Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

Sicherheit bei der Beschaffung von Hard- und Software bei Rüstungsgütern. Zertifizierung

ShortId

19.3895

Id

20193895

Updated

28.07.2023 02:23

Language

de

Title

Sicherheit bei der Beschaffung von Hard- und Software bei Rüstungsgütern. Zertifizierung

AdditionalIndexing

04;09;15;34

1

PriorityCouncil1

Nationalrat

Texts

• <p>In seiner Antwort auf meine Interpellation 19.3185, "Keine digitalen Hintertüren bei Beschaffungen des Bundes", hat sich der Bundesrat gegen eine strengere Beschaffungspolitik bei strategisch wichtiger Hard- und Software im Verteidigungsbereich ausgesprochen. Bereits heute bestehe die Möglichkeit der Offenlegung und Prüfung der Quellcodes.</p><p>Angesichts der Wichtigkeit der digitalen Souveränität und der steigenden Sicherheitsrisiken ist das blosse Prüfen für ein neutrales Land, insbesondere im Verteidigungsbereich, zu schwach. Mit einer zu laschen Beschaffungspraxis riskiert die Schweiz den Abfluss strategisch zentraler Daten und droht zum Spielball der Grossmächte zu werden, die sich seit Jahren in einem Streit um die Cybervormacht befinden. Diese Befürchtung wird auch gestützt von entsprechenden Empfehlungen im Melani-Halbjahresbericht 2/2018 vom 30. April 2019. In diesem heisst es auf den Seiten 7 und 8: "Es ist nicht davon auszugehen, dass sich selbst im Extremfall irgendein privatwirtschaftliches Unternehmen gegen geltendes Recht in seinem Heimatstaat stellt. ... Somit sollte ein konsequentes Risikomanagement aufgebaut werden, welches durchgehend den Umgang mit Herstellern, Lieferanten und Zulieferern von Hard- und Software-Lösungen adressiert, auch mit Blick auf die Möglichkeit staatlicher Zu- und Durchgriffe."</p><p>Die Beschaffungsbehörde des Bundes benötigt zwingend strengere Vorgaben. Der Grundsatz der digitalen Souveränität bei Beschaffungen im Bereich der kritischen Infrastrukturen wie etwa dem Verteidigungsbereich muss zwingend eine höhere Priorität haben. So müssen für die Verifikation der Hard- und Software von kritischen Verteidigungslösungen möglichst schnell verbindliche Standards und Prozesse festgelegt und im Rahmen von Beschaffungen kontrolliert und durchgesetzt werden. Die Vorgaben im Bundesgesetz über das öffentliche Beschaffungswesen sind entsprechend zu ergänzen. Der Bundesrat wird gebeten, dem Parlament möglichst rasch die dafür nötigen Anpassungen der rechtlichen Grundlagen zu unterbreiten. </p>
• <p>Der Bundesrat hält in den Grundsätzen für die Rüstungspolitik des Eidgenössischen Departementes für Verteidigung, Bevölkerungschutz und Sport (VBS) vom 24. Oktober 2018 fest, dass das minimal erforderliche Technologiewissen sowie Industriefähigkeiten und -kapazitäten in der Schweiz vorhanden sein müssen, um die Einsatzfähigkeit der Armee über alle Lagen zu gewährleisten. Völlige Unabhängigkeit vom Ausland ist für die Schweiz jedoch kein realistisches Ziel. Daher gilt es, sich auf den Erhalt und die Stärkung ausgewählter Schlüsseltechnologien zu konzentrieren, die für die nationale Sicherheit zentral sind. Insbesondere soll die Abhängigkeit in den Informations-, Kommunikations- und Sensortechnologien minimiert werden. Mit Inkrafttreten der aktualisierten Grundsätze für die Rüstungspolitik wird in den Schlüsseltechnologien entsprechend verstärkt auf Kompetenzen im Inland gesetzt. Aktuell wird dies im Rahmen der Erarbeitung einer Umsetzungsstrategie weiter präzisiert. Zwischenzeitlich werden die industriellen Abhängigkeiten vom Ausland in den Schlüsselbereichen über den Beschaffungsprozess fortlaufend reduziert. </p><p>Die sichere Verwaltung strategisch zentraler Daten beruht sowohl auf Informationsschutz als auch auf Informatiksicherheit. Bei der Beschaffung werden diese Anforderungen bereits heute berücksichtigt. Massgebend dafür ist insbesondere die Verordnung über den Schutz von Informationen des Bundes (SR 510.411). Im Rahmen des aktuellen Beschaffungsverfahrens werden alle Projekte beziehungsweise Systeme auf ihre Sicherheitsrelevanz überprüft. Der Schutzbedarf wird im Rahmen einer vorgegebenen Analyse geklärt und die notwendigen Sicherheitsunterlagen erstellt. In diesem Rahmen besteht bereits heute eine Risikomanagementmethode zur Reduktion nachrichtendienstlicher Ausspähung. </p><p>Ist der Schutzbedarf hoch, wird das Beschaffungsverfahren im Sinne der Risikominimierung angepasst. Im Rahmen der Möglichkeiten des öffentlichen Beschaffungsrechts kann dies etwa durch Direktvergabe oder Vergabe per Einladungsverfahren geschehen. Zusätzlich wird eine vertiefte Überprüfung der potenziellen Anbieter vorgenommen. Wird ein Projekt als vertraulich eingestuft, muss vor der Vergabe ein Geheimschutzverfahren durchgeführt werden. Die Offenlegung des Quellcodes ist für die Weiterführung des Projekts zwingend. Die im Rahmen der Beschaffung erarbeiteten projektspezifischen Vorgaben gelten über den ganzen Lebensweg des Systems bis zur Ausserbetriebnahme. Ebenfalls müssen die Vorgaben periodisch aktualisiert werden. </p><p>Die Vorgaben werden zudem konstant weiterentwickelt. So überprüft das VBS in Zusammenarbeit mit externen Partnern und Lieferanten seit Anfang 2019 die Sicherheitsvorschriften im Umgang mit schützenswerten Daten sowie das Risikomanagement Stufe Bund. Sofern nötig, werden diese weiter verschärft. </p><p>Im Übrigen werden weitere Massnahmen aktuell im Rahmen der vom Nationalrat am 21. Juni 2019 angenommenen Postulate Dobler 19.3135 sowie 19.3136 geprüft. So wird analysiert, ob die heutigen Instrumente zur sicherheitsrelevanten Prüfung bestimmter Beschaffungen für die Armee voll ausgeschöpft werden oder ob allenfalls Handlungsbedarf für weiter gehende Massnahmen oder Standards besteht. Ebenfalls wird Bericht erstattet, ob und wie die Widerstandsfähigkeit der Informatik von kritischen Infrastrukturen in der Schweiz mit gezielten Massnahmen weiter erhöht werden kann. Bevor neue Vorgaben erlassen werden, gilt es zunächst die Ergebnisse dieser Analysen abzuwarten. </p> Der Bundesrat beantragt die Ablehnung der Motion.
• <p>Der Bundesrat wird beauftragt, dem Parlament eine Ergänzung des Bundesgesetzes über das öffentliche Beschaffungswesen vorzulegen, damit das Ziel der digitalen Souveränität bei kritischen Infrastrukturen wie etwa dem Verteidigungsbereich künftig wirksamer verfolgt werden kann.</p>
• Sicherheit bei der Beschaffung von Hard- und Software bei Rüstungsgütern. Zertifizierung

State

Erledigt

Related Affairs

Drafts

• Index

  0

  Texts

  • <p>In seiner Antwort auf meine Interpellation 19.3185, "Keine digitalen Hintertüren bei Beschaffungen des Bundes", hat sich der Bundesrat gegen eine strengere Beschaffungspolitik bei strategisch wichtiger Hard- und Software im Verteidigungsbereich ausgesprochen. Bereits heute bestehe die Möglichkeit der Offenlegung und Prüfung der Quellcodes.</p><p>Angesichts der Wichtigkeit der digitalen Souveränität und der steigenden Sicherheitsrisiken ist das blosse Prüfen für ein neutrales Land, insbesondere im Verteidigungsbereich, zu schwach. Mit einer zu laschen Beschaffungspraxis riskiert die Schweiz den Abfluss strategisch zentraler Daten und droht zum Spielball der Grossmächte zu werden, die sich seit Jahren in einem Streit um die Cybervormacht befinden. Diese Befürchtung wird auch gestützt von entsprechenden Empfehlungen im Melani-Halbjahresbericht 2/2018 vom 30. April 2019. In diesem heisst es auf den Seiten 7 und 8: "Es ist nicht davon auszugehen, dass sich selbst im Extremfall irgendein privatwirtschaftliches Unternehmen gegen geltendes Recht in seinem Heimatstaat stellt. ... Somit sollte ein konsequentes Risikomanagement aufgebaut werden, welches durchgehend den Umgang mit Herstellern, Lieferanten und Zulieferern von Hard- und Software-Lösungen adressiert, auch mit Blick auf die Möglichkeit staatlicher Zu- und Durchgriffe."</p><p>Die Beschaffungsbehörde des Bundes benötigt zwingend strengere Vorgaben. Der Grundsatz der digitalen Souveränität bei Beschaffungen im Bereich der kritischen Infrastrukturen wie etwa dem Verteidigungsbereich muss zwingend eine höhere Priorität haben. So müssen für die Verifikation der Hard- und Software von kritischen Verteidigungslösungen möglichst schnell verbindliche Standards und Prozesse festgelegt und im Rahmen von Beschaffungen kontrolliert und durchgesetzt werden. Die Vorgaben im Bundesgesetz über das öffentliche Beschaffungswesen sind entsprechend zu ergänzen. Der Bundesrat wird gebeten, dem Parlament möglichst rasch die dafür nötigen Anpassungen der rechtlichen Grundlagen zu unterbreiten. </p>
  • <p>Der Bundesrat hält in den Grundsätzen für die Rüstungspolitik des Eidgenössischen Departementes für Verteidigung, Bevölkerungschutz und Sport (VBS) vom 24. Oktober 2018 fest, dass das minimal erforderliche Technologiewissen sowie Industriefähigkeiten und -kapazitäten in der Schweiz vorhanden sein müssen, um die Einsatzfähigkeit der Armee über alle Lagen zu gewährleisten. Völlige Unabhängigkeit vom Ausland ist für die Schweiz jedoch kein realistisches Ziel. Daher gilt es, sich auf den Erhalt und die Stärkung ausgewählter Schlüsseltechnologien zu konzentrieren, die für die nationale Sicherheit zentral sind. Insbesondere soll die Abhängigkeit in den Informations-, Kommunikations- und Sensortechnologien minimiert werden. Mit Inkrafttreten der aktualisierten Grundsätze für die Rüstungspolitik wird in den Schlüsseltechnologien entsprechend verstärkt auf Kompetenzen im Inland gesetzt. Aktuell wird dies im Rahmen der Erarbeitung einer Umsetzungsstrategie weiter präzisiert. Zwischenzeitlich werden die industriellen Abhängigkeiten vom Ausland in den Schlüsselbereichen über den Beschaffungsprozess fortlaufend reduziert. </p><p>Die sichere Verwaltung strategisch zentraler Daten beruht sowohl auf Informationsschutz als auch auf Informatiksicherheit. Bei der Beschaffung werden diese Anforderungen bereits heute berücksichtigt. Massgebend dafür ist insbesondere die Verordnung über den Schutz von Informationen des Bundes (SR 510.411). Im Rahmen des aktuellen Beschaffungsverfahrens werden alle Projekte beziehungsweise Systeme auf ihre Sicherheitsrelevanz überprüft. Der Schutzbedarf wird im Rahmen einer vorgegebenen Analyse geklärt und die notwendigen Sicherheitsunterlagen erstellt. In diesem Rahmen besteht bereits heute eine Risikomanagementmethode zur Reduktion nachrichtendienstlicher Ausspähung. </p><p>Ist der Schutzbedarf hoch, wird das Beschaffungsverfahren im Sinne der Risikominimierung angepasst. Im Rahmen der Möglichkeiten des öffentlichen Beschaffungsrechts kann dies etwa durch Direktvergabe oder Vergabe per Einladungsverfahren geschehen. Zusätzlich wird eine vertiefte Überprüfung der potenziellen Anbieter vorgenommen. Wird ein Projekt als vertraulich eingestuft, muss vor der Vergabe ein Geheimschutzverfahren durchgeführt werden. Die Offenlegung des Quellcodes ist für die Weiterführung des Projekts zwingend. Die im Rahmen der Beschaffung erarbeiteten projektspezifischen Vorgaben gelten über den ganzen Lebensweg des Systems bis zur Ausserbetriebnahme. Ebenfalls müssen die Vorgaben periodisch aktualisiert werden. </p><p>Die Vorgaben werden zudem konstant weiterentwickelt. So überprüft das VBS in Zusammenarbeit mit externen Partnern und Lieferanten seit Anfang 2019 die Sicherheitsvorschriften im Umgang mit schützenswerten Daten sowie das Risikomanagement Stufe Bund. Sofern nötig, werden diese weiter verschärft. </p><p>Im Übrigen werden weitere Massnahmen aktuell im Rahmen der vom Nationalrat am 21. Juni 2019 angenommenen Postulate Dobler 19.3135 sowie 19.3136 geprüft. So wird analysiert, ob die heutigen Instrumente zur sicherheitsrelevanten Prüfung bestimmter Beschaffungen für die Armee voll ausgeschöpft werden oder ob allenfalls Handlungsbedarf für weiter gehende Massnahmen oder Standards besteht. Ebenfalls wird Bericht erstattet, ob und wie die Widerstandsfähigkeit der Informatik von kritischen Infrastrukturen in der Schweiz mit gezielten Massnahmen weiter erhöht werden kann. Bevor neue Vorgaben erlassen werden, gilt es zunächst die Ergebnisse dieser Analysen abzuwarten. </p> Der Bundesrat beantragt die Ablehnung der Motion.
  • <p>Der Bundesrat wird beauftragt, dem Parlament eine Ergänzung des Bundesgesetzes über das öffentliche Beschaffungswesen vorzulegen, damit das Ziel der digitalen Souveränität bei kritischen Infrastrukturen wie etwa dem Verteidigungsbereich künftig wirksamer verfolgt werden kann.</p>
  • Sicherheit bei der Beschaffung von Hard- und Software bei Rüstungsgütern. Zertifizierung

Back to List