{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='DE')/Transcripts"}},"ID":20153656,"Language":"DE","BusinessShortNumber":"15.3656","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Gefahr f\u00fcr das AKW M\u00fchleberg durch Fernwartung des Computersystems. Fragw\u00fcrdige \u00dcberwachung des Ensi","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>1. Der IT-Bereich des AKW M\u00fchleberg werde von Bern aus gewartet werden. Stimmt diese Aussage, und warum haben die BKW dar\u00fcber nicht informiert?</p><p>2. Hat das Eidgen\u00f6ssische Nuklearsicherheitsinspektorat (Ensi) f\u00fcr die Fernwartung der technischen Informatik eine dauernde Bewilligung erteilt?</p><p>3. Das Nuclear Energy Institute, der Interessenverband der amerikanischen Atomindustrie, schreibt \u00fcber Cyber-Security in Nuklearanlagen: \"Die f\u00fcr Sicherheit, Sicherung und Notfallbeherrschung notwendigen Systeme in Nuklearanlagen m\u00fcssen vom Internet isoliert sein.\" Teilt der Bundesrat bzw. das Ensi diese Einsch\u00e4tzungen? </p><p>4. Nimmt das Ensi seine Aufsichtspflicht bei IT-Systemen der zweith\u00f6chsten Sicherheitsstufe gen\u00fcgend wahr? Die Internationale Atomenergieagentur hat daf\u00fcr klare Regeln, wonach bei Computersystemen der zweith\u00f6chsten Sicherheitsstufe Fernwartungen h\u00f6chstens fallweise und f\u00fcr eine definierte Arbeitszeit bewilligt werden d\u00fcrfen.</p><p>5. Warum gilt f\u00fcr Computersysteme in nuklearen Anlagen nicht die h\u00f6chste Sicherheitsstufe?</p><p>6. Nimmt das Ensi seine Aufsichtspflicht bez\u00fcglich des IT-B\u00fcrokommunikationssystems gen\u00fcgend wahr? Auch in diesem Bereich werden sensitive Informationen verwaltet, welche von Dritten f\u00fcr eine b\u00f6swillige Einwirkung missbraucht werden k\u00f6nnten. Gem\u00e4ss dem Bericht im \"Beobachter\" 12/2015 besteht eine l\u00f6chrige Firewall. Dutzende von Administratoren h\u00e4tten Zugriff zu heiklen Servern. IP-Adressen w\u00fcrden per E-Mail versendet. Das Ensi werde auch nur ungen\u00fcgend \u00fcber sicherheitsrelevante Vorg\u00e4nge informiert.</p><p>7. M\u00fcsste das Ensi die Anforderungen bez\u00fcglich Cyber-Security nicht versch\u00e4rfen und an die aktuelle Bedrohungslage anpassen?</p><p>8. Die International Electrotechnical Commission (IEC) hat einen Standard f\u00fcr die Computersicherheit in Atomkraftwerken publiziert (IEC 62645). Weshalb erkl\u00e4rt das Ensi diesen Standard nicht f\u00fcr verbindlich?</p>","ReasonText":"<p>Die Fragen nehmen Bezug auf den Bericht \"AKW M\u00fchleberg -Einladung f\u00fcr Hacker\", \"Beobachter\" vom 12. Juni 2015, 12/2015: <a href=\"http://www.beobachter.ch/dossiers/energie/artikel/akw-muehleberg_einladung-fuer-hacker/\">http://www.beobachter.ch/dossiers/energie/artikel/akw-muehleberg_einladung-fuer-hacker/</a>. Dieser Bericht deckt eine F\u00fclle von sicherheitsrelevanten M\u00e4ngeln bei der \u00dcberwachung der Computersysteme der zweith\u00f6chsten Sicherheitsstufe sowie des B\u00fcrokommunikationssystems des AKW M\u00fchleberg auf.</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. Die Informatik des Kernkraftwerks M\u00fchleberg (KKM) wird teilweise vom Hauptsitz der BKW AG aus gewartet; die f\u00fcr die Schutzsysteme n\u00f6tige Informatik befindet sich weiterhin am Standort M\u00fchleberg. Das KKM als Teil der BKW AG hat keine eigene Rechtspers\u00f6nlichkeit. Die BKW AG als Bewilligungsinhaberin und Betreiberin ist f\u00fcr die Sicherheit und Sicherung der Kernanlage verantwortlich, einschliesslich der Sicherheitsmassnahmen im Bereich der Informatik. Die BKW AG hat am 12. Juni 2015 \u00fcber die Informatiksicherheit des KKM informiert.</p><p>2. Das Eidgen\u00f6ssische Nuklearsicherheitsinspektorat (Ensi) hat gem\u00e4ss Artikel\u00a040 der Kernenergieverordnung vom 10. Dezember 2004 (KEV; SR 732.11) seine Aufgabe wahrgenommen und im Zusammenhang mit der Reorganisation der Informatik des KKM entsprechende Freigabegesuche eingehend gepr\u00fcft und Freigaben erteilt. Die Freigabe der technischen \u00c4nderungen erfolgte am 19. Juli 2013.</p><p>3. Die Steuer- und Kontrollsysteme in Kernanlagen beinhalten technische, administrative und organisatorische Schutzvorkehrungen. Unter anderem werden physische Netzwerktrennungen, ein redundanter Systemaufbau sowie restriktive Zonen- und Berechtigungskonzepte implementiert. Die Betreiberin hat in ihrem Freigabegesuch die grundlegenden technischen Empfehlungen der Internationalen Atomenergieagentur (IAEA) angewendet, und das Ensi hat dies \u00fcberpr\u00fcft. Bei diesen Empfehlungen handelt es sich um das Dokument \"IAEA Nuclear Security Series 17\" (IAEA NSS 17), abrufbar unter <a href=\"http://www-ns.iaea.org/security/nuclear_security_series.asp\">http://www-ns.iaea.org/security/nuclear_security_series.asp</a>.</p><p>4. Das Ensi hat den Zugriff auf die sekund\u00e4re Prozessinformatik (gem\u00e4ss IAEA NSS 17, Level 2 und 3) freigegeben. Entsprechend diesen Empfehlungen der IAEA ist bei Fernwartungszugriffen festzuhalten, in welche Richtung, mit welchen Berechtigungen und unter Einbezug welcher Zust\u00e4ndigkeiten diese erfolgen. Diese hat das Ensi bei seiner Freigabe ber\u00fccksichtigt.</p><p>5. Auch in der Informatik gibt es, \u00e4hnlich dem physischen Schutz gegen unbefugte Einwirkungen gem\u00e4ss Anhang 2 der KEV, eine Zonenstruktur (siehe IAEA NSS 17, Kapitel 5.5.2) mit zunehmendem Widerstand. Die h\u00f6chste Sicherheitsstufe wird in der Ebene 1 f\u00fcr die am besten zu sch\u00fctzenden Systeme angewendet. Die Ebene 1 umfasst die prim\u00e4ren Schutzsysteme des Reaktors. Die Ebenen 2 bis 5 sind abgestuft gesch\u00fctzt und entsprechen den Empfehlungen der IAEA.</p><p>6. Das Ensi hat seine Aufgabe gem\u00e4ss Artikel\u00a040 KEV wahrgenommen. Entscheidungen des Ensi basieren sowohl auf Informationen, die die Bewilligungsinhaberin zur Verf\u00fcgung stellt, als auch auf Erkenntnissen, die sich das Ensi selber verschafft. Das Ensi hat - gest\u00fctzt auf die Gesamtheit dieser Informationen - die Freigabe erteilt. Der Bundesrat sieht keinen Anlass, die Aufsicht des Ensi infrage zu stellen.</p><p>Die in der Frage angesprochenen IT-B\u00fcrokommunikationssysteme befinden sich auf der tiefsten Sicherheitsebene 5. Hierf\u00fcr sind geeignete Schutzmassnahmen implementiert (siehe auch Antwort zu Frage 5).</p><p>7. Die Betreiber der Schweizer Kernanlagen m\u00fcssen IT-Risiken beurteilen, Risikoanalysen durchf\u00fchren und entsprechende Schutzmassnahmen umsetzen. Artikel\u00a022 des Kernenergiegesetzes vom 21. M\u00e4rz 2003 (SR 732.1) umschreibt die Pflichten bzw. Nachr\u00fcstungsmassnahmen des Bewilligungsinhabers. Dabei findet Buchstabe\u00a0g von Absatz\u00a02 insbesondere auch in der IT-Security Anwendung. Dieser \u00fcberbindet dem Bewilligungsinhaber die Pflicht, die Anlage insoweit nachzur\u00fcsten, als dies nach der Erfahrung und dem Stand der Nachr\u00fcstungstechnik notwendig ist, und dar\u00fcber hinaus, soweit dies zu einer weiteren Verminderung der Gef\u00e4hrdung beitr\u00e4gt und angemessen ist. Dies wird vom Ensi laufend \u00fcberpr\u00fcft.</p><p>8. Die erw\u00e4hnte technische Empfehlung ist f\u00fcr die schweizerischen Kernanlagen gesetzlich nicht bindend und w\u00fcrde zudem nur einen Teil der angewandten Informatik abdecken. Diese wie auch weitere internationale Empfehlungen werden aber als Basis f\u00fcr die Beurteilung durch das Ensi ber\u00fccksichtigt.</p>  Antwort des Bundesrates.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1440547200000)\/","SubmittedBy":"Munz Martina","BusinessStatus":229,"BusinessStatusText":"Erledigt","BusinessStatusDate":"\/Date(1497571200000)\/","ResponsibleDepartment":9,"ResponsibleDepartmentName":"Departement f\u00fcr Umwelt, Verkehr, Energie und Kommunikation","ResponsibleDepartmentAbbreviation":"UVEK","IsLeadingDepartment":true,"Tags":"52|66","Category":null,"Modified":"\/Date(1690523430123)\/","SubmissionDate":"\/Date(1434585600000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Nationalrat","SubmissionCouncilAbbreviation":"NR","SubmissionSession":4919,"SubmissionLegislativePeriod":49,"FirstCouncil1":1,"FirstCouncil1Name":"Nationalrat","FirstCouncil1Abbreviation":"NR","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Umwelt|Energie"}}