Hätte der Bundesrat bei den Sicherheitslücken im Nachrichtendienst früher eingreifen müssen?
- ShortId
-
13.3824
- Id
-
20133824
- Updated
-
28.07.2023 07:29
- Language
-
de
- Title
-
Hätte der Bundesrat bei den Sicherheitslücken im Nachrichtendienst früher eingreifen müssen?
- AdditionalIndexing
-
09;Verwaltungskontrolle durch den Bundesrat;Nachrichtendienst des Bundes;Kontrolle;Durchführung eines Projektes;Datenschutz;Verwaltungsreform;Dienst für Analyse und Prävention
- 1
-
- L04K05020513, Datenschutz
- L04K08060108, Verwaltungsreform
- L04K08020313, Kontrolle
- L06K080602010201, Verwaltungskontrolle durch den Bundesrat
- L04K08040301, Nachrichtendienst des Bundes
- L05K0804030101, Dienst für Analyse und Prävention
- L06K070305010102, Durchführung eines Projektes
- PriorityCouncil1
-
Nationalrat
- Texts
-
- <p>Der Bundesrat hat zum Bericht der Geschäftsprüfungsdelegation über die Informatiksicherheit im Nachrichtendienst des Bundes (NDB) am 30. Oktober 2013 Stellung genommen.</p><p>Der Bundesrat beantwortet die konkreten Fragen wie folgt:</p><p>1. Sowohl beim Beschluss zum Transfer der nachrichtendienstlichen Teile des Dienstes für Analyse und Prävention (DAP) in das VBS wie auch beim Beschluss zur Zusammenführung des Strategischen Nachrichtendienstes (SND) und des DAP zum Nachrichtendienst des Bundes (NDB) war die generelle personelle und finanzielle Situation bekannt. Im Zusammenhang mit der Aufgabenüberprüfung des Bundes wurde der NDB 2011 beauftragt, einen Bericht zur Erschliessung von Synergiepotenzialen bei den Nachrichtendiensten zu verfassen. In diesem Bericht wurde festgehalten, dass aufgrund limitierter Personalkredite der NDB den Aufbau der benötigten Supportfunktionen in den Bereichen Informatik, Sicherheit usw. nur zulasten der Kernbereiche vornehmen kann und die Informatik seit der Fusion mit unveränderten Ressourcen nun die doppelte Anzahl Benutzer zu betreuen hat. Aufgrund dieses Berichtes hat der Bundesrat den NDB von der Überprüfung der Aufgaben des Bundes ausgenommen.</p><p>2. Der Bundesrat ist 2009 der parlamentarischen Initiative Hofmann Hans 07.404, "Übertragung der Aufgaben der zivilen Nachrichtendienste an ein Departement", gefolgt, welche vor allem die Erhöhung der nachrichtendienstlichen Leistung zum Ziel hatte. Entsprechend stand auch in der Stellungnahme des Bundesrates vom 23. April 2008 zum Bericht vom 29. Februar 2008 der Geschäftsprüfungskommission des Ständerates der optimierte Einsatz der vorhandenen Ressourcen im Zentrum (vgl. BBl 2008 4038f.). Die Informatik des DAP beruhte auf dem Informatik-Leistungserbringer des EJPD (ISC EJPD), welcher bis heute die Inland-Datenbank Isis des NDB betreut.</p><p>3. Unmittelbar nach dem Sicherheitsvorfall im Mai 2012 waren mehrere verwaltungsinterne und -externe Dienststellen mit der Situationsanalyse und dem Aufzeigen des Handlungsbedarfs beauftragt worden. In eigener Kompetenz hat der NDB rund 40 Massnahmen identifiziert und eingeleitet. Es handelte sich dabei um technische und organisatorische Massnahmen sowie um die Einschränkungen von Zugriffen und Zutritten. Der Schutz der NDB-Daten hatte immer höchste Priorität. Der Bundesrat hat am 1. Mai 2013 vom zusätzlichen Personalbedarf von elf Stellen des NDB zur notwendigen Erhöhung der Sicherheit und Informatiksicherheit Kenntnis genommen. Die acht Stellen erster Priorität wurden vom Bundesrat am 26. Juni 2013 bewilligt, die verbleibenden drei Stellen werden in die Gesamtbeurteilung Ressourcen im Personalbereich 2014 aufgenommen. Das VBS hat dem NDB bereits für 2013 die Mittel für die acht Stellen erster Priorität freigegeben.</p><p>4. Angesichts der zunehmenden politischen Bedeutung und der Komplexität des Projekts setzte das VBS am 14. Januar 2011 eine Expertengruppe ein und betraute Prof. Dr. Markus Müller (Universität Bern) mit deren Leitung. Nachdem der Bundesrat am 30. November 2011 über die Eckpunkte des Normkonzepts informiert wurde, dehnte er den Regelungsbereich vom Informationsschutz auf die Informationssicherheit aus. Die Expertengruppe wurde erweitert und setzt sich wie folgt zusammen: Parlamentsdienste, eidgenössische Gerichte, Konferenz der Kantone (Schweiz. Informatikkonferenz), BK, Edöb, EDA, EJPD, VBS und EFD sowie BJ, ISB, BIT, IOS und Bakom. Diese Gruppe erarbeitet gestützt auf das Normkonzept den Entwurf des Informationssicherheitsgesetzes. Die Vernehmlassung soll im ersten Quartal 2014 eröffnet werden. Der Bundesrat hat keine Veranlassung, die Federführung für das Projekt einem anderen Departement zu übertragen.</p><p>5. Die GPDel empfiehlt dem Bundesrat, Vorschläge zu erarbeiten, um das Verfahren zur Überprüfung des Standes der Informatiksicherheit im Bund zu verbessern. Die Massnahmen sollen den Bundesrat befähigen, im Rahmen eines institutionalisierten Verfahrens Risiken in der Informatiksicherheit rechtzeitig zu erkennen, die notwendigen risikomindernden Massnahmen zu beschliessen und ihre Umsetzung zu verfolgen. Der Bundesrat folgt dieser Empfehlung.</p> Antwort des Bundesrates.
- <p>Die Geschäftsprüfungsdelegation (GPDel) hat am 30. August 2013 einen Kurzbericht zur Untersuchung der Informatiksicherheit im Nachrichtendienst des Bundes (NDB) veröffentlicht. Dieser basiert auf einer formellen Inspektion und mündet in 11 Empfehlungen an den Bundesrat. </p><p>Für die GPDel steht allerdings nicht nur das VBS und der NDB in der Kritik, sondern auch der Bundesrat als Gesamtbehörde: "Für die GPDel war dies das Resultat einer ungenügenden Planung, die mit dem Beschluss des Bundesrates über den Transfer des DAP ins VBS im Mai 2008 ihren Anfang genommen hat" (S. 2).</p><p>Ich bitte den Bundesrat deshalb, folgende Fragen zu beantworten: </p><p>1. Waren ihm die durch die Inspektion der GPDel eruierten Risiken und Lücken in der Informatiksicherheit des NDB bereits in den Jahren 2011 und 2012 bekannt (unter anderem die Personalengpässe in der Informatik und im PSP, der Verzicht auf die umfassende Prüfung von externen Fachpersonen sowie der Verzicht auf die Umsetzung von minimalen Datenschutzvorschriften des Bundes)?</p><p>2. Auf Antrag des VBS 2009 sollte die Zusammenführung von DAP und SND zu einem einzigen Bundesamt "ohne zusätzliche Ressourcen" erfolgen. Warum hat er diesem Antrag damals zugestimmt? Wie wird das für Informatik zuständige Personal des DAP im Justizdepartement heute eingesetzt? </p><p>3. Ein Jahr nach dem Datendiebstahl hat der Bundesrat am 1. Mai 2013 eine Aufstockung der Informatiksicherheit im NDB ab 2014/15 beschlossen. Weshalb wurde der Schutz der hochsensiblen Daten des NDB im Mai nicht als oberste Priorität definiert und so rasch als möglich mit zusätzlichem Personal verstärkt?</p><p>4. Am 12. Mai 2010 beauftragte der Bundesrat das VBS, ein Normkonzept sowie eine formell-gesetzliche Grundlage für den Informationsschutz des Bundes zu erarbeitet. Damit hat der Bundesrat ein Departement mit dieser wichtigen Aufgabe betraut, das selbst die geltenden Vorschriften des Bundes nicht lückenlos anwendet. Ist er bereit, anstelle des VBS ein anderes Departement oder den Gesamtbundesrat mit der Federführung für diese Aufgabe zu betrauen?</p><p>5. Das VBS ist nicht nur für den NDB, sondern auch für andere Aufgaben mit Sicherheitsrelevanz zuständig. Geht er davon aus, dass die von der GPDel festgestellten Lücken im Riskmanagement, in der Ressourcenplanung und in der Aufsicht auch in anderen VBS-Ämtern zu Problemen führen könnten?</p>
- Hätte der Bundesrat bei den Sicherheitslücken im Nachrichtendienst früher eingreifen müssen?
- State
-
Erledigt
- Related Affairs
-
- Drafts
-
-
- Index
- 0
- Texts
-
- <p>Der Bundesrat hat zum Bericht der Geschäftsprüfungsdelegation über die Informatiksicherheit im Nachrichtendienst des Bundes (NDB) am 30. Oktober 2013 Stellung genommen.</p><p>Der Bundesrat beantwortet die konkreten Fragen wie folgt:</p><p>1. Sowohl beim Beschluss zum Transfer der nachrichtendienstlichen Teile des Dienstes für Analyse und Prävention (DAP) in das VBS wie auch beim Beschluss zur Zusammenführung des Strategischen Nachrichtendienstes (SND) und des DAP zum Nachrichtendienst des Bundes (NDB) war die generelle personelle und finanzielle Situation bekannt. Im Zusammenhang mit der Aufgabenüberprüfung des Bundes wurde der NDB 2011 beauftragt, einen Bericht zur Erschliessung von Synergiepotenzialen bei den Nachrichtendiensten zu verfassen. In diesem Bericht wurde festgehalten, dass aufgrund limitierter Personalkredite der NDB den Aufbau der benötigten Supportfunktionen in den Bereichen Informatik, Sicherheit usw. nur zulasten der Kernbereiche vornehmen kann und die Informatik seit der Fusion mit unveränderten Ressourcen nun die doppelte Anzahl Benutzer zu betreuen hat. Aufgrund dieses Berichtes hat der Bundesrat den NDB von der Überprüfung der Aufgaben des Bundes ausgenommen.</p><p>2. Der Bundesrat ist 2009 der parlamentarischen Initiative Hofmann Hans 07.404, "Übertragung der Aufgaben der zivilen Nachrichtendienste an ein Departement", gefolgt, welche vor allem die Erhöhung der nachrichtendienstlichen Leistung zum Ziel hatte. Entsprechend stand auch in der Stellungnahme des Bundesrates vom 23. April 2008 zum Bericht vom 29. Februar 2008 der Geschäftsprüfungskommission des Ständerates der optimierte Einsatz der vorhandenen Ressourcen im Zentrum (vgl. BBl 2008 4038f.). Die Informatik des DAP beruhte auf dem Informatik-Leistungserbringer des EJPD (ISC EJPD), welcher bis heute die Inland-Datenbank Isis des NDB betreut.</p><p>3. Unmittelbar nach dem Sicherheitsvorfall im Mai 2012 waren mehrere verwaltungsinterne und -externe Dienststellen mit der Situationsanalyse und dem Aufzeigen des Handlungsbedarfs beauftragt worden. In eigener Kompetenz hat der NDB rund 40 Massnahmen identifiziert und eingeleitet. Es handelte sich dabei um technische und organisatorische Massnahmen sowie um die Einschränkungen von Zugriffen und Zutritten. Der Schutz der NDB-Daten hatte immer höchste Priorität. Der Bundesrat hat am 1. Mai 2013 vom zusätzlichen Personalbedarf von elf Stellen des NDB zur notwendigen Erhöhung der Sicherheit und Informatiksicherheit Kenntnis genommen. Die acht Stellen erster Priorität wurden vom Bundesrat am 26. Juni 2013 bewilligt, die verbleibenden drei Stellen werden in die Gesamtbeurteilung Ressourcen im Personalbereich 2014 aufgenommen. Das VBS hat dem NDB bereits für 2013 die Mittel für die acht Stellen erster Priorität freigegeben.</p><p>4. Angesichts der zunehmenden politischen Bedeutung und der Komplexität des Projekts setzte das VBS am 14. Januar 2011 eine Expertengruppe ein und betraute Prof. Dr. Markus Müller (Universität Bern) mit deren Leitung. Nachdem der Bundesrat am 30. November 2011 über die Eckpunkte des Normkonzepts informiert wurde, dehnte er den Regelungsbereich vom Informationsschutz auf die Informationssicherheit aus. Die Expertengruppe wurde erweitert und setzt sich wie folgt zusammen: Parlamentsdienste, eidgenössische Gerichte, Konferenz der Kantone (Schweiz. Informatikkonferenz), BK, Edöb, EDA, EJPD, VBS und EFD sowie BJ, ISB, BIT, IOS und Bakom. Diese Gruppe erarbeitet gestützt auf das Normkonzept den Entwurf des Informationssicherheitsgesetzes. Die Vernehmlassung soll im ersten Quartal 2014 eröffnet werden. Der Bundesrat hat keine Veranlassung, die Federführung für das Projekt einem anderen Departement zu übertragen.</p><p>5. Die GPDel empfiehlt dem Bundesrat, Vorschläge zu erarbeiten, um das Verfahren zur Überprüfung des Standes der Informatiksicherheit im Bund zu verbessern. Die Massnahmen sollen den Bundesrat befähigen, im Rahmen eines institutionalisierten Verfahrens Risiken in der Informatiksicherheit rechtzeitig zu erkennen, die notwendigen risikomindernden Massnahmen zu beschliessen und ihre Umsetzung zu verfolgen. Der Bundesrat folgt dieser Empfehlung.</p> Antwort des Bundesrates.
- <p>Die Geschäftsprüfungsdelegation (GPDel) hat am 30. August 2013 einen Kurzbericht zur Untersuchung der Informatiksicherheit im Nachrichtendienst des Bundes (NDB) veröffentlicht. Dieser basiert auf einer formellen Inspektion und mündet in 11 Empfehlungen an den Bundesrat. </p><p>Für die GPDel steht allerdings nicht nur das VBS und der NDB in der Kritik, sondern auch der Bundesrat als Gesamtbehörde: "Für die GPDel war dies das Resultat einer ungenügenden Planung, die mit dem Beschluss des Bundesrates über den Transfer des DAP ins VBS im Mai 2008 ihren Anfang genommen hat" (S. 2).</p><p>Ich bitte den Bundesrat deshalb, folgende Fragen zu beantworten: </p><p>1. Waren ihm die durch die Inspektion der GPDel eruierten Risiken und Lücken in der Informatiksicherheit des NDB bereits in den Jahren 2011 und 2012 bekannt (unter anderem die Personalengpässe in der Informatik und im PSP, der Verzicht auf die umfassende Prüfung von externen Fachpersonen sowie der Verzicht auf die Umsetzung von minimalen Datenschutzvorschriften des Bundes)?</p><p>2. Auf Antrag des VBS 2009 sollte die Zusammenführung von DAP und SND zu einem einzigen Bundesamt "ohne zusätzliche Ressourcen" erfolgen. Warum hat er diesem Antrag damals zugestimmt? Wie wird das für Informatik zuständige Personal des DAP im Justizdepartement heute eingesetzt? </p><p>3. Ein Jahr nach dem Datendiebstahl hat der Bundesrat am 1. Mai 2013 eine Aufstockung der Informatiksicherheit im NDB ab 2014/15 beschlossen. Weshalb wurde der Schutz der hochsensiblen Daten des NDB im Mai nicht als oberste Priorität definiert und so rasch als möglich mit zusätzlichem Personal verstärkt?</p><p>4. Am 12. Mai 2010 beauftragte der Bundesrat das VBS, ein Normkonzept sowie eine formell-gesetzliche Grundlage für den Informationsschutz des Bundes zu erarbeitet. Damit hat der Bundesrat ein Departement mit dieser wichtigen Aufgabe betraut, das selbst die geltenden Vorschriften des Bundes nicht lückenlos anwendet. Ist er bereit, anstelle des VBS ein anderes Departement oder den Gesamtbundesrat mit der Federführung für diese Aufgabe zu betrauen?</p><p>5. Das VBS ist nicht nur für den NDB, sondern auch für andere Aufgaben mit Sicherheitsrelevanz zuständig. Geht er davon aus, dass die von der GPDel festgestellten Lücken im Riskmanagement, in der Ressourcenplanung und in der Aufsicht auch in anderen VBS-Ämtern zu Problemen führen könnten?</p>
- Hätte der Bundesrat bei den Sicherheitslücken im Nachrichtendienst früher eingreifen müssen?
Back to List