1. Das Angriffsziel war die Ruag und nicht die Bundesverwaltung. Bestätigt ist der Abfluss von etwa 23 Gigabyte an Daten. Es liegen keine gesicherten Erkenntnisse vor, wonach Daten der Departemente, die bei der Ruag gespeichert waren, entwendet wurden.<\/p>
2. Der Bundesrat hat 2013 den Umsetzungsplan zur Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) verabschiedet und insgesamt 28 zusätzliche Stellen, teilweise bis Ende 2017 befristet, bewilligt. Die Stellen und damit auch die für sie notwendigen finanziellen Mittel sind wie folgt den Massnahmen zugeordnet:<\/p>
- Risiko- und Verwundbarkeitsanalysen in den kritischen Teilsektoren: 5 Stellen (Bundesamt für Bevölkerungsschutz und Bundesamt für wirtschaftliche Landesversorgung);<\/p>
- Prüfkonzept Verwundbarkeiten der IKT-Infrastrukturen der Bundesverwaltung: 1 Stelle (Informatiksteuerungsorgan des Bundes), befristet bis 31. Dezember 2016;<\/p>
- Übersicht Straffälle und Koordination internationaler Fallkomplexe: 1 Stelle (Bundesamt für Polizei), befristet bis 31. Dezember 2017;<\/p>
- Internet Governance: 1 Stelle (Bundesamt für Kommunikation);<\/p>
- Kooperation internationale Sicherheitspolitik: 2 Stellen (Eidgenössisches Departement für auswärtige Angelegenheiten);<\/p>
- Lagebild und Vorfallsanalyse: 18 Stellen (Informatiksteuerungsorgan des Bundes, Nachrichtendienst des Bundes, Militärischer Nachrichtendienst, Führungsunterstützungsbasis der Armee)<\/p>
3. Die NCS ist eine nationale Strategie zur Minimierung der Cyberrisiken mit Fokus auf den Schutz kritischer Infrastrukturen. In der Diskussion um die Fortführung der Strategie wird es nötig sein, die veränderten Umstände - insbesondere auch den Umstand, dass Cyber zu einem wesentlichen Angriffsmittel geworden ist - angemessen zu berücksichtigen. Der Bundesrat wird anlässlich der Wirksamkeitsüberprüfung der NCS auch darüber befinden, ob die Trennung zwischen zivilen und militärischen Cyberrisiken nach wie vor richtig ist.<\/p>
4. Das Lagezentrum der Melde- und Analysestelle Informationssicherung (Melani OIC) ist im Nachrichtendienst des Bundes (NDB) angesiedelt. Daneben hat der NDB einen nachrichtendienstlichen Bereich zur Bekämpfung von Cyberangriffen aufgebaut. Die Armee hat in diesem Bereich einen subsidiären Auftrag und ist nicht originär für den konstanten Schutz ziviler Behörden und kritischer Infrastrukturen zuständig. Im NDB arbeiten 17 Personen für den Bereich Cyber Security und das Lagezentrum von Melani, in der Armee sind es 25 Personen.<\/p>
5. Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport erbringt schon heute substanzielle Dienstleistungen zugunsten der zivilen Behörden und Betreiber kritischer Infrastrukturen. Der Grundsatz der NCS ist und bleibt auch weiterhin die Stärkung der Fähigkeiten und Eigenverantwortung der Betroffenen. Vor einer Ausweitung der Rolle der Armee in diesem Bereich müssten Bundesrat und Parlament eine Grundsatzdiskussion darüber führen, welche Rolle sie in der Minimierung von Cyberrisiken für Staat, Wirtschaft und Gesellschaft überhaupt übernehmen soll. Bislang liegt die Koordination für die Abwehr von Cyberrisiken auf Bundesebene beim Eidgenössischen Finanzdepartement.<\/p>
6. Für die Sicherheit der Schweiz muss das ganze Spektrum von Bedrohungen und Gefahren berücksichtigt werden, wie es im neuen sicherheitspolitischen Bericht dargelegt wird. Cyber gehört dazu; andere Bedrohungen wie der Terrorismus bleiben aber auch akut. Tatsächlich ist die Bedrohung im Cyberraum eine Querschnittsbedrohung, das heisst, sie schafft zu einem gewissen Teil neuere Bedrohungen, vor allem aber intensiviert sie bestehende Bedrohungen, darunter auch die militärische. Der Schutz der ganzen IT-Struktur der Schweiz könnte aber selbst bei massivstem Mitteleinsatz nie von der Armee allein und auch nicht vom Bund allein gewährleistet werden.<\/p>
7. Die Wirksamkeitsüberprüfung betrifft primär die umgesetzten Massnahmen und deren Erfüllungsgrad. An der Umsetzung der NCS sind Organisationen aus allen sieben Departementen beteiligt. Nicht untersucht werden Dritte, nicht an der Umsetzung der NCS beteiligte Stellen wie die Ruag. Zusätzlich zur Überprüfung der Massnahmen analysiert die Wirksamkeitsüberprüfung die Schnittstelle zwischen der NCS und der Armee.<\/p>
8. Derzeit besteht keine rechtliche Grundlage für ein massives Engagement der Armee für die Abwehr von Cyberrisiken in Staat, Wirtschaft und Gesellschaft, das über den Schutz ihrer eigenen Systeme und Strukturen hinausginge.<\/p>
9. Die Schweiz bemüht sich seit Beginn des OSZE-Prozesses aktiv darum, das zwischenstaatliche Vertrauen auch im Cyberbereich zu stärken. Sie nutzt dieses Gremium regelmässig, um das Schweizer Vorgehen im Umgang mit Cyberrisiken zu präsentieren (z. B. durch eine umfassende Präsentation der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken vor allen Mitgliedstaaten). Gerade aufgrund der ausgeprägt länderübergreifenden Natur des Cyberraums anerkennt der Bundesrat die wichtige Rolle der internationalen Kooperation zur Minimierung von Cyberrisiken. Die Schweiz setzt in der internationalen Zusammenarbeit drei Schwerpunkte: Sie beteiligt sich an der Entwicklung von staatlichen Verhaltensnormen, sie engagiert sich für die Erhöhung der Vertrauensbildung im Cyberbereich, und sie engagiert sich für Initiativen zum Kapazitätsaufbau. Neben ihrem aktiven Beitrag im Rahmen der OSZE zur Schaffung von zwischenstaatlichem Vertrauen engagiert sich die Schweiz ab August 2016 als eines von 25 Ländern im einzigen Uno-Gremium zu Cybersicherheit für die Entwicklung von staatlichen Verhaltensnormen und die Stärkung des Völkerrechts. Im Bereich des Aufbaus cyberspezifischer Kapazitäten und Kompetenzen geht es darum, einerseits die eigenen cyberbezogenen Fähigkeiten zu verbessern und andererseits die digitale Kluft (\"digital divide\") über dezidierte Initiativen zu verringern. Darüber hinaus ist Cybersicherheit integraler Bestandteil bilateraler sicherheitspolitischer Konsultationen.<\/p> Antwort des Bundesrates."},{"type":{"id":5,"name":"Eingereichter Text"},"value":"
Die Nachrichten über äusserst ernstzunehmende Cyberattacken häufen sich. Dennoch investiert der Bundesrat die meisten personellen und finanziellen Ressourcen weiterhin dort, wo es kaum Sicherheitsrisiken gibt, nämlich in skurrile Szenarien des isolierten grossen militärischen Angriffs auf die Schweiz.<\/p>
1. Aus welchen Departementen und Institutionen (Parlament usw.) wurden via Ruag Daten entwendet? Welche Menge wurde entwendet? Welcher Anteil davon aus dem VBS?<\/p>
2. Die dezentrale, koordinierte Herangehensweise der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) ist richtig. Mit welchem personellen und finanziellen Ressourceneinsatz wird diese Strategie umgesetzt? Wie viel Personal und welche Finanzen stehen für welche Massnahmen zur Verfügung?<\/p>
3. Warum klammert die NCS den Kriegs- und Konfliktfall aus? Sind heute nicht gerade im Cyberbereich hybride Konfliktformen vorherrschend, in denen der Übergang von der normalen Lage zur Situation mit erhöhter Spannung fliessend ist?<\/p>
4. Was macht das VBS heute für Cybersicherheit? Wie viel Personal und Finanzen für welche Massnahmen? Wie viel macht das anteilsmässig aus?<\/p>
5. Wann erbringen VBS und Armee endlich, wie im Jahresbericht 2014 NCS, Kapitel 3.5, angekündigt, substanzielle Dienstleistungen zugunsten der zivilen Behörden und der Betreiber kritischer Infrastrukturen? Mit welchem personellen und finanziellen Ressourceneinsatz? Wie viele Cyberfachleute bildet das VBS aus?<\/p>
6. Wann wird der Bundesrat endlich die finanziellen und personellen Ressourcen von den unwahrscheinlichen militärischen Bedrohungen zu den nicht nur wahrscheinlichen, sondern jeden Tag stattfindenden Angriffen auf die Cybersicherheit umverteilen?<\/p>
7. Bezieht sich die geplante Wirksamkeitsüberprüfung des NCS-Umsetzungsplans auf alle sieben Departemente? Wird auch die Armee und ihr Umfeld (Ruag, NDB usw.) der Wirksamkeitsüberprüfung unterzogen?<\/p>
8. Wie lange spielt das VBS noch die Masche, stets eine äusserst breite Analyse von Cybersicherheit weit über den Konflikt- und Kriegsfall hinaus zu präsentieren, sich bei den Massnahmen aber strikt auf den Cyberselbstschutz der Armee zu beschränken?<\/p>
9. Mit welchen Staaten hat die Schweiz ihre Cyberstrategie gemäss OSZE-Empfehlung als vertrauensbildende Massnahme ausgetauscht? Was plant der Bundesrat, um die internationale Zusammenarbeit zur Erhöhung der Cybersicherheit auszubauen?<\/p>"},{"type":{"id":1,"name":"Titel des Geschäftes"},"value":"Endlich Finanzen und Personal auf den Kampf für Cybersicherheit umverteilen"}],"title":"Endlich Finanzen und Personal auf den Kampf für Cybersicherheit umverteilen"}