{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='DE')/Transcripts"}},"ID":20234461,"Language":"DE","BusinessShortNumber":"23.4461","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Unterschiedliche Auffassungen und Zielsetzungen zwischen dem Nationale Zentrum f\u00fcr Cybersicherheit und dem Nachrichtendienst des Bundes","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>2022 wurde \u00fcber die Resultate der Administrativuntersuchung Oberholzer im Zusammenhang mit Informationsbeschaffungen des Nachrichtendienstes des Bundes (NDB) im Bereich Cyber berichtet. Kurz vorher hatte der Bundesrat entschieden, das Nationale Zentrum f\u00fcr Cybersicherheit (NCSC) ab 1.1.2024 im VBS anzusiedeln.</p><p>Im Bericht Oberholzer wurde empfohlen, \u00fcber eine \u00abvollst\u00e4ndige Herausl\u00f6sung des Ressorts Cyber NDB aus dem NDB und die Schaffung eines eigenst\u00e4ndigen Expertenpools f\u00fcr die Analyse von Daten des Netzwerkverkehrs\u00bb nachzudenken. Diese sei \u00absinnvollerweise wohl beim NCSC anzusiedeln und st\u00fcnde so allen Organisationseinheiten des Bundes, die im Bereich der Cybersicherheit t\u00e4tig sind, zur Verf\u00fcgung.\u00bb&nbsp;</p><p>Am 7.12.2023, kurz vor der \u00dcbersiedlung des NCSC ins VBS, vermelden Medien, dass es zu einem wahren Exodus der Top-Experten gekommen sei: 6 von 9 Spezialisten der Cyber-Schnell-Eingreifgruppe \u00abGovCERT\u00bb machen den Wechsel ins VBS nicht mit, insgesamt verlassen gut 20% der Angestellten das NCSC. Es w\u00fcrden sich \u00abethische Konflikte\u00bb zeigen, die Mitarbeitenden des NCSC seien darum bem\u00fcht, Sicherheitsl\u00fccken zum Schutz der Zivilgesellschaft und der Wirtschaft zu schliessen. Der NDB und das VBS h\u00e4tten jedoch Interesse daran, Sicherheitsl\u00fccken offen zu lassen, weil sie diese zur Informationsgewinnung nutzen wollten.&nbsp;</p><p>In der Administrativuntersuchung wurde 2022 gesagt, der damalige Chef des Ressorts Cyber NDB habe \u00abf\u00fcr rechtliche Vorgaben und institutionalisierte Prozessabl\u00e4ufe innerhalb eines staatlichen Dienstes wenig Verst\u00e4ndnis\u00bb gezeigt und dessen Chef habe ihn gew\u00e4hren lassen.</p><ol><li>Hat der Bundesrat die unterschiedlichen Zielsetzungen und damit verbundene unterschiedliche Unternehmenskulturen vom NCSC und dem NDB/VBS untersch\u00e4tzt?</li><li>Wie stellt der Bundesrat sicher, dass das NCSC unter der F\u00fchrung des VBS die Interessen der Zivilgesellschaft und der Wirtschaft zur Schliessung von Sicherheitsl\u00fccken im Netz - und nicht die opportunistischen Interessen des NDB zur Nutzung von Sicherheitsl\u00fccken - ins Zentrum stellt?&nbsp;</li><li>Wir wird die Schnittstelle zwischen dem NCSC und dem NDB bez\u00fcglich automatisiertem Datenaustausch organisiert und \u00fcberwacht?</li><li>Wie stellt der Bundesrat sicher, dass Spezialist*innen des NCSC allf\u00e4llig entdeckte Fehlinterpretationen der gesetzlichen Grundlagen im NDB Bereich Cyber auf sichere und rasche Art an die zust\u00e4ndige Aufsicht (AB-NDB, GPDel) \u00fcbermitteln k\u00f6nnen?</li></ol>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<div><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial; text-decoration:underline\">Zu 1)</span><span style=\"font-family:Arial\"> Das neue Bundesamt f\u00fcr Cybersicherheit (BACS) \u00fcbernimmt unver\u00e4ndert die Aufgaben des Nationalen Zentrums f\u00fcr Cybersicherheit (NCSC). Diese sind komplement\u00e4r zu den Aufgaben des Nachrichtendienstes des Bundes (NDB). Der NDB ist ein sicherheitspolitisches Instrument, das pr\u00e4ventiv wirkt. Er ist zust\u00e4ndig f\u00fcr die fr\u00fchzeitige Erkennung sowie Verhinderung von Bedrohungen der inneren und \u00e4usseren Sicherheit, die u. a. von Cyberangriffen ausgehen.</span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial\">Sowohl der NDB als auch das BACS unterstehen der direkten F\u00fchrung der Departementschefin des VBS. Beide entwickeln ihre Betriebskultur so, dass sie ihre Aufgaben im Rahmen der Nationalen Cyberstrategie (NCS) zum Schutz der Schweiz vor Cyberrisiken bestm\u00f6glich erf\u00fcllen k\u00f6nnen. </span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial\">Die NCS definiert die Verantwortlichkeiten und Zust\u00e4ndigkeiten von Gesellschaft, Wirtschaft und Staat. Alle Departemente und \u00c4mter der Bundesverwaltung arbeiten komplement\u00e4r mit dem gleichen Ziel: den Schutz der Bev\u00f6lkerung vor Cyberrisiken zu erh\u00f6hen. Dies gilt auch f\u00fcr das BACS und den NDB. </span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial; -aw-import:ignore\">&#xa0;</span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial; text-decoration:underline\">Zu 2)</span><span style=\"font-family:Arial\"> Das Parlament hat am 29. September 2023 der Revision des Informationssicherheitsgesetzes (ISG; SR 128) zur Einf\u00fchrung einer Meldepflicht f\u00fcr Cyberangriffe bei kritischen Infrastrukturen zugestimmt. Artikel 73</span><span style=\"font-family:Arial; font-style:italic\">b</span><span style=\"font-family:Arial\"> Absatz 3 verpflichtet das BACS, k\u00fcnftig die Herstellerinnen von Hard- oder Softwareprodukten umgehend zu informieren, wenn es Kenntnis von einer Schwachstelle in diesen Produkten erh\u00e4lt. Damit wird gesetzlich geregelt, dass das BACS den Prozess der koordinierten Offenlegung von Schwachstellen umsetzt.</span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial\">Die Aufgaben des NDB sind im Artikel 6 des Nachrichtendienstgesetzes (NDG; SR 121) festgehalten. Alle nachrichtendienstlichen Aktivit\u00e4ten des NDB, die offensiver Natur sind (z. B. die Nutzung von Schwachstellen, vgl. Art. 26 NDG), erfolgen nach einem gesetzlich definierten Genehmigungsverfahren. </span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial; -aw-import:ignore\">&#xa0;</span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial; text-decoration:underline\">Zu 3)</span><span style=\"font-family:Arial\"> Ein automatischer Austausch findet nicht statt. Der NDB hat zudem keinen Zugriff auf Informationen des BACS \u00fcber Schwachstellen. Das BACS gew\u00e4hrt dem NDB Zugriff auf Informationen, welche die Identit\u00e4t und Vorgehensweise von Angreifern betreffen. Die \u00dcberwachung der Informationsbearbeitung durch den NDB erfolgt im Rahmen der Aufsicht \u00fcber die T\u00e4tigkeiten des NDB. Der in der Vergangenheit etablierte Datenaustausch zwischen BACS (bzw. fr\u00fcher NCSC) und dem NDB wird wie bisher weitergef\u00fchrt und ist ebenfalls im NDG und im revidierten ISG geregelt. Mit der Ansiedlung des BACS im VBS \u00e4ndert sich nichts an dieser Praxis. </span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial; -aw-import:ignore\">&#xa0;</span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial; text-decoration:underline\">Zu 4) </span><span style=\"font-family:Arial\">Das Bundespersonalgesetz (BPG; SR 172.220.1) regelt die Anzeigepflichten und -rechte aller Bundesmitarbeitenden in</span><span style=\"font-family:Arial; -aw-import:spaces\">&#xa0; </span><span style=\"font-family:Arial\">Art. 22</span><span style=\"font-family:Arial; font-style:italic\">a</span><span style=\"font-family:Arial\">. Die dem BPG unterstellten Angestellten sind verpflichtet, alle von Amtes wegen zu verfolgenden Verbrechen und Vergehen, die sie bei ihrer amtlichen T\u00e4tigkeit feststellen oder von denen sie erfahren, ihren Vorgesetzten, den Strafverfolgungsbeh\u00f6rden oder der Eidgen\u00f6ssischen Finanzkontrolle (EFK) anzuzeigen (Abs. 1). In Absatz 4 ist ein generelles Recht verankert, dass Angestellte auch andere Unregelm\u00e4ssigkeiten der EFK melden d\u00fcrfen, die sie bei ihrer amtlichen T\u00e4tigkeit feststellen oder von denen sie erfahren. </span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial\">Der EFK ist es aufgrund ihrer Funktion m\u00f6glich, im Rahmen ihrer Aufsichtst\u00e4tigkeit diskret und vor Ort die Plausibilit\u00e4t der erhobenen Vorw\u00fcrfe zu pr\u00fcfen. Sie ist von Gesetzes wegen verpflichtet, M\u00e4ngel in der Organisation, der Verwaltungsf\u00fchrung oder in der Aufgabenerf\u00fcllung, die sie bei der Aus\u00fcbung ihrer Aufsichtst\u00e4tigkeit feststellt, der zust\u00e4ndigen Verwaltungseinheit zur Kenntnis zu bringen und sich \u00fcber die getroffenen Massnahmen Bericht erstatten zu lassen (Art. 13 Abs. 2 Finanzkontrollgesetz, SR 614.0). </span></p><p style=\"margin-top:0pt; margin-bottom:0pt; line-height:150%; widows:0; orphans:0; font-size:11pt\"><span style=\"font-family:Arial\">Das bestehende Anzeigesystem gilt f\u00fcr alle Angestellten des Bundes. Eine direkte Meldem\u00f6glichkeit an die AB-ND oder die GPDel durch Mitarbeiterinnen und Mitarbeiter ist weder vorgesehen noch notwendig.</span></p></div>","FederalCouncilProposal":null,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1708473600000)\/","SubmittedBy":"Schlatter Marionna","BusinessStatus":229,"BusinessStatusText":"Erledigt","BusinessStatusDate":"\/Date(1710510858000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"Departement f\u00fcr Verteidigung, Bev\u00f6lkerungsschutz und Sport","ResponsibleDepartmentAbbreviation":"VBS","IsLeadingDepartment":true,"Tags":"4|9|34","Category":null,"Modified":"\/Date(1763097800030)\/","SubmissionDate":"\/Date(1703116800000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Nationalrat","SubmissionCouncilAbbreviation":"NR","SubmissionSession":5201,"SubmissionLegislativePeriod":52,"FirstCouncil1":1,"FirstCouncil1Name":"Nationalrat","FirstCouncil1Abbreviation":"NR","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Staatspolitik|Sicherheitspolitik|Medien und Kommunikation"}}