Der Bundesrat will mit einem neuen Gesetz dafür sorgen, dass Computersysteme und Informationen in der Bundesverwaltung besser vor Angriffen und Missbrauch geschützt sind. Über das Informationssicherheitsgesetz kann nun das Parlament entscheiden.
Der bisher grösste bekannte Angriff betraf den bundeseigenen Rüstungskonzern RUAG. Angriffe auf Informationssysteme hätten gezeigt, dass es Lücken gebe, schreibt der Bundesrat in seiner am Donnerstag veröffentlichten Botschaft ans Parlament.
Das Thema dürfe aber nicht auf den Schutz vor Cyber-Angriffen reduziert werden. Spionage beispielsweise werde immer noch auch mit alten Methoden durchgeführt. Neben technischen brauche es vor allem organisatorische Massnahmen.
Die heutigen Lücken sind laut dem Bundesrat auch auf unzeitgemässe Rechtsgrundlagen zurückzuführen. Heute finden sich die rechtlichen Grundlagen verstreut in verschiedenen Erlassen. Mit dem neuen Gesetz will der Bundesrat nun für alle Bundesbehörden einen einheitlichen formell-gesetzlichen Rahmen zum Informationsschutz schaffen.
Unternehmen mit Auftrag
Das Gesetz betrifft primär die Bundesbehörden, das Parlament, die eidgenössischen Gerichte, die Bundesanwaltschaft und die Nationalbank. Private und die Wirtschaft sind nur dann betroffen, wenn sie im Auftrag der Bundesbehörden sicherheitsempfindliche Tätigkeiten ausüben.
Der Bundesrat will aber die Zusammenarbeit mit den Kantonen verbessern. Diese sollen für eine gleichwertige Informationssicherheit sorgen, wenn sie klassifizierte Informationen des Bundes bearbeiten oder auf seine Informatikmittel zugreifen. Viele Kantone hatten in der Vernehmlassung Präzisierungen verlangt. Daraufhin überarbeitete das Verteidigungsdepartement (VBS) die Vorlage.
Öffentlichkeitsprinzip bleibt
Geregelt werden das Risikomanagement und die Klassifizierung von Informationen. Dadurch besteht ein Spannungsverhältnis mit dem Öffentlichkeitsgesetz, das jede Person grundsätzlich berechtigt, amtliche Dokumente einzusehen und von den Verwaltungseinheiten Auskünfte zu erhalten.
Im Informationsschutzgesetz soll aber verankert werden, dass das Öffentlichkeitsgesetz Vorrang hat. Damit werde klar festgehalten, dass das Öffentlichkeitsprinzip durch die Regelung der Informationssicherheit nicht eingeschränkt werde, schreibt der Bundesrat. Ob der Zugang zu amtlichen Dokumenten gewährt werde, sei unabhängig vom neuen Gesetz zu entscheiden.
Weniger Internes und Geheimes
Ohnehin sollen künftig weniger Informationen klassifiziert werden. Das Klassifizierungssystem soll aber weiterhin dreistufig sein: «Intern», Vertraulich« und »Geheim«. In der Vernehmlassung hatte der Bundesrat zur Diskussion gestellt, den Vermerk »Intern“ abzuschaffen.
Weiter soll die Zahl der Personensicherheitsprüfungen erheblich sinken. Seit 2012 werden jährlich zwischen 70’000 und 80’000 Prüfungen durchgeführt, davon über 60’000 bei Stellungspflichtigen und Angehörigen der Armee. Künftig sollen sich nur noch Personen der Prüfung unterziehen müssen, die in der Bundesverwaltung eine «sicherheitsempfindliche» Tätigkeit ausüben.
Nicht für das Reinigungspersonal
Als «sicherheitsempfindlich» gilt eine Tätigkeit nur dann, wenn öffentliche Interessen oder Eigeninteressen des Bundes mindestens erheblich beeinträchtigt werden könnten. Das Reinigungspersonal beispielsweise führe in der Regel keine sicherheitsempfindliche Tätigkeit gemäss dem Gesetz aus, auch wenn es hin und wieder Zugang zu klassifizierten Informationen erhalte, erklärt der Bundesrat.
Künftig soll es ausserdem nur noch eine Grundsicherheitsprüfung und eine erweiterte Prüfung geben. Die erweiterte Prüfung mit Befragung soll abgeschafft werden.
Ausweise für Unternehmen
Ferner will der Bundesrat mit dem Gesetz ein neues Verfahren zur Kontrolle und Begleitung von Unternehmen schaffen, die sicherheitsempfindliche Aufträge des Bundes erfüllen. Dieses Betriebssicherheitsverfahren wolle er gezielt und möglichst unbürokratisch einsetzen, versichert er.
Gleichzeitig will er eine Grundlage für die Abgabe von Sicherheitserklärungen zu Gunsten von Schweizer Unternehmen schaffen, die sich für ausländische Aufträge bewerben und dazu eine nationale Sicherheitserklärung benötigen.
Kosten von Umsetzung abhängig
Zu den Kosten äussert sich der Bundesrat vage: Diese hingen weitgehend vom Ausführungsrecht und vom Sicherheitsniveau ab, das die Bundesbehörden erreichen wollten, schreibt er. Den personellen Mehrbedarf will er indes weitgehend durch eine Reduktion des Personalaufwands für die Personensicherheitsprüfungen kompensieren.
In den Departementen wird die neue Funktion des Informationssicherheitsbeauftragten die bisher getrennten Rollen der Informationsschutzbeauftragten und der Informatiksicherheitsbeauftragten ersetzen.