Armee XXI. Informatiksicherheit

200411832025-06-24T22:04:00Z09;34;angewandte Informatik;Armeereform;Datenschutz;eingeschränkte Verbreitung;Vertraulichkeit;InformationsaustauschA18Anfrage2369m304Baumann J. AlexanderBaumann J. AlexanderFraktion VV4Fraktion der Schweizerischen VolksparteiauthorNR1NationalratN2004-12-17T00:00:00Z474706L04K04020306Armeereform1L04K12030101angewandte Informatik1L04K12010103Informationsaustausch1L05K1201020202Vertraulichkeit1L05K1201020201eingeschränkte Verbreitung1L04K05020513Datenschutz22005-03-04T00:00:00Z0VBS6Departement für Verteidigung, Bevölkerungsschutz und Sporttrue2004-12-17T00:00:009Eingereicht2005-03-04T00:00:00229ErledigtdeNR1NationalratN12369m304Baumann J. AlexanderBaumann J. AlexanderFraktion VV4Fraktion der Schweizerischen Volksparteiauthor04.1183229Erledigt0014Antwort BR / BüroFür die Bearbeitung von schützenswerten Informationen auf den Informatikmitteln der Gruppe Verteidigung ist der Einsatz einer Sicherheitssoftware in den Weisungen des Chefs der Armee vom 1. Dezember 2004 über den Einsatz von Informationsschutzsoftware im VBS geregelt. Winsec ist bis Windows NT nutzbar. Ab Windows 2000 steht Secure Center XP als Ersatz von Winsec zur Verfügung.Der Bundesrat beantwortet die Fragen zusammenfassend wie folgt:A. Beim Einsatz von Büroautomationssystemen der Kommandoposten der grossen Verbände ist eine Informationsschutzsoftware nicht zwingend erforderlich, weil der Einsatz zurzeit nur in den Schutzzonen 2 oder 3 und als isolierte Insellösung ohne jegliche Aussenverbindung erfolgt.Der Einsatz von Secure Center XP ist im gleichnamigen Handbuch geregelt, welches allen Nutzern mit dem Programm während der Schulung abgegeben wird.Der Fachdienstweg ist im Befehl für die integrale Sicherheit des Chefs Informations- und Objektsicherheit (IOS) vom 1. Juni 2004 geregelt, und den Dienstchefs steht eine Sammlung aller sicherheitsrelevanten Rechtserlasse ("Gelber Ordner" der IOS) zur Verfügung.Im Bereich der Informatiksicherheit sind der Truppe im Jahre 2001 Weisungen über das Intranet, Internet und E-Mail sowie im Jahre 2004 Weisungen über die Informatiksicherheit im VBS, die "Informatik-Security-Policy Verteidigung" sowie über den Einsatz von Informationsschutzsoftware im VBS abgegeben worden (der Verteiler ist in den einzelnen Erlassen geregelt). Die Homologierung der Informatikmittel im VBS erfolgt durch die Informatikkonferenz VBS (IK VBS).B. Das Pflichtenheft "Anforderungen an das Nachfolgeprodukt Winsec für den Einsatz in der Armee und der Verwaltung" wurde vom CIO VBS (CIO) genehmigt und nicht selber erstellt. Das erforderliche Sicherheitswissen ist auch im VBS vorhanden (Kryptologie und armasuisse). Der CIO VBS verfügt über die notwendigen beruflichen Qualifikationen (die in der Anfrage erwähnte Person war nicht CIO VBS).C. Weitere Informatiksicherheitslösungen werden im Rahmen von Projekten bedarfsgerecht und zielgerichtet beschafft, geschult und eingesetzt. Sie stehen aber in keinem Zusammenhang mit den fraglichen Büroautomationssystemen.D. Die Software wurde ursprünglich im VBS selber entwickelt. Die Ruag stellte dabei die Qualitätskontrolle sicher und unterstützte die Einführung des Produktes. Die Vergabe des Mandates an die Ruag erfolgte freihändig gemäss Artikel 13 der Verordnung über das öffentliche Beschaffungswesen (VoeB). Es erfolgte keine Ausschreibung. Antwort des Bundesrates.5Eingereichter TextA. Ich habe in meiner Anfrage 04.1141 auf den Missstand bezüglich der fehlenden technischen Sicherheitsmassnahmen im Bereich der Büroautomationssysteme der KP der grossen Verbände, welche das Informatikmittel der Stäbe der grossen Verbände darstellt, hingewiesen. Die bundesrätliche Antwort bezieht sich jedoch auf die Einzelarbeitsplätze (EAPS N) und somit nicht auf meine Frage. Richtig ist, dass auf den Büroautomationssystemen der KP der grossen Verbände weder Winsec noch Secure Center XP Version 1 noch Version 2 bis dato eingesetzt wird. Dies betrachte ich als groben Missstand.1. In welchen Reglementen wird dieser angebliche Einsatz von Secure Center XP dargestellt, erläutert und geschult?2. Wie ist der Einsatz in gemischten Umgebungen (ältere PC mit Winsec und neuere Geräte mit Secure Center) geregelt? Wie heissen die notwendigen Reglemente? Wer ist im Besitz dieser Dokumente? Wo wird dieser Umgang geschult?3. Wie ist für die Truppe der vorgeschriebene Fachdienstweg für Informatiksicherheitsfragen geregelt?4. Welche Unterlagen stehen diesem Dienstchef zur Verfügung? (Bezeichnung und Verteiler dieser Reglemente, Weisungen und Unterlagen)5. Welche Unterlagen sind der Truppe seit 2000, welche den Einsatz von Informatikmitteln regelt, abgegeben worden? Ich erbitte ein genaues Verzeichnis mit Reglements- bzw. Weisungsnummer.6. Wo sind diese Angaben ersichtlich und nachprüfbar?7. Wer ist für die Homologierung unserer Informatikmittel zuständig?B. Frühzeitig hat Aios auf den Missstand reagiert und ein Nachfolgeprodukt von Winsec in Auftrag gegeben. Folgende Fragen stellen sich in diesem Zusammenhang:1. Welche Dokumente und Pflichtenhefte wurden durch den CIO VBS erstellt?2. Warum wurde für diese Beschaffung nicht die Zusammenarbeit mit der ETH gesucht, welche auch für Informatiksicherheitsfragen einen weltweit guten Ruf geniesst und mit Prof. Dr. Ueli Maurer und Dr. Germano Caronni auch über das nötige personelle Potenzial verfügt?3. Verfügt oder verfügte der CIO VBS die notwendige berufliche Qualifikation? (Wolfgang Frei hat eine branchenfremde Ausbildung)C. In der Antwort wird auf weitere Sicherheitslösungen hingewiesen.1. Wie heissen diese weiteren Sicherheitslösungen?2. Wann wurden sie beschafft?3. Wo werden sie eingesetzt?4. Wo werden sie geschult?D. Das Secure Center XP wird von Ruag geliefert.1. Wie wurde die Erstellung des Secure Centers ausgeschrieben?2. Welche Konkurrenten haben mitofferiert?3. Was hat den Ausschlag für die Wahl des Ruag-Produktes gegeben?1Titel des GeschäftesArmee XXI. InformatiksicherheitArmee XXI. Informatiksicherheit