Melani für alle

201040202023-07-27T21:11:19Z34;04;Datenspeicherung;Klein- und mittleres Unternehmen;Leistungsauftrag;Computerkriminalität;Schaffung neuer Bundesstellen;Datenschutz;Datenverarbeitung;BeratungMo.5Motion2657f1337Glanzmann-Hunkeler IdaGlanzmannFraktion CEGM-E3Fraktion CVP/EVP/glpauthorNR1NationalratN2010-12-16T00:00:00Z484816L04K05020513Datenschutz1L03K120304Datenverarbeitung1L04K12030404Datenspeicherung1L04K12030301Computerkriminalität1L06K070106020203Beratung1L05K0806010105Leistungsauftrag2L07K08060103010403Schaffung neuer Bundesstellen2L05K0703060302Klein- und mittleres Unternehmen23NormalNR1NationalratN2012-09-17T00:00:00ZAblehnung22-2011-02-23T00:00:00ZDer Bundesrat beantragt die Ablehnung der Motion.0EFD7Finanzdepartementtrue2010-12-16T00:00:0024Im Rat noch nicht behandelt2012-09-17T00:00:00229ErledigtdeNR1NationalratN12512m490Lustenberger RuediLustenbergercosign2588m1104Büchler JakobBüchler Jakobcosign2592m1133Darbellay ChristopheDarbellaycosign2600f1106Häberli-Koller BrigitteHäberli-Kollercosign2516f494Meier-Schatz LucreziaMeier-Schatzcosign2707f3904Schmid-Federer BarbaraSchmid-Federercosign2593m1124de Buman Dominiquede Bumancosign2646f1288Amherd ViolaAmherdcosign2676f3874Egger-Wyss EstherEggercosign2674m3871Bischof PirminBischof Pirmincosign2580f1071Humbel RuthHumbelcosign2590m1143Cathomas SepCathomascosign2474f450Bader ElviraBader Elviracosign2525f502Riklin KathyRiklin Kathycosign2748f4040Schneider-Schneiter ElisabethSchneider-Schneitercosign2657f1337Glanzmann-Hunkeler IdaGlanzmannFraktion CEGM-E3Fraktion CVP/EVP/glpauthor10.4020229Erledigt006Begründung2010 hat das Center for Security Studies der ETH Zürich (CSS) eine Studie zu "Evaluation und Weiterentwicklung" von Melani vorgelegt. Die Studie stellt Melani ein gutes Zeugnis aus, hält aber fest, Melani sei an die Leistungsgrenzen gestossen, denn die Mitglieder des geschlossenen Kreises wünschten sich Dienstleistungen und Informationen, welche sie nirgendwo anders erhalten könnten, was ohne Ausbau und Segmentierung nicht gehe. Jedenfalls sei es keine Option, mit gleichbleibenden Mitteln weiterzumachen - dies nicht einmal bei gleichbleibendem Kundenkreis. Darüber hinaus bemängeln die Melani-Kunden selbst, für die kleinen und mittleren Unternehmen ebenso wie für die breite Bevölkerung scheine keine Institution auf Bundesebene verantwortlich zu sein. Diese Lücke führt wegen der starken Vernetzung der ICT zu einem unzureichenden Schutz, weswegen es aus Sicht der Unternehmen wünschenswert wäre, wenn Melani auch in diesem Bereich eine aktivere Rolle spielen würde.Nun hat Melani zurzeit schlicht keinen Auftrag, "für alle" da zu sein. Aber: Das einzige aktuell verfügbare strategische Dokument zur Rolle von Melani stammt von 2003. Damit berücksichtigt es bald zehn Jahre stürmischer ICT-Entwicklung nicht und ist als Basis unzureichend. Nun hat der Bundesrat bereits verschiedene Vorstösse betreffend Erarbeitung einer generellen Cyber-Security-Strategie auf dem Tisch, entsprechend wurde ein Projektleiter für Cyber Defence ernannt, der eine gesamtheitliche Strategie des Bundes gegen Cyber-Bedrohungen erarbeiten soll. Dort wird Melani zweifelsfrei einfliessen. Ein Strategiefindungsprozess ist aber oft ein zeitintensiver Prozess, und es sollte verhindert werden, dass bereits heute vorliegende Erkenntnisse unverwertet bleiben und die nötige Weiterentwicklung von Melani so blockiert wird: Der Bedarf einer Vergrösserung und einer Segmentierung von Melani ist wissenschaftlich erhärtet, ebenso evident ist der Bedarf einer Ausrichtung der subsidiären Unterstützung auf die Gesamtwirtschaft. Die ETH hat drei Varianten entworfen: Das "Blumenmodell" eignet sich zur Umsetzung dieser Forderung im Sinne einer Sofortmassnahme.14Antwort BR / BüroGestützt auf eine vom Informatikstrategieorgan des Bundes (ISB) entwickelte Strategie zum Schutz vor Cyber-Angriffen hat der Bundesrat 2003 die Melde- und Analysestelle Informationssicherung (Melani) eingesetzt und 2007 nach einer Evaluation in den definitiven Betrieb übergeführt. Hauptaufgaben von Melani sind das Sammeln und Analysieren von Informationen zur Cyber-Bedrohung von kritischen Infrastrukturen, die Unterstützung der Betreiber solcher Infrastrukturen bei Vorfällen, die Koordination in und zwischen den Sektoren im Falle einer durch Cyber-Attacken verursachten Krise sowie die Prävention. Weiter informiert Melani im Rahmen seiner Ressourcen die übrige Wirtschaft und die Bevölkerung über Cyber-Bedrohungen und mögliche Schutzmassnahmen. Personell setzt sich Melani aus Mitarbeitenden des ISB (strategische Führung und technische Betreuung durch das GovCERT.ch) sowie des Nachrichtendienstes des Bundes (NDB, Lagezentrum: Operations and Information Centre) zusammen. Melani funktioniert als Public Private Partnership mit den Betreibern kritischer Infrastrukturen in folgenden Sektoren: öffentliche Verwaltung, Finanzwesen, Chemie/Pharma, Energieversorgung, Gesundheitswesen, Industrie, Telekommunikation, Transport und Logistik sowie Versicherungen.Momentan sind knapp 100 Firmen Mitglieder der Public Private Partnership von Melani. Sie verfügen über eigene technische Kompetenz und müssen primär selbst den Betrieb ihrer (kritischen) Infrastrukturen gewährleisten. Dieser relativ überschaubare Kreis von Partnern erlaubt eine sehr enge, auf gegenseitigem Vertrauen basierende Zusammenarbeit mit einem offenen Informationsaustausch. Sollte der Grundauftrag von Melani erweitert werden auf den Schutz der gesamten Wirtschaft vor Cyber-Bedrohung, würde sich der Kundenkreis potenziell auf rund 300 000 Unternehmen erhöhen, die zumeist über keine bzw. sehr beschränkte technische Kompetenz verfügen und auch keine kritischen Infrastrukturen im engeren Sinn betreiben. Damit kann nicht dasselbe Modell angewandt werden. Eine derartige Ausdehnung bedingt eine völlig andere Dienstleistung, deren Bereitstellung die für Melani verfügbaren Mittel um Faktoren überschreitet und welche die Qualität und Intensität der Zusammenarbeit sowie der Erkenntnisse wesentlich einschränken würde. Melani verfügt heute schon nicht über genügend personelle Mittel, um die Kernaufgaben in allen Sektoren sicherzustellen. Zudem stellt sich die Frage der Abgrenzung zwischen privatwirtschaftlichen und staatlichen Aufgaben. Heute ist Melani ausschliesslich subsidiär tätig.Die Dienstleistungen von Melani zugunsten der Betreiber von kritischen Infrastrukturen im Sinne einer Sofortmassnahme über die veröffentlichten Lageberichte hinaus allen Unternehmen der Schweiz zur Verfügung zu stellen ist deshalb heute keine Option. Hingegen wird im Rahmen der vom Bundesrat am 10. Dezember 2010 beschlossenen Arbeitsgruppe unter der Leitung des VBS eine erneuerte departementsübergreifende Strategie des Bundes gegen Cyber-Bedrohungen ausgearbeitet (vgl. auch Konzept "Sicherheit und Vertrauen" des Bakom, das der Bundesrat am 11. Juni 2010 zur Kenntnis genommen hat). Diese wird mit der bereits laufenden Umsetzung der Grundstrategie des Bundesrates zum Schutz kritischer Infrastrukturen (SKI) und der Erstellung einer nationalen SKI-Strategie abgestimmt, welche unter Leitung des Babs erarbeitet und bis im Frühjahr 2012 dem Bundesrat vorgelegt werden wird. Dazu gehören auch eine aktualisierte Analyse der Bedrohung aus dem Cyberspace, eine Auslegeordnung der vorhandenen Schutz- und Abwehrmassnahmen sowie das Aufzeigen von nötigen Massnahmen, um allfällige Lücken zu schliessen. Die Strategie soll bis Ende 2011 vorliegen. Der Bundesrat beantragt die Ablehnung der Motion.5Eingereichter TextDer Bundesrat wird beauftragt, die Melde- und Analysestelle Informationssicherung Schweiz (Melani) so auszubauen, dass sie ihre anerkannt guten Dienste der ganzen Wirtschaft des Landes erbringen kann - dies im Sinne einer Sofortmassnahme.1Titel des GeschäftesMelani für alleMelani für alle