21.7995 · Fragestunde. Frage · 2021-11-29
Parlament
Erledigt
Wortlaut
Gemäss der Anfang 2021 in Kraft getretenen revidierten VSB ist Fedpol für die Sicherheit der Mitglieder der Bundesversammlung zuständig. In der VSB ist aber nur von Personen und Gebäuden in Bundesverantwortung die Rede. IT-Systeme sind nicht erwähnt.
- Hat das EJPD die Cyber-Sicherheit vergessen?
- Wer ist für die IT-Sicherheit der Parlamentsmitglieder zuständig?
- Führt Fedpol eine Statistik über Cyber-Angriffe auf Ratsmitglieder?
- Welche Massnahmen ihrem Schutz wurden getroffen?
Stellungnahme des Bundesrates
Die IT des Parlaments ist Teil des geschützten Bundesnetzwerks. Dieses wird durch Swisscom rund um die Uhr überwacht. Bei einem Cyberangriff werden die Parlamentsdienste unverzüglich alarmiert. Sie können zur Unterstützung weitere Fachspezialisten beiziehen.
1. Die Verordnung über die digitale Transformation und die Informatik sowie die Cyberrisikenverordnung regeln die Zuständigkeiten bei Cybervorfällen in der Bundesverwaltung und die entsprechenden Prozesse im Detail. Insbesondere sehen diese Verordnungen vor, dass die jeweiligen Organisationseinheiten für die Bewältigung derjenigen Cybervorfälle zuständig sind, die sich gegen ihre Informatikschutzobjekte richten. Für die Cybersicherheit der Parlamentsmitglieder sind demnach die Parlamentsdienste verantwortlich. Das Nationale Zentrum für Cybersicherheit NCSC im Eidgenössischen Finanzdepartement unterstützt die von Cybervorfällen betroffenen Behörden inkl. die Parlamentsdienste.
2. Gemäss Artikel 27 Absatz 1bis der Parlamentsverwaltungsverordnung (ParlVV; SR 171.115) ernennt die Verwaltungsdelegation eine Sicherheitsbeauftragte oder einen Sicherheitsbeauftragten der Bundesversammlung. Diese oder dieser ist in allen Bereichen der Sicherheit zuständig für die Planung und die Organisation von Schutzmassnahmen für Ratsmitglieder und Mitarbeitende der Parlamentsdienste. Sie oder er wird unterstützt durch die oder den IT Sicherheitsbeauftragten der Parlamentsdienste und arbeitet eng zusammen mit weiteren Bundesstellen, insbesondere dem nationalen Center für Cybersicherheit NCSC.
Wenn Parlamentsmitglieder Fedpol einen Cyber-Angriff melden, berät Fedpol die betroffene Person und koordiniert allfällige Massnahmen mit den Parlamentsdiensten und mit dem NCSC. Ist eine eingehende Meldung mit einer Drohung verbunden, nimmt Fedpol eine Gefährdungseinschätzung vor und ordnet bei Bedarf Schutzmassnahmen an. Liegt eine strafrechtliche Relevanz vor, leitet Fedpol die Informationen an die zuständigen Strafverfolgungsbehörden weiter und kann mit Ermittlungen beauftragt werden.
3. Die Parlamentsdienste kennen die Fälle, die ihnen gemeldet werden. 2020 waren dies 30, davon 5 bedeutend, 2021 bisher 31, davon 6 bedeutend. Fedpol führt keine Statistik über Cyber-Angriffe auf Parlamentsmitglieder.
4. Neben den allgemeinen für das IT-Netzwerk (z. B. Zwei-Faktor-Authentisierung auf Parlnet) gibt es weitere Schutzmassnahmen wie Antivirus-Programme oder Verschlüsselungsmöglichkeiten für die einzelnen Ratsmitglieder. Die Parlamentsdienste lassen die Infrastruktur regelmässig durch externe Spezialisten auditieren. Gefundene Schwachstellen werden behoben. Bezieht ein Ratsmitglied ein Standard-Gerät der Parlamentsdienste, sind auf diesem Grundschutzmassnahmen installiert und aktiv. Dies gilt solange Ratsmitglieder diese Massnahmen einhalten. Ratsmitglieder, welche die Kredit-Variante nutzen sind selber verantwortlich für die IT-Sicherheit ihrer Geräte. Neben allen technischen Mitteln steht der Mensch nach wie vor im Mittelpunkt. Die Parlamentsdienste sensibilisieren und beraten deshalb regelmässig die Ratsmitglieder (siehe Wegweiser "Bedrohung, Belästigung, Beschimpfung: ein Wegweiser für die Ratsmitglieder").