Cyberdefense: Bundesrat regelt Armee-Selbstverteidigung

Die Armee soll sich gegen Cyberangriffe schützen und verteidigen können. Der Bundesrat hat nun in einer Verordnung geregelt, wie sie vorgehen muss und wer über welche Massnahmen entscheidet, wie das VBS mitteilt. Die neue Verordnung über die Cyberabwehr tritt am 1. März in Kraft.
 
Um dies klar zu betonen: Die Armee ist nach dem Willen des Bundesrats nicht dafür zuständig, die ganze Schweiz im Falle eines Cyberangriffs zu schützen. Es geht nur um ihren eigenen Schutz.
 
Ein Punkt war im Vorfeld noch umstritten, nämlich wer Bewilligungen für bewilligungspflichtige Massnahmen erteilen darf. Zunächst hatte der Bundesrat eine Regelung vorgesehen, wonach er die Kompetenz an die Verteidigungsministerin hätte delegieren können.
 
Dagegen stellte sich die Geschäftsprüfungsdelegation des Parlaments (GPDel), wie sie in ihrem Jahresbericht schrieb. Sie drängte darauf, dass der Gesamtbundesrat entscheidet. Und dies ist nun so beschlossen worden.
 
Bewilligungspflichtig sind Massnahmen, die das Eindringen in fremde Computersysteme und -netzwerke, sowohl im In- wie im Ausland, erfordern. Beispielsweise werde dabei ein "speziell für den konkreten Anwendungsfall erstelltes (Computer-)Programm auf jenem Computer implementiert, welcher als Urheber eines Angriffes auf Systeme der Armee identifiziert worden ist. Dieses Programm hat zum Zweck, Angriffe von diesem Computer zu unterbinden", heisst es in den Erläuterungen zur Verordnung und es wird ein Beispiel angeführt.
 
Gegnerische Aktionen stören
Die Verordnung unterscheidet zwischen Cyberverteidigung, Cyberaufklärung und Cyberangriff. Als Cyberverteidigung gelten Massnahmen zum Schutz der eigenen Systeme. Bei der Cyberaufklärung werden Aktionen durchgeführt, um Angriffe zu erkennen und zu lokalisieren. Der Cyberangriff hat das Ziel, gegnerische Ressourcen und Aktionen zu stören, zu verhindern oder zu verlangsamen.
 
Aufträge für Aktionen im Cyberraum erteilt der Armeechef, ausgeführt werden diese von der Führungsunterstützungsbasis (FUB). Will der Armeechef einen Auftrag für eine bewilligungspflichtige Massnahme erteilen, muss er dies vorgängig der Verteidigungsministerin beantragen.
 
Schriftlicher Antrag
Der Antrag muss schriftlich verfasst sein und Angaben zum Zweck und Umfang der geplanten Aktion sowie zur Rechtmässigkeit und den politischen Risiken enthalten. Nach Prüfung durch die Verteidigungsministerin und einer Konsultation der betroffenen Ämter wird der Antrag dem Bundesrat zur Genehmigung unterbreitet.
 
Nur im "Aktivdienst", also im Kriegsfall, könnte der Armeechef oder der Oberbefehlshaber der Armee bewilligungspflichtige Massnahmen genehmigen. Sie könnten diese Kompetenz auch delegieren. Die Aufsicht über die militärische Cyberabwehr nimmt das Generalsekretariat des VBS wahr. (hjm/sda)