Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

Schweizer Internetseiten durch Schweizer Unternehmen absichern

ShortId

14.3379

Id

20143379

Updated

28.07.2023 06:43

Language

de

Title

Schweizer Internetseiten durch Schweizer Unternehmen absichern

AdditionalIndexing

24;34;1236;Unternehmen;Bankgeheimnis;elektronischer Handel;Industriegeheimnis;Datenschutz;Bankeinlage;automatisierte Bankdienstleistung;Internet;USA;Industriespionage

1

• L05K1202020105, Internet
• L04K05020513, Datenschutz
• L04K11040205, Bankeinlage
• L04K07030601, Unternehmen
• L04K03050305, USA
• L04K11040203, automatisierte Bankdienstleistung
• L05K0701010202, elektronischer Handel
• L04K11040208, Bankgeheimnis
• L05K0706010303, Industriegeheimnis
• L05K0706010304, Industriespionage

PriorityCouncil1

Nationalrat

Texts

• <p>Der Kampf der amerikanischen Justiz gegen Schweizer Banken wirft vor allem beim Zugriff via E-Banking Fragen zur Vertraulichkeit im Umgang mit Daten von Schweizer Kundinnen und Kunden auf. Es ist offenbar technisch möglich, dass die USA über amerikanische Unternehmen, die aufgrund des Patriot Act Informationen herausgeben müssen, an vertrauliche Daten gelangen.</p><p>Theoretisch ist die Verbindung zwischen der Kundin oder dem Kunden und ihrer oder seiner Bank sicher: Eine zertifizierende Behörde hat die Aufgabe, zu bestätigen, dass die Kommunikation zwischen der Kundin oder dem Kunden und dem Server durch die Gesellschaft hinter dem Server gut verschlüsselt ist. In Wirklichkeit kann die Verbindung zwischen der Bankkundin oder dem Bankkunden und der Bank aus technischer Sicht an verschiedenen Punkten gehackt werden: beim Server, bei der zertifizierenden Behörde, beim Router, beim DNS-Server oder bei der Kundin oder beim Kunden. Die USA können also an verschiedenen Stellen eingreifen, vor allem bei der zertifizierenden Behörde und bei den Routern. Im Falle unserer Grossbanken werden die Informationen zertifiziert und durchlaufen unter anderem Produkte mehrerer amerikanischer Unternehmen wie Veri Sign, Cisco und Juniper (oder sogar Sercomm). Veri Sign zum Beispiel ist für die Sicherheit bei der Credit Suisse zuständig. Die Firma nutzt eine breite Netzwerkinfrastruktur, zu der auch zwei der dreizehn DNS-Stammserver gehören. In den USA sind die staatlichen Gerichte der Auffassung, dass amerikanische Unternehmen verpflichtet sind, den Behörden Informationen zu liefern (Patriot Act, 2001). Dies gilt auch für Informationen, die ausserhalb des Landes, einschliesslich in Europa, aufbewahrt werden. Damit stehen drei Fragen im Raum:</p><p>1. Ist die Schweiz in der Lage, die Daten von Kundinnen und Kunden sowie Unternehmen gegen diese Form von "offizieller Spionage" zu schützen?</p><p>2. Sollten wir die Sicherung von Punkt.ch-Adressen (wie Switch) nicht Schweizer Unternehmen, die sich in Schweizer Händen befinden, anvertrauen, insbesondere in sensiblen Bereichen wie dem Bankensektor?</p><p>3. Würden wir die Verwaltung gewisser Bereiche unserer Sicherheit, unserer Armee oder unserer Polizei einem anderen Land in die Hände geben? Warum akzeptieren wir dies im Bereich des Internets?</p>
• <p>Der Bundesrat ist sich bewusst, dass amerikanische Firmen aufgrund des Patriot Act 2001 dazu verpflichtet werden können, Informationen an amerikanische Nachrichtendienste weiterzugeben. Dies gilt auch für Ableger solcher Unternehmen im Ausland, da hier das geltende Recht im Mutterland das nationale Recht im Land der Tochtergesellschaft typischerweise bricht. Es ist unbestritten, dass ein wichtiger Teil der für den Betrieb des World Wide Web notwendigen Infrastruktur in den USA hergestellt, betrieben und unterhalten wird. Dazu gehören sowohl Hardware- als auch Software-Komponenten wie z. B. Server, Router, Browser usw.</p><p>1. Ein absoluter Schutz gegen Cyberspionage bei vernetzten Systemen ist nicht realistisch. Die Schweizer Unternehmen sind in erster Linie selbst für die angemessene Sicherung ihrer Daten verantwortlich. Die Melde- und Analysestelle Informationssicherung (Melani) unterstützt zusätzlich die Betreiber kritischer Infrastrukturen. Personendaten müssen gemäss Artikel 7 DSG durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Weiter gelten die Mindestanforderungen der Verordnung zum Datenschutzgesetz an die Datensicherheit (Art. 8ff. und Art. 20ff. VDSG). Bei der Weitergabe von Personendaten aus der Schweiz ins Ausland müssen die schweizerischen Datenschutzbestimmungen (insbesondere Art. 6 DSG betreffend grenzüberschreitende Bekanntgabe von Personendaten, aber auch die allgemeinen Datenschutzgrundsätze des DSG) eingehalten werden. Das DSG ist gemäss Artikel 2 Absatz 2 Buchstabe c nicht anwendbar, wenn ausländische Behörden die Schweiz im Rahmen der Rechtshilfe um die Herausgabe von Daten ersuchen. Der Bundesrat hat das EJPD zudem beauftragt, gesetzgeberische Massnahmen zur Stärkung des Datenschutzes angesichts der fortschreitenden technologischen und gesellschaftlichen Entwicklungen zu prüfen.</p><p>Auf internationaler Ebene vertritt die Schweiz die Haltung, dass alle Vertragsstaaten des Internationalen Pakts über bürgerliche und politische Rechte (Uno-Pakt II) grundsätzlich verpflichtet sind, dessen Bestimmungen (hier namentlich Art. 17) auch bei hoheitlichen Handlungen im Ausland zu beachten.</p><p>Werden Daten aus der Schweiz an ausländische Nachrichtendienste weitergegeben oder von diesen Diensten direkt beschafft, so ist die Anwendbarkeit der Straftatbestände aus dem Computerstrafrecht (z. B. Art. 143 StGB: Unbefugtes Datenbeschaffen; Art. 143bis StGB: Hacking) oder der Delikte gegen den Staat (z. B. Art. 271 StGB: Verbotene Handlungen für einen fremden Staat) zu prüfen. Daneben kann eine Strafbarkeit aufgrund verschiedener Bestimmungen aus dem Nebenstrafrecht (z. B. Art. 47 Abs. 1 Bst. a und b des Bankengesetzes: Verletzung des Berufsgeheimnisses) vorliegen.</p><p>2. Domainnamen mit der Endung .ch können von Schweizer und ausländischen Firmen genutzt werden. Die Stiftung Switch ist mit dem Unterhalt der .ch-Internet-Domäne beauftragt und hat gemäss Artikel 14fbis Absatz 1 der Verordnung über die Adressierungselemente im Fernmeldebereich (SR 784.104) vom 6. Oktober 1997 unter bestimmten Voraussetzungen die Möglichkeit, einen Domainnamen zu blockieren.</p><p>3. Aufgrund der erwähnten Tatsache, dass Hard- und Software für den Betrieb des Internets zu wichtigen Teilen von amerikanischen Herstellern stammen, lässt es sich nur schwer verhindern, dass entsprechende Produkte beim Bau und Betrieb der IKT-Infrastrukturen zum Einsatz kommen. Jedes Unternehmen muss für sich selber entscheiden, ob es seine Daten über das Internet übermitteln will und wie seine Daten und Infrastrukturen geschützt werden sollen.</p><p>Der Datensicherheit in der Bundesverwaltung trug der Bundesrat mit seinem Beschluss vom 28. Januar 2014 Rechnung. So hielt er fest, dass "Betriebsleistungen für den Datentransport im Inland, wenn sie nicht bundesintern erbracht werden, wo möglich nur an Unternehmen vergeben werden, welche für die Erbringung der Leistung ausschliesslich unter Schweizer Recht handeln, sich zur Mehrheit in Schweizer Eigentum befinden und welche die Leistung gesamtheitlich innerhalb der Schweizer Landesgrenzen erzeugen". Weiter beauftragte er den Nachrichtendienst des Bundes, weiter gehende Einschätzungen der Bedrohungslage vorzunehmen, sowie das EFD, darauf gestützt Grundsätze zur IKT-Leistungserstellung für die Bundesverwaltung zu erarbeiten.</p> Antwort des Bundesrates.
• <p>Besteht das Risiko, dass die USA über amerikanische Unternehmen Zugriff auf die Daten von Schweizer Bankkonten haben? Muss der Bund, falls das Risiko besteht, nicht dafür sorgen, dass die Sicherung von Schweizer Internetseiten durch Schweizer Unternehmen erfolgt, die sich in Schweizer Händen befinden?</p>
• Schweizer Internetseiten durch Schweizer Unternehmen absichern

State

Erledigt

Related Affairs

Drafts

• Index

  0

  Texts

  • <p>Der Kampf der amerikanischen Justiz gegen Schweizer Banken wirft vor allem beim Zugriff via E-Banking Fragen zur Vertraulichkeit im Umgang mit Daten von Schweizer Kundinnen und Kunden auf. Es ist offenbar technisch möglich, dass die USA über amerikanische Unternehmen, die aufgrund des Patriot Act Informationen herausgeben müssen, an vertrauliche Daten gelangen.</p><p>Theoretisch ist die Verbindung zwischen der Kundin oder dem Kunden und ihrer oder seiner Bank sicher: Eine zertifizierende Behörde hat die Aufgabe, zu bestätigen, dass die Kommunikation zwischen der Kundin oder dem Kunden und dem Server durch die Gesellschaft hinter dem Server gut verschlüsselt ist. In Wirklichkeit kann die Verbindung zwischen der Bankkundin oder dem Bankkunden und der Bank aus technischer Sicht an verschiedenen Punkten gehackt werden: beim Server, bei der zertifizierenden Behörde, beim Router, beim DNS-Server oder bei der Kundin oder beim Kunden. Die USA können also an verschiedenen Stellen eingreifen, vor allem bei der zertifizierenden Behörde und bei den Routern. Im Falle unserer Grossbanken werden die Informationen zertifiziert und durchlaufen unter anderem Produkte mehrerer amerikanischer Unternehmen wie Veri Sign, Cisco und Juniper (oder sogar Sercomm). Veri Sign zum Beispiel ist für die Sicherheit bei der Credit Suisse zuständig. Die Firma nutzt eine breite Netzwerkinfrastruktur, zu der auch zwei der dreizehn DNS-Stammserver gehören. In den USA sind die staatlichen Gerichte der Auffassung, dass amerikanische Unternehmen verpflichtet sind, den Behörden Informationen zu liefern (Patriot Act, 2001). Dies gilt auch für Informationen, die ausserhalb des Landes, einschliesslich in Europa, aufbewahrt werden. Damit stehen drei Fragen im Raum:</p><p>1. Ist die Schweiz in der Lage, die Daten von Kundinnen und Kunden sowie Unternehmen gegen diese Form von "offizieller Spionage" zu schützen?</p><p>2. Sollten wir die Sicherung von Punkt.ch-Adressen (wie Switch) nicht Schweizer Unternehmen, die sich in Schweizer Händen befinden, anvertrauen, insbesondere in sensiblen Bereichen wie dem Bankensektor?</p><p>3. Würden wir die Verwaltung gewisser Bereiche unserer Sicherheit, unserer Armee oder unserer Polizei einem anderen Land in die Hände geben? Warum akzeptieren wir dies im Bereich des Internets?</p>
  • <p>Der Bundesrat ist sich bewusst, dass amerikanische Firmen aufgrund des Patriot Act 2001 dazu verpflichtet werden können, Informationen an amerikanische Nachrichtendienste weiterzugeben. Dies gilt auch für Ableger solcher Unternehmen im Ausland, da hier das geltende Recht im Mutterland das nationale Recht im Land der Tochtergesellschaft typischerweise bricht. Es ist unbestritten, dass ein wichtiger Teil der für den Betrieb des World Wide Web notwendigen Infrastruktur in den USA hergestellt, betrieben und unterhalten wird. Dazu gehören sowohl Hardware- als auch Software-Komponenten wie z. B. Server, Router, Browser usw.</p><p>1. Ein absoluter Schutz gegen Cyberspionage bei vernetzten Systemen ist nicht realistisch. Die Schweizer Unternehmen sind in erster Linie selbst für die angemessene Sicherung ihrer Daten verantwortlich. Die Melde- und Analysestelle Informationssicherung (Melani) unterstützt zusätzlich die Betreiber kritischer Infrastrukturen. Personendaten müssen gemäss Artikel 7 DSG durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Weiter gelten die Mindestanforderungen der Verordnung zum Datenschutzgesetz an die Datensicherheit (Art. 8ff. und Art. 20ff. VDSG). Bei der Weitergabe von Personendaten aus der Schweiz ins Ausland müssen die schweizerischen Datenschutzbestimmungen (insbesondere Art. 6 DSG betreffend grenzüberschreitende Bekanntgabe von Personendaten, aber auch die allgemeinen Datenschutzgrundsätze des DSG) eingehalten werden. Das DSG ist gemäss Artikel 2 Absatz 2 Buchstabe c nicht anwendbar, wenn ausländische Behörden die Schweiz im Rahmen der Rechtshilfe um die Herausgabe von Daten ersuchen. Der Bundesrat hat das EJPD zudem beauftragt, gesetzgeberische Massnahmen zur Stärkung des Datenschutzes angesichts der fortschreitenden technologischen und gesellschaftlichen Entwicklungen zu prüfen.</p><p>Auf internationaler Ebene vertritt die Schweiz die Haltung, dass alle Vertragsstaaten des Internationalen Pakts über bürgerliche und politische Rechte (Uno-Pakt II) grundsätzlich verpflichtet sind, dessen Bestimmungen (hier namentlich Art. 17) auch bei hoheitlichen Handlungen im Ausland zu beachten.</p><p>Werden Daten aus der Schweiz an ausländische Nachrichtendienste weitergegeben oder von diesen Diensten direkt beschafft, so ist die Anwendbarkeit der Straftatbestände aus dem Computerstrafrecht (z. B. Art. 143 StGB: Unbefugtes Datenbeschaffen; Art. 143bis StGB: Hacking) oder der Delikte gegen den Staat (z. B. Art. 271 StGB: Verbotene Handlungen für einen fremden Staat) zu prüfen. Daneben kann eine Strafbarkeit aufgrund verschiedener Bestimmungen aus dem Nebenstrafrecht (z. B. Art. 47 Abs. 1 Bst. a und b des Bankengesetzes: Verletzung des Berufsgeheimnisses) vorliegen.</p><p>2. Domainnamen mit der Endung .ch können von Schweizer und ausländischen Firmen genutzt werden. Die Stiftung Switch ist mit dem Unterhalt der .ch-Internet-Domäne beauftragt und hat gemäss Artikel 14fbis Absatz 1 der Verordnung über die Adressierungselemente im Fernmeldebereich (SR 784.104) vom 6. Oktober 1997 unter bestimmten Voraussetzungen die Möglichkeit, einen Domainnamen zu blockieren.</p><p>3. Aufgrund der erwähnten Tatsache, dass Hard- und Software für den Betrieb des Internets zu wichtigen Teilen von amerikanischen Herstellern stammen, lässt es sich nur schwer verhindern, dass entsprechende Produkte beim Bau und Betrieb der IKT-Infrastrukturen zum Einsatz kommen. Jedes Unternehmen muss für sich selber entscheiden, ob es seine Daten über das Internet übermitteln will und wie seine Daten und Infrastrukturen geschützt werden sollen.</p><p>Der Datensicherheit in der Bundesverwaltung trug der Bundesrat mit seinem Beschluss vom 28. Januar 2014 Rechnung. So hielt er fest, dass "Betriebsleistungen für den Datentransport im Inland, wenn sie nicht bundesintern erbracht werden, wo möglich nur an Unternehmen vergeben werden, welche für die Erbringung der Leistung ausschliesslich unter Schweizer Recht handeln, sich zur Mehrheit in Schweizer Eigentum befinden und welche die Leistung gesamtheitlich innerhalb der Schweizer Landesgrenzen erzeugen". Weiter beauftragte er den Nachrichtendienst des Bundes, weiter gehende Einschätzungen der Bedrohungslage vorzunehmen, sowie das EFD, darauf gestützt Grundsätze zur IKT-Leistungserstellung für die Bundesverwaltung zu erarbeiten.</p> Antwort des Bundesrates.
  • <p>Besteht das Risiko, dass die USA über amerikanische Unternehmen Zugriff auf die Daten von Schweizer Bankkonten haben? Muss der Bund, falls das Risiko besteht, nicht dafür sorgen, dass die Sicherung von Schweizer Internetseiten durch Schweizer Unternehmen erfolgt, die sich in Schweizer Händen befinden?</p>
  • Schweizer Internetseiten durch Schweizer Unternehmen absichern

Back to List