Ständerat sagt Ja zu Informationssicherheit

SICHERHEIT ⋅ Der Ständerat hat am Montag das Informationssicherheitsgesetz gutgeheissen, mit dem die Sicherheit von Informationen in der Bundesverwaltung verbessert werden soll. Die Bestimmungen waren weitgehend unbestritten.
04. Dezember 2017, 16:28

Mit dem neuen Gesetz werde das Recht an die heutigen Bedürfnisse der Informationssicherheit anpasst, sagte Kommissionssprecher Isidor Baumann (CVP/UR). Das Ziel sei ein möglichst einheitliches Sicherheitsniveau. Claude Hêche (SP/JU) erinnerte an die Gefahren von Datendiebstahl und -missbrauch. Das Gesetz sei nötig, befand er.

Skeptisch zeigte sich Thomas Minder (parteilos/SH). Er sprach von einer "grossen Bürokratieübung". Ob diese die angestrebte Wirkung erziele, sei nicht sicher. Man könne schon glauben, mit einem neuen Gesetz sei fortan alles in Butter, es gebe keine Cyber-Attacken und keine Informationslecks mehr. Doch der Schwachpunkt sei oft der Mensch. Das werde sich nicht ändern.

Mindeststandard für alle Behörden

Verteidigungsminister Guy Parmelin stellte fest, das Gesetz sei wichtig, aber politisch wenig interessant. Es schaffe einen Mindeststandard. Alles könne nicht verhindert werden. Doch die Schweiz sei damit gut gerüstet.

Die heutigen Lücken sind laut dem Bundesrat auch auf unzeitgemässe Rechtsgrundlagen zurückzuführen. Heute finden sich die rechtlichen Grundlagen verstreut in verschiedenen Erlassen. Mit dem neuen Gesetz soll ein einheitlicher Rahmen für alle Bundesbehörden geschaffen werden.

AHV-Nummer zur Identifikation

Unbestritten war im Ständerat auch eine Ergänzung, welche die vorberatende Kommission vorgeschlagen hatte. Demnach sollen die Behörden künftig die AHV-Nummer systematisch als Personenidentifikator verwenden dürfen.

Die Verwendung der AHV-Nummer sei im Parlament immer akzeptierter, sagte Baumann dazu. Auch der Bundesrat zeigte sich mit der Ergänzung einverstanden. Er plant ohnehin eine Vorlage zur Verwendung der AHV-Nummer. Laut Parmelin soll diese bis Mitte nächsten Jahres vorliegen.

Datenschützer dagegen

Die kantonalen Datenschutzbeauftragten wünschen eine Entwicklung in die andere Richtung: Vor kurzem forderten sie die Kantone auf, künftig auf den Gebrauch der AHV-Nummern zur Personenidentifikation zu verzichten. Das Risiko einer missbräuchlichen Verwendung sei zu hoch, argumentierten sie.

Durch die Verwendung der AHV-Nummer in verschiedenen Bereichen könnten Personendaten leicht verknüpft werden. Bei vielen Datenbanken seien aber die Sicherheitsmassnahmen ungenügend. Die Datenschützern fordern daher verschiedene Nummern für verschiedene Bereiche.

Systeme schützen

Der bisher grösste bekannte Hacker-Angriff betraf den bundeseigenen Rüstungskonzern RUAG. Das neue Gesetz enthält nun Grundsätze zum Schutz von Informationssystemen. So werden die Behörden verpflichtet, die Informatikmittel vor Missbrauch zu schützen.

Der Bundesrat hat aber nicht nur Cyber-Angriffe im Visier. Spionage werde auch immer noch mit alten Methoden durchgeführt, schreibt er in seiner Botschaft ans Parlament. Neben technischen brauche es vor allem organisatorische Massnahmen.

"Vertraulich" und "Geheim"

Das Gesetz enthält Bestimmungen zum Risikomanagement und zur Klassifizierung von Informationen. Das Klassifizierungssystem soll weiterhin dreistufig sein: "Intern", "Vertraulich" und "Geheim". Räume, in denen häufig vertrauliche oder geheime Informationen bearbeitet werden, können als Sicherheitszone bezeichnet werden. In solchen können auch störende Fernmeldeanlagen betrieben werden.

Weiteres Thema sind die Personensicherheitsprüfungen. Deren Zahl will der Bundesrat senken. Künftig sollen sich nur noch jene Personen der Prüfung unterziehen müssen, die in der Bundesverwaltung eine "sicherheitsempfindliche" Tätigkeit ausüben. Zudem soll es nur noch eine Grundsicherheitsprüfung und eine erweiterte Prüfung geben. Die erweiterte Prüfung mit Befragung will der Bundesrat abschaffen.

Der Ständerat hat diese Bestimmungen auf Antrag seiner Kommission ergänzt: Auch externe Mitarbeitende sollen zwingend geprüft werden, wenn sie sicherheitsempfindliche Tätigkeiten ausüben. Weiter verankerte er im Gesetz, dass das Staatssekretariat für Migration Dolmetscherinnen und Dolmetscher sowie Übersetzerinnen und Übersetzer auf ihre Vertrauenswürdigkeit hin prüfen lassen kann.

Der Ständerat hiess das Gesetz mit 39 zu 0 Stimmen bei 4 Enthaltungen gut. Die Vorlage geht nun an den Nationalrat. (sda)

Anzeige: