Im März 2019 fand die 7. Cyber-Landsgemeinde des Sicherheitsverbundes Schweiz statt. Im Zentrum der Veranstaltung und des Interesses stand die im April des Vorjahres vom Bundesrat verabschiedete zweite Nationale Strategie zum Schutz vor Cyberrisiken (NCS). Auf dem Programm der Konferenz stand eine Reihe von Themen aus der Umsetzungsagenda, beispielsweise die Risikoanalyse zur Verbesserung der IKT-Resilienz oder die Ausgestaltung einer übergreifenden Austauschplattform zu aktuellen Bedrohungen aus dem Cyber-Raum. Die institutionalisierte Einbindung der Kantone in die Organisationsstruktur für Cyber-Sicherheit auf Stufe Bund stellte gar eines der Kernthemen dar, mit denen sich der SVS über die vergangenen Jahre beschäftigt hatte.

Im Mai stand ferner die vierte Konferenz des Sicherheitsverbundes Schweiz an. Der Fokus des Zusammentreffens verschiedener Akteure lag auf der Zusammenarbeit zwischen staatlichen Sicherheitsorganen und privaten Unternehmen. Mit Verweis auf die bisherigen Erfahrungen wurde festgehalten, dass auch staatliche Sicherheitsakteure auf private Dienstleister zurückgreifen. Diese hätten die Kapazitäten, um die staatlichen Organe zu ergänzen, wurde betont. In Anwesenheit von Bundesrätin Karin Keller-Sutter konnten die Kantone Erfahrungen austauschen, aber auch ihre Vorstellungen äussern. So pochte Regierungsrat Norman Gobbi (TI, lega) auf eine flexible Gesetzgebung, die dem Subsidiaritätsprinzip gerecht werde und den Kantonen in den betreffenden Feldern ihre Kompetenzen überlässt.

Cyber-Landsgemeinden und Konferenzen des Sicherheitsverbunds Schweiz
Dossier: Sicherheitsverbund Schweiz (SVS)
Dossier: Cyber Defence

2018 fand die sechste Cyber-Landsgemeinde des Sicherheitsverbundes Schweiz statt. Die Nachfolgearbeiten der ersten NCS standen dabei im Zentrum: Im Zuge der Aufarbeitung der 16 Massnahmen aus der ersten Strategie wurde den Teilnehmenden aus Bund, Kantonen und der Privatwirtschaft aufgezeigt, welche Themen für die NCS II relevant sein werden; gleichzeitig wurden sie in die Erarbeitung dieser Nachfolgestrategie involviert. Weitere Themen waren die Entwicklung und Einführung von Minimalstandards im IKT-Bereich, neue Arten der Cyberkriminalität und die Schwierigkeiten, diese zu erkennen und zu bekämpfen, die Reduktion von IKT-Verwundbarkeiten und, damit zusammenhängend, eine verbesserte Resilienz. Als Herausforderung galten ferner auch die Bedeutung einer korrekten Erkennung und Einschätzung der Bedrohungen aus dem Cyberraum und die geeignete Handhabung dieser Gefährdung.

Cyber-Landsgemeinden und Konferenzen des Sicherheitsverbunds Schweiz
Dossier: Sicherheitsverbund Schweiz (SVS)
Dossier: Cyber Defence

Seit einigen Jahren arbeitet der Bund, gemeinsam mit mehreren weiteren Akteuren, an verschiedenen Programmen zur Bewältigung neuer Bedrohungen aus dem digitalen Raum. Diesen als „Cyber-Risiken” umschriebenen, im Zuge der Digitalisierung vermehrt auftretenden Komplikationen und/oder Angriffen wird unter anderem auch mit einer Cyber-Strategie begegnet. Diese Strategie wird dezentral umgesetzt, wobei die Melde- und Analysestelle Informationssicherung (MELANI) eine zentrale Rolle innehat. Damit ist aufgrund des Kooperationsmodells bei MELANI zwischen ISB und NDB direkt auch der Nachrichtendienst des Bundes involviert. Innerhalb des VBS hat aber auch die Armee den Auftrag, sensible IT-Infrastrukturen und Systeme zu schützen. Dafür wurde bis anhin auf die Nutzung sicherer Netze vertraut, gerade auch im militärischen Tagesbetrieb. Zur Informations- und Objektsicherheit wurde zudem innerhalb des Verteidigungsdepartementes eine gleichnamige Stelle eingerichtet. Um nun der weiteren Entwicklung im Cyberbereich zu begegnen, wurde ein Aktionsplan Cyber-Defence ausgearbeitet. Diese auf Anregung von Departementsvorsteher Guy Parmelin 2016 lancierte Massnahme soll bis 2020 umgesetzt werden und die bereits laufenden Vorgänge im Rahmen der nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken ergänzen.

Der Aktionsplan Cyber-Defence ist ein rein auf das VBS bezogenes Strategiepapier, das mit einer Standortbestimmung im Sommer 2016 angestossen worden war und im folgenden Herbst eine Strategie hervorgebracht hatte, deren Umsetzungsplan im Sommer 2017 verabschiedet wurde. Gemäss dem Aktionsplan ist dieser vorerst als Orientierungshilfe anzusehen, er bedeute jedoch einen zwingenden ersten Schritt, weil eine Anpassung an neue „Herausforderungen im Cyber-Raum ein wichtiges Thema unserer Sicherheitspolitik geworden ist.”
Als operative Ziele wurden drei Bereiche definiert. Das VBS soll erstens seine eigenen Systeme und Infrastrukturen jederzeit schützen und verteidigen können. Zweitens soll es möglich werden, militärische und nachrichtendienstliche Operationen im Cyber-Raum durchzuführen. Ferner sollen drittens zivile Behörden im Falle von Cyber-Angriffen unterstützt werden können. Diese Zielvorgaben verlangen jedoch eine genügende Ausstattung mit finanziellen, aber auch personellen Ressourcen – ein Unterfangen, das auf der politischen Bühne auszutragen sein wird.

Die Rekrutierung von geeignetem Milizpersonal beispielsweise mittels neu zu schaffender Cyber-RS, wie im Parlament inzwischen gefordert wurde, wurde im Aktionsplan als nicht zielführend beschrieben. Im Papier ist von einem Bedarf von 166 Stellen die Rede, wovon etwa 100 neu zu schaffen wären. Bezüglich Finanzierung wurden keine präzisen Zahlen genannt, eine Schätzung geht jedoch von etwa 2 Prozent des Jahresbudgets des VBS aus. Ob der gesamte Bereich der Cyber-Abwehr, also auch ausserhalb des VBS und der Armee, durch ein Cybersecurity-Kompetenzzentrum organisiert werden könnte, wurde im Aktionsplan nicht genauer ausgeführt. Unter der Bezeichnung „CYD-Campus” wurde jedoch eine Plattform zur vertieften Zusammenarbeit skizziert, deren Entwicklung noch abgewartet werden muss.

Aktionsplan Cyber-Defence
Dossier: Cyber Defence

Der Sicherheitsverbund Schweiz (SVS) hat im ersten Halbjahr 2017 zwei Veranstaltungen durchgeführt. Anfang April fand zum fünften Mal die Cyber-Landsgemeinde statt. In Bern trafen sich etwa 100 Vertrererinnen und Vertreter von Bund und Kantonen, um über die NCS zu diskutieren. Im Fokus standen dabei die Cyberkriminalität und Cybersicherheit.

Die NCS stand auch bei der dritten Konferenz des SVS im Zentrum der Aufmerksamkeit. Rund 400 Personen waren für diesen Anlass zusammengekommen, bei dem ebenfalls der Schutz vor Cyberrisiken sowie die Sicherheit im Cyberbereich thematisiert wurden. Da die Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken Ende 2017 auslief, stellte sich die Frage nach der künftigen Ausgestaltung der Cyber-Abwehr. Der Verteidigungsminister hatte dabei Gelegenheit, die neue Cyberverteidigungsstrategie vorzustellen, die das VBS erarbeitete.

Cyber-Landsgemeinden und Konferenzen des Sicherheitsverbunds Schweiz
Dossier: Sicherheitsverbund Schweiz (SVS)
Dossier: Cyber Defence

Im April 2014 sorgte die Aufdeckung einer Sicherheitslücke bei der weitverbreiteten Verschlüsselungssoftware Open SSL für Aufregung. Durch das „Heartbleed“ genannte Leck konnten Kriminelle an sensible Daten wie Passwörter gelangen. Betroffen waren viele Dienstleistungsanbieter wie Krankenversicherer, Banken, Webshops, Google und Yahoo. Nachdem die Sicherheitslücke wohl zwei Jahre bestanden hatte, konnte sie bei den betroffenen Banken in der Schweiz innerhalb eines Tages geschlossen werden.

Sicherheitslücke bei der weitverbreiteten Verschlüsselungssoftware Open SSL (Heartbleed)

Privatpersonen können in Zukunft beantragen, dass ihre Adresse auf dem Portal für Handels- und Firmendaten Moneyhouse noch am selben Tag gelöscht wird. Damit kommt das Internetportal den Empfehlungen des Eidgenössischen Datenschutzbeauftragten (EDÖB), die dieser im Anschluss an verschiedene Beschwerden erlassen hatte, nach.

Moneyhouse

Im Sommer beschloss der Bundesrat, das Projekt einer neuen einheitlichen Personenidentifikationsnummer (PIN), welche sich in verschiedenen Bereichen der Verwaltung einsetzen und unter Umständen auch verknüpfen lässt, nun doch weiter zu verfolgen. Im Vorjahr hatte er aufgrund des Widerstandes aus Datenschutzkreisen noch darauf verzichten wollen. Der Datenschutzbeauftragte des Bundes, Hanspeter Thür, aber auch die SVP und die Linke protestierten erneut gegen diese Pläne, da die Barrieren gegen eine unerwünschte Verknüpfung von persönlichen Daten ihrer Meinung nach nicht hoch genug sind.

Registerharmonisierungsgesetz
Dossier: Harmonisierung der amtlichen Personenregister (2006)

Nach Ansicht des Datenschutzbeauftragten Odilo Guntern sind viele Fragen auf Anmeldungsformularen bei Wohnungsbewerbungen unnötig und verletzen die Privatsphäre der Mieter. Guntern erliess im November zuhanden der Vermieter- und Mieterverbände eine Empfehlung. So soll etwa das Einkommen nur noch in Kategorien erhoben werden und Fragen, ob sich der Mieter in einer Notlage befinde oder ob er aufgrund der Verhältnisse auf dem Wohnungsmarkt zum Abschluss des Mietvertrages gezwngen wurde, nicht mehr erlaubt sein. Ebenso sollen keine Fragen mehr zur Mitgliedschaft bei einer Mieterschutzorganisation oder zum Bestehen chronischer Krankheiten des Wohnungsbewerbers gestellt werden dürfen. In einer ersten Reaktion akzeptierten die Vermieterverbände die als moderat eingestuften Empfehlungen.

Datenschutz bei Fragen bei Wohnungsbewerbungen

Der Nationalrat befasste sich in der Sommersession als Zweitrat mit dem Datenschutzgesetz. Nachdem sich alle Fraktionen für Eintreten ausgesprochen hatten, waren in der Detailberatung im wesentlichen zwei Fragen umstritten: die Anwendung des Datenschutzes im Medienbereich und die Ausnahmeregelungen für den Staatsschutz.

Die Kommissionsmehrheit des Nationalrats hatte eine für die Medien restriktivere Lösung als der Ständerat beantragt, indem sie das Einsichtsrecht in Datensammlungen von Medienschaffenden in der Regel bereits vor dem Zeitpunkt einer Publikation gewähren wollte. Ausnahmen sollten nur erlaubt werden, wenn "dies zum Schutz der freien Meinungsbildung des Publikums" notwendig sei. Namentlich die Linke, aber auch Nationalräte bürgerlicher Parteien sahen in dieser Bestimmung eine Gefahr für die Pressefreiheit: die Ausnahmeklausel sei derart schwammig, dass sie keine Gewähr gegen die Behinderung von unliebsamen Recherchen bieten könne. Die mit einem Ordnungsantrag zur Überarbeitung aufgeforderte Kommission präsentierte in der Folge eine allseits akzeptierte Lösung. Danach können Medien und Medienschaffende die Einsicht in ihre Datensammlungen einschränken, wenn die Daten Aufschluss über die Informationsquellen oder Einblick in Entwürfe für eine Publikation geben sowie wenn dadurch die freie Meinungsbildung des Publikums gefährdet würde. Medienschaffende sind zudem auch nicht zur vollständigen Offenlegung verpflichtet, wenn die Datei ausschliesslich als persönliches Arbeitsinstrument dient.

In der Frage der Ausnahmeregelung für die Dateien der Staatsschutzorgane wurde ein Streichungsantrag Rechsteiner (sp, SG) abgelehnt. Dieser hatte vergeblich damit argumentiert, dass es nicht angehe, Ausnahmen zu gestatten, bevor überhaupt in einem Staatsschutzgesetz genau geregelt sei, welche Daten erhoben werden dürften. Die Ratsmehrheit entschied sich – im Sinne einer auf fünf Jahre befristeten Übergangslösung bis zum Inkrafttreten eines Staatsschutzgesetzes – für eine Fassung, welche festlegt, dass das Datenschutzgesetz nicht auf personenbezogene Datensammlungen angewendet wird, die zur Bekämpfung des Terrorismus, der Spionage, des gewalttätigen Extremismus und des organisierten Verbrechens dienen.

Im Verfahrensbereich beschloss der Rat auf Antrag seiner Kommissionsmehrheit, die von der Ständekammer gestrichene Klagelegitimation des Datenschutzbeauftragten wieder einzuführen. Das ebenfalls von der Kommission beantragte Verbandsklagerecht lehnte der Rat hingegen ab.

Bundesgesetz über den Datenschutz (BRG 88.032)