Der Bundesrat will mit einem neuen Gesetz dafür sorgen, dass Computersysteme und Informationen in der Bundesverwaltung besser vor Angriffen und Missbrauch geschützt sind. Über das Informationssicherheitsgesetz kann nun das Parlament entscheiden.

Der bisher grösste bekannte Angriff betraf den bundeseigenen Rüstungskonzern RUAG, erregte viel Aufmerksamkeit.

Dass es nicht so gut um die IT-Sicherheit beim Bund steht, findet auch der Bundesrat. Angriffe auf Informationssysteme hätten gezeigt, dass es Lücken gebe, schreibt der Bundesrat in seiner am Donnerstag veröffentlichten Botschaft ans Parlament.

Das Thema dürfe aber nicht auf den Schutz vor Cyber-Angriffen reduziert werden. Spionage beispielsweise werde immer noch auch mit alten Methoden durchgeführt. Neben technischen brauche es vor allem organisatorische Massnahmen.

Die heutigen Lücken sind laut dem Bundesrat auch auf unzeitgemässe Rechtsgrundlagen zurückzuführen. Heute finden sich die rechtlichen Grundlagen verstreut in verschiedenen Erlassen. Mit dem neuen Gesetz will der Bundesrat nun für alle Bundesbehörden einen einheitlichen formell-gesetzlichen Rahmen zum Informationsschutz schaffen.

Das Gesetz betrifft primär die Bundesbehörden, das Parlament, die eidgenössischen Gerichte, die Bundesanwaltschaft und die Nationalbank. Private und die Wirtschaft sind nur dann betroffen, wenn sie im Auftrag der Bundesbehörden sicherheitsempfindliche Tätigkeiten ausüben.

Geregelt werden das Risikomanagement und die Klassifizierung von Informationen. Dadurch besteht ein Spannungsverhältnis mit dem Öffentlichkeitsgesetz, das jede Person grundsätzlich berechtigt, amtliche Dokumente einzusehen und von den Verwaltungseinheiten Auskünfte zu erhalten.

Im Informationsschutzgesetz soll aber verankert werden, dass das Öffentlichkeitsgesetz Vorrang hat. Damit werde klar festgehalten, dass das Öffentlichkeitsprinzip durch die Regelung der Informationssicherheit nicht eingeschränkt werde, schreibt der Bundesrat. Ob der Zugang zu amtlichen Dokumenten gewährt werde, sei unabhängig vom neuen Gesetz zu entscheiden.

Ohnehin sollen künftig weniger Informationen klassifiziert werden. Das Klassifizierungssystem soll aber weiterhin dreistufig sein: "Intern", Vertraulich" und "Geheim". In der Vernehmlassung hatte der Bundesrat zur Diskussion gestellt, den Vermerk "Intern" abzuschaffen.

Weiter soll die Zahl der Personensicherheitsprüfungen erheblich sinken. Seit 2012 werden jährlich zwischen 70'000 und 80'000 Prüfungen durchgeführt, davon über 60'000 bei Stellungspflichtigen und Angehörigen der Armee. Künftig sollen sich nur noch Personen der Prüfung unterziehen müssen, die in der Bundesverwaltung eine "sicherheitsempfindliche" Tätigkeit ausüben.

In den Departementen wird die neue Funktion des Informationssicherheitsbeauftragten die bisher getrennten Rollen der Informationsschutzbeauftragten und der Informatiksicherheitsbeauftragten ersetzen. (sda / hc)