Die in der Interpellation aufgeführte Weisung nimmt eine Massnahme aus einem Bundesratsbeschluss vom 4. Juni 2010 auf, in dem in der Folge von damaligen Attacken auf die Informatiksysteme der Bundesverwaltung verschiedene Massnahmen zur Verbesserung der IKT-Sicherheit in der Bundesverwaltung beschlossen wurden. Unter den Massnahmen war der bundesweite Einsatz von 2FA insbesondere auch zur Absicherung der Fernzugänge zum Bundesnetzwerk beschlossen worden.<\/p>
1. Die Gesamtkosten der Einführung von 2FA wurden auf unter 10 Millionen Franken geschätzt, zu finanzieren im Rahmen der ordentlichen Budgets bzw. auffangbar durch die Effizienzgewinne in der IT.<\/p>
2. Die Massnahme ist ein Schutz davor, dass Angreifer allein mit der Kenntnis eines Passwortes in die Bundessysteme eindringen könnten. Vor dem Hintergrund heute bekannter massenweise gestohlener bzw. ausgelesener Passwortdateien ist dies ein wichtiges Sicherheitsthema. Beispiele der Bedrohungen der Bundesverwaltung ergaben sich aufgrund konkreter Attacken. Setzt ein Konto 2FA voraus, muss der Angreifer wenigstens über eine zweite Komponente - nebst dem Passwort typischerweise eine Hardwarekomponente, wie beispielsweise die Smartcard - verfügen. Die Massnahme entspricht gängiger Praxis in solchen Bedrohungslagen.<\/p>
3a. Für die Umrüstung auf 2FA wurden die IKT-Projektkosten auf etwa 6 Millionen Franken geschätzt. Im täglichen Betrieb von 2FA dürften die Kosten gegenüber bisher leicht höher liegen, weil die Aufwände für den Ersatz verlorener oder beschädigter Smartcards die bis anhin übliche und jetzt wegfallende Sperrung und Neuausgabe von Passwörtern übersteigen dürften. Der Bundesrat ist aber überzeugt, dass der Sicherheitsgewinn diesen Aufwand wert ist.<\/p>
3b. Für die Einführung von 2FA ist pro Benutzer mit etwa einer halben Stunde Aufwand zu rechnen. Im Betrieb ist der Mehraufwand für den Benutzer kaum relevant. Auf der einen Seite fallen die regelmässigen Passwortwechsel weg, dafür können vergessene, verlegte oder beschädigte Smartcards einen gewissen Aufwand erzeugen.<\/p>
4. Der Authentifizierungsprozess wird durch den Einsatz von 2FA nicht mehr zentralisiert, als er ohne 2FA ist. Die entsprechenden Systeme sind bereits heute redundant ausgelegt. Für 2FA ist die Verfügbarkeit der PKI (Public Key Infrastructure) zentral. Ein längerer Ausfall wäre ein ernsthaftes Problem für die Bundesverwaltung - wie auch der Ausfall des heute für die Passwortauthentifizierung benutzten Active Directory eines ist. Insofern entstehen durch 2FA keine neuen Risiken.<\/p>
5. In den Kantonen sind bereits etwa 30 000 Benutzer mit 2FA auf Basis Smartcard ausgerüstet. Diese Lösung ist seit etwa 2006 im Betrieb. Neu müssen nochmals knapp halb so viele weitere externe Benutzer ausgerüstet werden.<\/p>
6. Es ergibt sich kein Bedarf von externem Betrieb.<\/p>
7. Die in der Bundesverwaltung weitverbreitete 1FA musste aufgrund der Bedrohungslage mit weiteren Schutzmassnahmen verstärkt werden, weil Passwörter abgefangen werden können. Die Vorgabe 2FA lässt bewusst mehrere Technologien und Verfahren zur Umsetzung zu. Im Rahmen der Umsetzungsprojekte wird jeweils im Einzelfall entschieden, welche konkrete Technologie und welches Verfahren sich in einer spezifischen Umgebung am besten eignet. Für die Angestellten des Bundes wird 2FA über Zertifikate realisiert, die auch zur Verschlüsselung und Signierung von Dokumenten eingesetzt werden können und damit Synergien generieren.<\/p>
8. Sowohl bei den Bundesratsbeschlüssen von 2010 wie auch bei der IKT-Sicherheitsweisung von 2013 haben die Departemente und die Bundeskanzlei im Rahmen der Konsultationen bezüglich dieser Massnahme keine Vorbehalte eingebracht.<\/p> Antwort des Bundesrates."},{"type":{"id":5,"name":"Eingereichter Text"},"value":"
Ende 2011 hat der Bundesrat auf Antrag des Informatiksteuerungsorgans Bund eine Weisung zur Sicherheit der Informatik- und Kommunikationstechnik erlassen. Dabei soll bis Ende 2013 bundesweit und flächendeckend die Zwei-Faktor-Authentifizierung (2FA) eingeführt werden. Alle Mitarbeiterinnen und Mitarbeiter sollten also mit neuen Sicherheitskarten und alle Computer mit den entsprechenden Lesegeräten ausgerüstet werden.<\/p>
Hiermit frage ich den Bundesrat:<\/p>
1. Wurden die Folgekosten dieses Beschlusses berechnet?<\/p>
2. Welche Sicherheitslücken sollen durch diese 2FA geschlossen werden (bitte mit einem konkreten Beispiel)?<\/p>
3. Wie hoch ist der notwendige personelle Aufwand:<\/p>
a. Durch das IT-Personal in den Departementen und Ämtern?<\/p>
b. Bei den Personen, die umgerüstet werden müssen?<\/p>
4. Welches Risiko besteht, dass der komplexe Authentifizierungsprozess zentralisiert wird und eine Störung der Zentrale die gesamte Bundesverwaltung lahmlegt?<\/p>
5. Wie viele externe Partner sind über das Internet und Fachanwendungen eingebunden und müssen ebenfalls mit einer 2FA eingebunden werden?<\/p>
6. Wie viele Fachanwendungen, die der Bund von Gesetzes wegen betreibt, müssten deshalb extern betrieben werden?<\/p>
7. Welche technischen Alternativen zum 2FA hat der Bundesrat geprüft?<\/p>
8. Welches Resultat hat die Ämterkonsultation ergeben?<\/p>"},{"type":{"id":1,"name":"Titel des Geschäftes"},"value":"IT-Sicherheit in der Bundesverwaltung. Welches Kosten-Nutzen-Verhältnis?"}],"title":"IT-Sicherheit in der Bundesverwaltung. Welches Kosten-Nutzen-Verhältnis?"}