen der angehörten Kreise, dies mit einer Stellungnahme, wie das VBS zu den vorgebrachten Änderungsvorschlägen stehe und welche Empfehlungen es der Kommission abgebe.
An der dritten und vierten Sitzung lagen der Kommission alle anbegehrten Stellungnahmen vor, wobei das VBS die Ablehnung oder Formulierungsanpassungen jeweils bestens begründet hat. Dies war auch die Grundlage für unsere Detailberatung.
Ebenso lagen die Mitberichte der GPK-SR und der GPK-NR vor. Die GPK-SR beantragte Präzisierungen in den Artikeln 29 und 30; ich komme in der Detailberatung darauf zurück. Die GPK-NR fokussierte sich in ihrer Stellungnahme auf die Personensicherheitsprüfung (PSP), so unter anderem auf die Reduktion der PSP und deren Ressourcen. Sie schlug im Weiteren die Überprüfung von Artikel 1 Absatz 2 sowie der Artikel 28 Absatz 3 und 42 vor.
Ihre Kommission führte dann in Kenntnis der Anhörungsanliegen und aller zusätzlichen, schriftlich vorliegenden Eingaben zu diesem Gesetzentwurf die Eintretensdebatte. Sie kam in Abwägung aller Fakten zu folgender Zusammenfassung:
1. Sicherheit von E-Government: Das Informationssicherheitsgesetz ist grundsätzlich ein Gesetz für die Sicherheit von E-Government, auch auf Stufe Bund. Das Informationssicherheitsgesetz passt die Rechtsgrundlagen zum Schutz von Informationen und Informationssystemen an die Bedürfnisse der Digitalisierung an, was zahlreiche bisherige Massnahmen und Regulierungen überflüssig macht.
2. Rechtliche Befestigung der bestehenden Informationssicherheit: Zahlreiche bestehende Massnahmen der Informationssicherheit benötigen aus verfassungs- oder datenschutzrechtlichen Gründen eine formell-gesetzliche Grundlage. Dieses Geschäft schafft diese Grundlage.
3. Verstärkung der Informationssicherheit: Formell-gesetzliche Grundlagen sind notwendig, um zahlreiche Sicherheitslücken zu schliessen. Das Gesetz kann diese Lücken schliessen.
4. Optimierung der Informationssicherheit: Formell-gesetzliche Grundlagen sind notwendig, um die Wirksamkeit und Effizienz der Regelungen, der Massnahmen und der Organisation zu erhöhen. Die bestehenden Regelungen sind verstreut, sektoriell ausgerichtet, kaum aufeinander [PAGE 844] abgestimmt und sehr lückenhaft. Darum ist ein Informationssicherheitsgesetz notwendig.
Ihre Kommission ist sich aber bewusst: Im Endeffekt wird die Wirksamkeit des Gesetzes nur an der Erreichung der Sicherheitsziele gemessen werden können, die im Rahmen des Vollzugs festgelegt werden. Diese Sicherheitsziele werden auch für die Kosten massgebend sein. Für die Kommission ist auch wichtig, dass die Vernehmlassung gezeigt hat, dass der Rechtsetzungsbedarf und der Lösungsvorschlag des Bundesrates grundsätzlich unbestritten sind. Alle Parteien haben den Vorentwurf begrüsst, teilweise mit einzelnen Vorbehalten - nur die SVP hat ihn, wie bereits erwähnt, abgelehnt. Die Anhörungen in der SiK-SR haben dies bestätigt. Die Vertreterinnen und Vertreter des Bundesgerichtes, der Nationalbank, der Parlamentsdienste, die Kantone sowie der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte befürworten die Vorlage. Die Vertreter der Wirtschaft haben dennoch Vorbehalte bezüglich Massnahmen zur Wahrung der Informationssicherheit bei der Vergabe von sicherheitsempfindlichen Aufträgen. Dieser Preis ist jedoch für die Sicherheit unumgänglich.
Unbefriedigend bleibt, dass zurzeit keine genauen Angaben zu den Umsetzungskosten gemacht werden können. Die finanziellen und personellen Auswirkungen des Gesetzes hängen nämlich fast vollständig vom zu erreichenden Sicherheitsniveau ab, das die Bundesbehörden im Rahmen des Vollzugs bestimmen werden. Darum verlangt die SiK-SR, dass der Bundesrat sie zu allen kostenrelevanten Umsetzungsstrategien und Vollzugserlassen konsultiert. Der Bundesrat ist damit einverstanden.
Basierend auf all diesen Erkenntnissen hat die SiK-SR mit 8 zu 0 Stimmen bei 5 Enthaltungen Eintreten beschlossen. In der Gesamtabstimmung wurde dem Entwurf mit 11 zu 0 Stimmen bei 1 Enthaltung zugestimmt. [GZ]
Ich empfehle Ihnen, Ihrer Kommission zu folgen.