Unterschiedliche Auffassungen und Zielsetzungen zwischen dem Nationale Zentrum für Cybersicherheit und dem Nachrichtendienst des Bundes

ShortId

23.4461

Id

20234461

Updated

26.03.2024 20:53

Language

Title

Unterschiedliche Auffassungen und Zielsetzungen zwischen dem Nationale Zentrum für Cybersicherheit und dem Nachrichtendienst des Bundes

AdditionalIndexing

09;34;04

1

PriorityCouncil1

Nationalrat

Texts

<div>Zu 1) Das neue Bundesamt für Cybersicherheit (BACS) übernimmt unverändert die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC). Diese sind komplementär zu den Aufgaben des Nachrichtendienstes des Bundes (NDB). Der NDB ist ein sicherheitspolitisches Instrument, das präventiv wirkt. Er ist zuständig für die frühzeitige Erkennung sowie Verhinderung von Bedrohungen der inneren und äusseren Sicherheit, die u. a. von Cyberangriffen ausgehen.Sowohl der NDB als auch das BACS unterstehen der direkten Führung der Departementschefin des VBS. Beide entwickeln ihre Betriebskultur so, dass sie ihre Aufgaben im Rahmen der Nationalen Cyberstrategie (NCS) zum Schutz der Schweiz vor Cyberrisiken bestmöglich erfüllen können. Die NCS definiert die Verantwortlichkeiten und Zuständigkeiten von Gesellschaft, Wirtschaft und Staat. Alle Departemente und Ämter der Bundesverwaltung arbeiten komplementär mit dem gleichen Ziel: den Schutz der Bevölkerung vor Cyberrisiken zu erhöhen. Dies gilt auch für das BACS und den NDB.  Zu 2) Das Parlament hat am 29. September 2023 der Revision des Informationssicherheitsgesetzes (ISG; SR 128) zur Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen zugestimmt. Artikel 73b Absatz 3 verpflichtet das BACS, künftig die Herstellerinnen von Hard- oder Softwareprodukten umgehend zu informieren, wenn es Kenntnis von einer Schwachstelle in diesen Produkten erhält. Damit wird gesetzlich geregelt, dass das BACS den Prozess der koordinierten Offenlegung von Schwachstellen umsetzt.Die Aufgaben des NDB sind im Artikel 6 des Nachrichtendienstgesetzes (NDG; SR 121) festgehalten. Alle nachrichtendienstlichen Aktivitäten des NDB, die offensiver Natur sind (z. B. die Nutzung von Schwachstellen, vgl. Art. 26 NDG), erfolgen nach einem gesetzlich definierten Genehmigungsverfahren.  Zu 3) Ein automatischer Austausch findet nicht statt. Der NDB hat zudem keinen Zugriff auf Informationen des BACS über Schwachstellen. Das BACS gewährt dem NDB Zugriff auf Informationen, welche die Identität und Vorgehensweise von Angreifern betreffen. Die Überwachung der Informationsbearbeitung durch den NDB erfolgt im Rahmen der Aufsicht über die Tätigkeiten des NDB. Der in der Vergangenheit etablierte Datenaustausch zwischen BACS (bzw. früher NCSC) und dem NDB wird wie bisher weitergeführt und ist ebenfalls im NDG und im revidierten ISG geregelt. Mit der Ansiedlung des BACS im VBS ändert sich nichts an dieser Praxis.  Zu 4) Das Bundespersonalgesetz (BPG; SR 172.220.1) regelt die Anzeigepflichten und -rechte aller Bundesmitarbeitenden in  Art. 22a. Die dem BPG unterstellten Angestellten sind verpflichtet, alle von Amtes wegen zu verfolgenden Verbrechen und Vergehen, die sie bei ihrer amtlichen Tätigkeit feststellen oder von denen sie erfahren, ihren Vorgesetzten, den Strafverfolgungsbehörden oder der Eidgenössischen Finanzkontrolle (EFK) anzuzeigen (Abs. 1). In Absatz 4 ist ein generelles Recht verankert, dass Angestellte auch andere Unregelmässigkeiten der EFK melden dürfen, die sie bei ihrer amtlichen Tätigkeit feststellen oder von denen sie erfahren. Der EFK ist es aufgrund ihrer Funktion möglich, im Rahmen ihrer Aufsichtstätigkeit diskret und vor Ort die Plausibilität der erhobenen Vorwürfe zu prüfen. Sie ist von Gesetzes wegen verpflichtet, Mängel in der Organisation, der Verwaltungsführung oder in der Aufgabenerfüllung, die sie bei der Ausübung ihrer Aufsichtstätigkeit feststellt, der zuständigen Verwaltungseinheit zur Kenntnis zu bringen und sich über die getroffenen Massnahmen Bericht erstatten zu lassen (Art. 13 Abs. 2 Finanzkontrollgesetz, SR 614.0). Das bestehende Anzeigesystem gilt für alle Angestellten des Bundes. Eine direkte Meldemöglichkeit an die AB-ND oder die GPDel durch Mitarbeiterinnen und Mitarbeiter ist weder vorgesehen noch notwendig.</div>
2022 wurde über die Resultate der Administrativuntersuchung Oberholzer im Zusammenhang mit Informationsbeschaffungen des Nachrichtendienstes des Bundes (NDB) im Bereich Cyber berichtet. Kurz vorher hatte der Bundesrat entschieden, das Nationale Zentrum für Cybersicherheit (NCSC) ab 1.1.2024 im VBS anzusiedeln.Im Bericht Oberholzer wurde empfohlen, über eine «vollständige Herauslösung des Ressorts Cyber NDB aus dem NDB und die Schaffung eines eigenständigen Expertenpools für die Analyse von Daten des Netzwerkverkehrs» nachzudenken. Diese sei «sinnvollerweise wohl beim NCSC anzusiedeln und stünde so allen Organisationseinheiten des Bundes, die im Bereich der Cybersicherheit tätig sind, zur Verfügung.» Am 7.12.2023, kurz vor der Übersiedlung des NCSC ins VBS, vermelden Medien, dass es zu einem wahren Exodus der Top-Experten gekommen sei: 6 von 9 Spezialisten der Cyber-Schnell-Eingreifgruppe «GovCERT» machen den Wechsel ins VBS nicht mit, insgesamt verlassen gut 20% der Angestellten das NCSC. Es würden sich «ethische Konflikte» zeigen, die Mitarbeitenden des NCSC seien darum bemüht, Sicherheitslücken zum Schutz der Zivilgesellschaft und der Wirtschaft zu schliessen. Der NDB und das VBS hätten jedoch Interesse daran, Sicherheitslücken offen zu lassen, weil sie diese zur Informationsgewinnung nutzen wollten. In der Administrativuntersuchung wurde 2022 gesagt, der damalige Chef des Ressorts Cyber NDB habe «für rechtliche Vorgaben und institutionalisierte Prozessabläufe innerhalb eines staatlichen Dienstes wenig Verständnis» gezeigt und dessen Chef habe ihn gewähren lassen.<ol><li>Hat der Bundesrat die unterschiedlichen Zielsetzungen und damit verbundene unterschiedliche Unternehmenskulturen vom NCSC und dem NDB/VBS unterschätzt?</li><li>Wie stellt der Bundesrat sicher, dass das NCSC unter der Führung des VBS die Interessen der Zivilgesellschaft und der Wirtschaft zur Schliessung von Sicherheitslücken im Netz - und nicht die opportunistischen Interessen des NDB zur Nutzung von Sicherheitslücken - ins Zentrum stellt? </li><li>Wir wird die Schnittstelle zwischen dem NCSC und dem NDB bezüglich automatisiertem Datenaustausch organisiert und überwacht?</li><li>Wie stellt der Bundesrat sicher, dass Spezialist*innen des NCSC allfällig entdeckte Fehlinterpretationen der gesetzlichen Grundlagen im NDB Bereich Cyber auf sichere und rasche Art an die zuständige Aufsicht (AB-NDB, GPDel) übermitteln können?</li></ol>
Unterschiedliche Auffassungen und Zielsetzungen zwischen dem Nationale Zentrum für Cybersicherheit und dem Nachrichtendienst des Bundes

State

Erledigt

Related Affairs

Drafts

Index

0

Texts
- <div>Zu 1) Das neue Bundesamt für Cybersicherheit (BACS) übernimmt unverändert die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC). Diese sind komplementär zu den Aufgaben des Nachrichtendienstes des Bundes (NDB). Der NDB ist ein sicherheitspolitisches Instrument, das präventiv wirkt. Er ist zuständig für die frühzeitige Erkennung sowie Verhinderung von Bedrohungen der inneren und äusseren Sicherheit, die u. a. von Cyberangriffen ausgehen.Sowohl der NDB als auch das BACS unterstehen der direkten Führung der Departementschefin des VBS. Beide entwickeln ihre Betriebskultur so, dass sie ihre Aufgaben im Rahmen der Nationalen Cyberstrategie (NCS) zum Schutz der Schweiz vor Cyberrisiken bestmöglich erfüllen können. Die NCS definiert die Verantwortlichkeiten und Zuständigkeiten von Gesellschaft, Wirtschaft und Staat. Alle Departemente und Ämter der Bundesverwaltung arbeiten komplementär mit dem gleichen Ziel: den Schutz der Bevölkerung vor Cyberrisiken zu erhöhen. Dies gilt auch für das BACS und den NDB.  Zu 2) Das Parlament hat am 29. September 2023 der Revision des Informationssicherheitsgesetzes (ISG; SR 128) zur Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen zugestimmt. Artikel 73b Absatz 3 verpflichtet das BACS, künftig die Herstellerinnen von Hard- oder Softwareprodukten umgehend zu informieren, wenn es Kenntnis von einer Schwachstelle in diesen Produkten erhält. Damit wird gesetzlich geregelt, dass das BACS den Prozess der koordinierten Offenlegung von Schwachstellen umsetzt.Die Aufgaben des NDB sind im Artikel 6 des Nachrichtendienstgesetzes (NDG; SR 121) festgehalten. Alle nachrichtendienstlichen Aktivitäten des NDB, die offensiver Natur sind (z. B. die Nutzung von Schwachstellen, vgl. Art. 26 NDG), erfolgen nach einem gesetzlich definierten Genehmigungsverfahren.  Zu 3) Ein automatischer Austausch findet nicht statt. Der NDB hat zudem keinen Zugriff auf Informationen des BACS über Schwachstellen. Das BACS gewährt dem NDB Zugriff auf Informationen, welche die Identität und Vorgehensweise von Angreifern betreffen. Die Überwachung der Informationsbearbeitung durch den NDB erfolgt im Rahmen der Aufsicht über die Tätigkeiten des NDB. Der in der Vergangenheit etablierte Datenaustausch zwischen BACS (bzw. früher NCSC) und dem NDB wird wie bisher weitergeführt und ist ebenfalls im NDG und im revidierten ISG geregelt. Mit der Ansiedlung des BACS im VBS ändert sich nichts an dieser Praxis.  Zu 4) Das Bundespersonalgesetz (BPG; SR 172.220.1) regelt die Anzeigepflichten und -rechte aller Bundesmitarbeitenden in  Art. 22a. Die dem BPG unterstellten Angestellten sind verpflichtet, alle von Amtes wegen zu verfolgenden Verbrechen und Vergehen, die sie bei ihrer amtlichen Tätigkeit feststellen oder von denen sie erfahren, ihren Vorgesetzten, den Strafverfolgungsbehörden oder der Eidgenössischen Finanzkontrolle (EFK) anzuzeigen (Abs. 1). In Absatz 4 ist ein generelles Recht verankert, dass Angestellte auch andere Unregelmässigkeiten der EFK melden dürfen, die sie bei ihrer amtlichen Tätigkeit feststellen oder von denen sie erfahren. Der EFK ist es aufgrund ihrer Funktion möglich, im Rahmen ihrer Aufsichtstätigkeit diskret und vor Ort die Plausibilität der erhobenen Vorwürfe zu prüfen. Sie ist von Gesetzes wegen verpflichtet, Mängel in der Organisation, der Verwaltungsführung oder in der Aufgabenerfüllung, die sie bei der Ausübung ihrer Aufsichtstätigkeit feststellt, der zuständigen Verwaltungseinheit zur Kenntnis zu bringen und sich über die getroffenen Massnahmen Bericht erstatten zu lassen (Art. 13 Abs. 2 Finanzkontrollgesetz, SR 614.0). Das bestehende Anzeigesystem gilt für alle Angestellten des Bundes. Eine direkte Meldemöglichkeit an die AB-ND oder die GPDel durch Mitarbeiterinnen und Mitarbeiter ist weder vorgesehen noch notwendig.</div>
- 2022 wurde über die Resultate der Administrativuntersuchung Oberholzer im Zusammenhang mit Informationsbeschaffungen des Nachrichtendienstes des Bundes (NDB) im Bereich Cyber berichtet. Kurz vorher hatte der Bundesrat entschieden, das Nationale Zentrum für Cybersicherheit (NCSC) ab 1.1.2024 im VBS anzusiedeln.Im Bericht Oberholzer wurde empfohlen, über eine «vollständige Herauslösung des Ressorts Cyber NDB aus dem NDB und die Schaffung eines eigenständigen Expertenpools für die Analyse von Daten des Netzwerkverkehrs» nachzudenken. Diese sei «sinnvollerweise wohl beim NCSC anzusiedeln und stünde so allen Organisationseinheiten des Bundes, die im Bereich der Cybersicherheit tätig sind, zur Verfügung.» Am 7.12.2023, kurz vor der Übersiedlung des NCSC ins VBS, vermelden Medien, dass es zu einem wahren Exodus der Top-Experten gekommen sei: 6 von 9 Spezialisten der Cyber-Schnell-Eingreifgruppe «GovCERT» machen den Wechsel ins VBS nicht mit, insgesamt verlassen gut 20% der Angestellten das NCSC. Es würden sich «ethische Konflikte» zeigen, die Mitarbeitenden des NCSC seien darum bemüht, Sicherheitslücken zum Schutz der Zivilgesellschaft und der Wirtschaft zu schliessen. Der NDB und das VBS hätten jedoch Interesse daran, Sicherheitslücken offen zu lassen, weil sie diese zur Informationsgewinnung nutzen wollten. In der Administrativuntersuchung wurde 2022 gesagt, der damalige Chef des Ressorts Cyber NDB habe «für rechtliche Vorgaben und institutionalisierte Prozessabläufe innerhalb eines staatlichen Dienstes wenig Verständnis» gezeigt und dessen Chef habe ihn gewähren lassen.<ol><li>Hat der Bundesrat die unterschiedlichen Zielsetzungen und damit verbundene unterschiedliche Unternehmenskulturen vom NCSC und dem NDB/VBS unterschätzt?</li><li>Wie stellt der Bundesrat sicher, dass das NCSC unter der Führung des VBS die Interessen der Zivilgesellschaft und der Wirtschaft zur Schliessung von Sicherheitslücken im Netz - und nicht die opportunistischen Interessen des NDB zur Nutzung von Sicherheitslücken - ins Zentrum stellt? </li><li>Wir wird die Schnittstelle zwischen dem NCSC und dem NDB bezüglich automatisiertem Datenaustausch organisiert und überwacht?</li><li>Wie stellt der Bundesrat sicher, dass Spezialist*innen des NCSC allfällig entdeckte Fehlinterpretationen der gesetzlichen Grundlagen im NDB Bereich Cyber auf sichere und rasche Art an die zuständige Aufsicht (AB-NDB, GPDel) übermitteln können?</li></ol>
- Unterschiedliche Auffassungen und Zielsetzungen zwischen dem Nationale Zentrum für Cybersicherheit und dem Nachrichtendienst des Bundes

Back to List

Web Services of the Swiss Parliament

Unterschiedliche Auffassungen und Zielsetzungen zwischen dem Nationale Zentrum für Cybersicherheit und dem Nachrichtendienst des Bundes