Lexipedia

19.3121 · Motion · 2019-03-14

Finanzdepartement

Erledigt

Wortlaut

Infolge des Datenskandals, der durch das Westschweizer Radio und Fernsehen (RTS) aufgedeckt wurde und bei dem Tausende Zugangsdaten von Personen aus der Bundesverwaltung und den Kantonen betroffen gewesen sind, reiche ich folgende Motion ein:

Um die Vertraulichkeit der Daten sowie die Infrastrukturen des Bundes und der Kantone zu schützen, stellt der Bundesrat der Melde- und Analysestelle Informationssicherung (Melani) die nötigen Mittel zur Verfügung, damit die Dienste von Bund und Kantonen die folgenden Aufgaben wahrnehmen können:

1. Das Auftreten neuer Datenlecks von Zugangsdaten (sogenannte Zero-Day-Lücken) feststellen, einschliesslich im Zusammenhang mit dem Darknet.

2. Sich einen regelmässigen und systematischen Überblick über mögliche Datenlecks und das Sammeln von Zugangsdaten verschaffen.

3. Eine umfassende Auswertung dieser Datenbanken vornehmen, um die Sicherheit des Staates zu gewährleisten.

4. Die Ergebnisse dieser Auswertungen den Kantonen übermitteln, damit diese geeignete Massnahmen treffen können.

5. Sich beim Nachrichtendienst des Bundes und bei der Polizei über Zero-Day-Lücken informieren, damit insbesondere die für den Schutz der Kommunikations- und Speichersysteme verantwortlichen Personen aktiv informiert werden können.

Der Bundesrat schlägt eine Anpassung der entsprechenden Gesetze (NDG, Büpf usw.) vor, damit für diese Aufgaben die nötige rechtliche Grundlage vorhanden ist.

Begründung

Die technologische Überwachung dieser Datenbanken und Zero-Day-Lücken wird es ermöglichen, dem Missbrauch von gestohlenen Daten und Sicherheitslücken vorzugreifen. Deren Nutzungsmöglichkeiten sollen eingeschränkt und die nationale Sicherheit so verbessert werden. Die Auswertung dieser Daten an einer zentralen Stelle wird es erlauben, alle Ebenen des Staates optimal und mit geringen Kosten abzudecken.

Zur Erinnerung: Eine Zero-Day-Lücke ist eine Schwachstelle im IT-System, die weder bekannt ist noch behoben werden kann. Es handelt sich also um die Schwachstellen mit dem potenziell höchsten Risiko.

Antrag des Bundesrates

Der Bundesrat beantragt die Ablehnung der Motion.

Stellungnahme des Bundesrates

Die in den Medien bekanntgemachte Datensammlung ist den Bundesbehörden (insbesondere Melani) seit Mitte Januar 2019 bekannt. Es handelt sich dabei nicht um ein neues Datenleck, sondern um eine Sammlung verschiedener, teilweise sehr alter Daten, die bei früheren Angriffen entwendet worden sind. Zu den vom Motionär genannten Punkten nimmt der Bundesrat wie folgt Stellung:

1. Melani und andere im Bereich Cyber tätige Organisationen des Bundes (z. B. Nachrichtendienst des Bundes, Bundesamt für Polizei usw.) verfügen schon heute über ein internationales operatives Netzwerk. Mit diesen Organisationen werden laufend Erkenntnisse, darunter auch solche über Datenlecks und Zero-Day-Lücken, ausgetauscht. Über die polizeilichen Ermittlungen im Darknet hat der Bundesrat in seiner Antwort auf die Interpellation Imark 16.3829 Auskunft gegeben.

2. Die im Cyberbereich tätigen Bundesstellen beziehen aus den unter Ziffer 1 genannten Quellen u. a. auch Informationen über gestohlene Datensätze und werten diese im Rahmen ihrer zur Verfügung stehenden personellen, finanziellen und infrastrukturellen Möglichkeiten aus. Mit dem Aufbau des Kompetenzzentrums Cybersicherheit und der Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) plant der Bundesrat eine Stärkung der Fähigkeiten zur Beschaffung und Auswertung solcher Informationen.

3. Das Beispiel des Datenlecks "Collection #1-5" zeigt, dass solche Auswertungen heute schon stattfinden. Der Datensatz wurde bereits kurz nach Bekanntwerden durch die zuständigen Bundesbehörden (insbesondere das Computer Security Incident Response Team des Bundesamtes für Informatik und Telekommunikation [BIT CSIRT], das militärische Computer Emergency Readiness Team [Mil-Cert], Melani) bezüglich betroffener E-Mail-Adressen von Bundesangestellten analysiert. Die betroffenen Ämter und Departemente wurden unverzüglich durch die obengenannten Stellen informiert und haben Empfehlungen erhalten, wie mit diesem Problem umzugehen ist.

4. Sämtliche Schweizer Kantone sind im "geschlossenen Kundenkreis von Melani" vertreten und können über ein gesichertes Portal Informationen über verschiedenste Cyberbedrohungen, darunter auch "Collection #1-5", beziehen und Informationen austauschen.

5. Betreiber kritischer Infrastrukturen erhalten heute schon von Melani sicherheitsrelevante Informationen (auch zu Zero-Day-Lücken). Rechtliche Grundlage dafür ist das Nachrichtendienstgesetz (Art. 6 Abs. 5 i. V. m. Art. 6 Abs. 1 Bst. a Ziff. 4 NDG). Es wird bei der Umsetzung der NCS geprüft, ob für die aktive Information weiterer Kreise (kritische Infrastrukturen, KMU, Bevölkerung usw.) durch den Bund zusätzliche rechtliche Grundlagen geschaffen werden müssen.

Der Bundesrat beantragt die Ablehnung der Motion.