{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='DE')/Transcripts"}},"ID":20161021,"Language":"DE","BusinessShortNumber":"16.1021","BusinessType":19,"BusinessTypeName":"Dringliche Anfrage","BusinessTypeAbbreviation":"DA","Title":"Cyberattacke auf die Ruag und das VBS. Die notwendigen Konsequenzen ziehen!","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Wie aus den Medien bekannt- und offiziell best\u00e4tigt wurde, sind Ruag und VBS Opfer einer Cyberattacke geworden. Der Melani-Bericht \"APT Case Ruag: Technical Report\" gibt erste Infos und empfiehlt Gegenmassnahmen. Daraus ergeben sich dringende Fragen:</p><p>1. Die Ruag will sich als Kompetenzzentrum f\u00fcr Cyber Defence/Security profilieren. Viele laut Bericht unterlassene Massnahmen sind aber standardm\u00e4ssige Best Practices. Der Ruf der Ruag in diesem Bereich ist ruiniert. Wird der Bundesrat darauf hinwirken, die Gesch\u00e4ftsstrategie anzupassen?</p><p>2. Die Eignerstrategie des Bundes sieht eine unabh\u00e4ngige Stellung f\u00fcr die Ruag vor - dennoch blieben die Netzwerke von VBS und Ruag eng verbunden. Warum? Sind dadurch weitere \u00c4mter betroffen?</p><p>3. Warum hat das BIT Daten ans VBS und diese an die Ruag ausgelagert?</p><p>4. Der Bericht erw\u00e4hnt, dass eine offene Informationspolitik \u00fcber Angriffsvektoren, verwendete Techniken usw. essenziell ist, um den Aufwand f\u00fcr k\u00fcnftige Angriffe zu erh\u00f6hen und potenziellen Zielen zu helfen, sich zu sch\u00fctzen. Diese sicherheitstechnisch korrekte Grundhaltung steht im direkten Widerspruch zu den Pl\u00e4nen von Bund und Kantonen, sich (im Rahmen des Nachrichtendienstgesetzes und des B\u00fcpf) am Kauf von Staatstrojanern zu beteiligen. Mit dem Kauf von Staatstrojanern wird der Markt von unbekannten Sicherheitsl\u00fccken (Zero Day Exploits) unterst\u00fctzt und damit die oft kriminellen Milieus, statt zu mehr Sicherheit f\u00fcr alle beizutragen. Wie sieht der Bundesrat diesen Widerspruch?</p><p>5. Die verwendete Malware Epic Turla/Tavdig ist l\u00e4ngst bekannt. Sie wurde im August 2014 gegen viele u. a. staatliche Ziele verwendet, auch in der Schweiz. Dennoch wurde sie nicht entdeckt. Findet in den Netzen des Bundes und der Ruag kein regelm\u00e4ssiger Scan der Computer (Clients und Server) auf bekannte Malware statt? Finden keine Sicherheitsaudits z. B. der Active Directories statt?</p><p>6. Die Logs zeigen, dass 23 Gigabyte Daten exfiltriert wurden. Welche Infos abflossen, kann daraus nicht geschlossen werden. Allerdings wurde eine Beobachtungsphase eingef\u00fchrt nach der Entdeckung des Lecks. Wurden die medial erw\u00e4hnten Informationen zum AAD 10 in dieser Beobachtungsphase exfiltriert? H\u00e4tte man nicht sensible Informationen teilweise \u00e4ndern k\u00f6nnen, um die Angreifer in Sicherheit zu w\u00e4hnen, aber den Abfluss zu verhindern? Ist zutreffend, dass der gr\u00f6sste Teil der abgeflossenen Daten unbekannt bleiben wird?</p>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. Der Bundesrat wird die Erkenntnisse aus dem Cyberangriff mit dem Verwaltungsrat der Ruag anl\u00e4sslich der ordentlichen Aussprachen thematisieren und sich dabei aufzeigen lassen, welche Auswirkungen der Angriff auf die Konzernstrategie haben wird.</p><p>2. Die heutige Arbeitswelt ist gepr\u00e4gt durch eine grosse Vernetzung, auch in der IKT-Infrastruktur. Die vom Parlament geforderten und vom Bundesrat aktiv unterst\u00fctzten Effizienzsteigerungen bedingen einen raschen und vollst\u00e4ndigen Informationsaustausch. Sicherheitsauflagen ziehen in den meisten F\u00e4llen einen Zusatzaufwand nach sich, was auf Kosten der Effizienz gehen kann. Der vorliegende Fall zeigt aber auch, dass der Schutz der Netze des Eidgen\u00f6ssischen Departementes f\u00fcr Verteidigung, Bev\u00f6lkerungsschutz und Sport (VBS) und der Bundesverwaltung funktioniert hat und der Angreifer nach heutigem Kenntnisstand keinen Zugriff auf Daten im VBS hatte.</p><p>3. Das Bundesamt f\u00fcr Informatik und Telekommunikation (BIT) hat keine Daten oder Anwendungen an das VBS ausgelagert. Das BIT betreibt Verzeichnis- und Personalsysteme, welche von den Verwaltungseinheiten der Bundesverwaltung genutzt werden. Die Frage, welchen Nutzergruppen welche Daten aus diesen Verzeichnissen zug\u00e4nglich sein d\u00fcrfen, soll im Zuge der Abkl\u00e4rungen zur Cyberattacke \u00fcberpr\u00fcft und neu geregelt werden.</p><p>4. Die Voraussetzungen f\u00fcr die im Nachrichtendienstgesetz vorgesehenen Beschaffungsmassnahmen und deren Einsatz sind klar geregelt. Im Rahmen der Revision des Bundesgesetzes betreffend die \u00dcberwachung des Post- und Fernmeldeverkehrs sollen in Artikel\u00a0269ter der Strafprozessordnung (SR 312.0) zudem klare Rahmenbedingungen f\u00fcr den Einsatz von besonderen Informatikprogrammen geschaffen werden. Der Bundesrat kann hier keinen Widerspruch erkennen. Die offene Informationspolitik \u00fcber Angriffsvektoren hilft, weitere Angriffe zu verhindern oder zumindest fr\u00fchzeitig zu erkennen. Erkannte Sicherheitsl\u00fccken werden zudem umgehend und umfassend im Internet dokumentiert sowie (in der Regel) rasch vom Entwickler der betroffenen Applikation behoben. Die Hersteller von Govware versuchen zwar, Sicherheitsl\u00fccken zu nutzen, doch k\u00f6nnen und wollen sie deren Behebung auch nicht verhindern.</p><p>5. In Bundesnetzen w\u00e4re der Einsatz der in der Ruag gefundenen Malware erkannt worden. Beim VBS, wie beim BIT, finden regelm\u00e4ssig Scans im Netz wie auch auf den Clients statt. Es ist indes darauf hinzuweisen, dass sich innerhalb einer bestimmten Malware-Familie \u00fcber die Zeit neue Varianten bilden k\u00f6nnen, die nicht immer exakt den bekannten Erkennungsmustern entsprechen. Technische Indikatoren zur erw\u00e4hnten Malware-Familie werden im Rahmen der Public Private Partnership der Melde- und Analysestelle Informationssicherung (Melani) bereits seit Jahren mit Betreibern der kritischen Infrastrukturen (darunter auch die Ruag) ausgetauscht. Ob die Unternehmen diese Indikatoren in ihren betriebseigenen Sicherheitssystemen nutzen, liegt in ihrer eigenen Verantwortung.</p><p>6. Nach dem Erkennen der Infektion und den eingeleiteten Sofortmassnahmen sind keine Daten mehr \u00fcber die infizierten Ruag-Rechner abgeflossen. Es ist selbstverst\u00e4ndlich, dass bei einem kontrollierten Weiterbetrieb infizierter Rechner daf\u00fcr gesorgt wird, dass keine echten Daten abfliessen. Es muss aber davon ausgegangen werden, dass nicht alle abgeflossenen Daten identifiziert werden k\u00f6nnen.</p>  Antwort des Bundesrates.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1465516800000)\/","SubmittedBy":"Gr\u00fcne Fraktion","BusinessStatus":229,"BusinessStatusText":"Erledigt","BusinessStatusDate":"\/Date(1465516800000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"Departement f\u00fcr Verteidigung, Bev\u00f6lkerungsschutz und Sport","ResponsibleDepartmentAbbreviation":"VBS","IsLeadingDepartment":true,"Tags":"4|9|34","Category":null,"Modified":"\/Date(1750803904287)\/","SubmissionDate":"\/Date(1464825600000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Nationalrat","SubmissionCouncilAbbreviation":"NR","SubmissionSession":5004,"SubmissionLegislativePeriod":50,"FirstCouncil1":1,"FirstCouncil1Name":"Nationalrat","FirstCouncil1Abbreviation":"NR","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Staatspolitik|Sicherheitspolitik|Medien und Kommunikation"}}