20.4057 · Interpellation · 2020-09-22
Departement für Verteidigung, Bevölkerungsschutz und Sport
Erledigt
Wortlaut
Die IT-Probleme der Armee sorgen wiederholt für negative Schlagzeilen (z.B. NZZ Artikel vom 31. August 2020, Lukas Mäder, "Probleme der Armee-IT und kein Ende"). Aber auch die Bundesverwaltung schlägt Alarm: Das Sicherheitsniveau genügt den militärischen Anforderungen nicht, ja selbst elementare Sicherheitskontrollen fehlen, so dass die Cyber-Prävention grosse Fragen aufwirft.
Der Bundesrat hält in seiner neuen "IKT-Strategie des Bundes 2020-2023" vom April 2020 fest, die mit der Digitalisierung verbundenen durchgängigen Prozesse und die gemeinsame Datennutzung erforderten "eine erhöhte Wahrnehmung der Sicherheit, auch zur Gewährleistung des Vertrauens".
Und zugleich wird verlangt: "Bevor eine neue Lösung beschafft oder entwickelt wird, muss eine Wiederverwendung bestehender Lösungen aus wirtschaftlichen Gründen ausgeschlossen werden. Die Nutzung verfügbarer IKT-Lösungen hat Vorrang vor der Bereitstellung individueller IKT-Lösungen." Der Bund soll also, wenn immer möglich, auch auf Industrie-Lösungen zurückgreifen.
Ich bitte den Bundesrat folgende Fragen zu beantworten:
1. Ist der Bundesrat nicht auch der Meinung, dass er - insbesondere in der Armee - in das fehlende Sicherheitsbewusstsein investieren und dafür sorgen sollte, dass die IT-Sicherheit bzw. die gesicherte Datenablage möglichst schnell gewährleistet ist?
2. Wie rasch und in welchem Ausmass hat der Bundesrat vor, zur Rückgewinnung der Sicherheit und Datensouveränität in die Informations- und Management-Systeme im Bereich Verteidigung zu investieren?
3. Wie stellt er sich zum Widerspruch, dass der Bund auf der einen Seite die Machbarkeit individueller IKT-Lösungen (z.B. Swiss Cloud, Apps) prüft und auf der anderen Seite fordert, bestehende Lösungen zu nutzen? Wäre es nicht angebrachter, bestehende technische Lösungen für Schweizer Bedürfnisse sicher und rechtskonform zu machen?
4. Ist der Bundesrat auch bereit, für die Lösung der IT-Probleme Private-Public-Partnerships einzugehen und beispielsweise ein Industry-Advisory-board zu gründen?
Stellungnahme des Bundesrates
1. Ein solides Sicherheitsbewusstsein bildet die Grundlage für eine nachhaltige Informationssicherheit. Deshalb wird die Sensibilisierung des Kaders und der Mitarbeitenden auf Stufe Bund, VBS und Armee durch regelmässige Awareness-Kampagnen gefördert. Im VBS legt die Departementschefin zur Förderung der Sicherheit jährliche Ausbildungsziele fest, welche auch die Gruppe Verteidigung erfüllen muss. Die Armee selbst hat ein Team "Ausbildung und Awareness Cyber Security" aufgebaut, um das Sicherheitsbewusstsein zu fördern. Zudem ist die Armee stets bemüht, Erfahrungen zu sammeln und sich bezüglich Informations- und Cybersicherheit kontinuierlich zu verbessern.
2. Der Bundesrat ist sich bewusst, dass eine wirksame Informations- und Cybersicherheit klare Aufgaben, Kompetenzen und Verantwortlichkeiten sowie ordentliche Prozesse voraussetzt. In der Botschaft zum neuen Informationssicherheitsgesetz (BBl 2017 2953) hat er deshalb vorgeschlagen, dass alle Bundesbehörden ein Informationssicherheits-Management-System (ISMS) nach international anerkanntem Standard umsetzen. Die Gruppe Verteidigung setzt bereits seit bald zwei Jahren ein solches ISMS um, welches stets an Maturität und Wirksamkeit gewinnt. Darüber hinaus hat die Armee weitere grundlegende Massnahmen getroffen sowie hohe Investitionen getätigt, um den Schutz ihrer Daten und Systeme zu modernisieren. Insbesondere wurde bei der Führungsunterstützungsbasis der Armee eine neue Abteilung "Cyber Security" gebildet, in welcher die Sicherheitsstrategie, die integrale Sicherheit und die Überwachung der Netzwerke und Systeme der Armee aus einer Hand geführt werden. Der Bundesrat wird im Rahmen der jährlichen Berichterstattung zum Stand der Informatiksicherheit im Bund prüfen, wie die von der Armee zur Gewährleistung einer hohen Informations- und Cybersicherheit eingeleiteten Massnahmen in Anbetracht der sich stetig ändernden Cyber-Bedrohungen Wirkung zeigen und wo diese allenfalls verstärkt werden müssen.
3. Aus Sicht des Bundesrates liegt keine widersprüchliche Ausrichtung vor. Ob auf bestehende technische Standardprodukte oder Individualentwicklungen abgestellt werden soll, ist jeweils im Einzelfall zu prüfen. Gerade im Bereich Sicherheit kann es sich als erforderlich erweisen, massgeschneiderte Lösungen einzusetzen oder bestehende Standardlösungen mit individuellen Komponenten zu ergänzen. Eine der Kernaussagen der IKT-Strategie des Bundes 2020-2023 ist, dass vorab geprüft werden soll, ob sich eine spezifische Lösung tatsächlich rechtfertigt, bevor eine solche beschafft wird oder gegebenenfalls verwaltungsintern entwickelt wird. Wenn immer möglich soll auf geeignete, bereits bestehende Lösungen zurückgegriffen werden. Dies können Lösungen sein, die in der Bundesverwaltung bereits eingesetzt werden, oder auch solche, die auf dem Markt beschafft und möglichst ohne Abweichungen vom Standard eingesetzt werden können.
4. Zusammenarbeitsformen im Sinne einer "Public Private Partnership" (PPP) kommen bereits heute verschiedentlich zur Anwendung. In der Regel geschieht dies fokussiert auf konkrete Fragestellungen und insbesondere bei Themen, bei denen der Bund auf spezifisches Knowhow der Privatwirtschaft angewiesen ist. Dabei sind die rechtlichen Rahmenbedingungen einzuhalten. Zu verschiedenen fachlichen Schwerpunktthemen bestehen bereits Gremien, mit denen die Departemente den Wissens- und Erfahrungsaustausch institutionalisieren, so etwa auch zum Thema Cyber-Risiken. Ein Bedarf für zusätzliche Gremien ist derzeit nicht ausgewiesen.
Antwort des Bundesrates.