1 Management Summary Untersuchungsmethode De quoi s agit-il?... 7

Transkript

1

2 Inhaltsverzeichnis 1 Management Summary Untersuchungsmethode De quoi s agit-il? Feststellungen und Erkenntnisse Rechtsgrundlagen Sicherheitscontrolling und -inspektorat Informatiksicherheit Informationsschutz Objektschutz Gesprächs- und Interviewpartner Stellungnahmen Departementsbereich Verteidigung Departementsbereich Armasuisse Bundesamt für Bevölkerungsschutz Nachrichtendienst des Bundes Abbildungsverzeichnis Anhang Anhang 1: Aufgaben und Organisation der Informations- und Objektsicherheit (IOS) Anhang 2: Master - DEBI Objektschutz /37

3 1 Management Summary Der Ansatz, die Sicherheitsbelange im VBS integral durch eine Verwaltungseinheit als Vorgabe-, Genehmigungs- und Kontrollstelle wahrzunehmen, ist aus Sicht des Inspektorats VBS unbestritten. Der integrale Sicherheitsansatz ist Voraussetzung zur Wahrung des militärischen Geheimnisses sowie für die Schutz- und Sicherheitsmassnahmen. Die Linienverantwortlichen tragen dabei die Verantwortung für deren Umsetzung. Sie sind in die Pflicht zu nehmen für eine vertrauenswürdige Umsetzung der integralen Sicherheit, auch in Bezug auf das dafür erforderliche Wissen. Mit den Sicherheitsanforderungen ausländischer Staaten in der Zusammenarbeit mit der Schweiz, mit der Übernahme des Informationsschutzes zugunsten der anderen Departemente, mit den Organisationsveränderungen im VBS ( ), mit den neuen Technologien und nicht zuletzt auch durch neue Risiken 1, sind die Ansprüche an die Sicherheit wesentlich komplexer geworden. Die Anpassung und die Umsetzung der Sicherheitsstandards stellen durch die fortwährenden Veränderungen der Rahmenbedingungen höchste Ansprüche an die Verantwortlichen. Im Spannungsfeld zwischen Forderung nach Sicherheit und übertriebenen Vorgaben, wird die dafür zuständige Verwaltungseinheit Informations- und Objektschutz 2 (IOS) als ein kostentreibendes und verzögerndes Element empfunden. Aus Sicht des Inspektorats VBS ist diese These per se nicht gegeben. Diese Feststellung geht einerseits aus den untersuchten Prüfobjekten hervor und andererseits tragen die Linienverantwortlichen jeweils die Bedarfs- und Investitionsverantwortung für die Sicherheitsbereiche 3. Die grössten Defizite in den Sicherheitsbereichen der IOS sind erkannt. Konkrete Massnahmen auf Stufe Departementsleitung sind eingeleitet. Mit Beschluss Bundesrat vom 12. Mai 2010 wurde festgehalten und das VBS beauftragt, im Rahmen einer interdepartementalen Arbeitsgruppe die formell-gesetzliche Grundlage für den Informationsschutz FOGIS des Bundes auszuarbeiten. Dabei sollen alle Aspekte der bisherigen Rechtsgrundlagen aus den Gebieten des Informationsschutzes, der völkerrechtlichen Verträge, der Informatiksicherheit, des Objektschutzes bis hin zu den Geheimschutzverfahren, um nur einige zu nennen, in einem neuen Erlass Eingang finden. Die Umsetzung des Beschlusses bewirkt, dass zumindest ein Teil der heutigen, atomisierten Rechtsgrundlagen (rund 60 publizierte Gesetze, Verordnungen, Weisungen, Behelfe etc.) reduziert, materiell verbessert und mit einem integralen Ansatz für die verschiedenen Anspruchsgruppen auf eine neue Basis 4 gestellt wird. Die Vernehmlassung des Gesetzentwurfes ist für Juli 2012 vorgesehen. Im Weiteren wurde mit Beschluss Bundesrat vom 28. Februar 2011 Steuerung und Führung des Einsatzes von Informations- und Kommunikationstechnik im Bund u.a. festgehalten, dass die Verantwortlichkeiten und Entscheidungsinstanzen auf Stufe Bund neu zu organisieren und die Schnittstellen zum VBS zu klären seien. Der Beschluss hat somit auch direkte Auswirkungen auf das VBS und die Informatiksicherheit IOS, welche die IKT- Sicherheitsstandards für das VBS erarbeitet. In der Tat werden z.b. heute für die IKTgestützte Übertragung von klassifizierten Informationen verschiedene Softwarepakete 5 im VBS und in den übrigen Departementen eingesetzt. Solche Zustände sind, insbesondere für 1 Ris ken wie Mithören von Handys, Datenklau im Bundesnetz, Manipulation von Systemen der Armee, Industriespionage etc. 2 Kapitel: 7.1 Anhang 1: Aufgaben und Organisation der Informations- und Objektsicherheit (IOS) 3 Sicherheitsbereiche der IOS sind: Personen, Informationen, Sachwerte und Umwelt 4 Die aufgezeigte Reduktion der Rechtsgrundlagen findet unter der Bedingung statt, dass wie im Normkonzept beantragt, ein Informationssicherheitsgesetz (und nicht nur ein Informationsschutzgesetz) geschaffen wird. 5 Im VBS Secure Center; in der übrigen Bundesverwaltung Secure Messaging 3/37

4 die Bundesangestellten, die mit klassifizierten Dokumenten arbeiten, nicht nachvollziehbar, zumal die falsche Handhabung für Betroffene zu strafrechtlich relevanten Sanktionen führen kann. Die Bestrebungen, auf Stufe Bund bezüglich einheitlichen Standards und Verbesserung der IKT-Sicherheit zum Nutzen der Informationssicherheit einen Schritt weiter zu kommen, ist eine Herausforderung, in die sich die IKT-Verantwortlichen des VBS einbringen müssen. Bis Juli 2011 soll dem Bundesrat eine überarbeitete Bundesinformatikverordnung vorgelegt werden. Damit sind die wichtigsten strategischen Entscheidungen zur integralen Sicherheit in Bezug auf die Rechtsgrundlagen und die Informationssicherheit gefällt. Aus Sicht des Inspektorats VBS besteht auf Stufe VBS kein Handlungsbedarf. In den folgenden Abschnitten werden die relevanten Untersuchungsergebnisse im Verantwortungsbereich des Departementsbereichs Verteidigung über die geprüften Bereiche Rechtsgrundlagen, Sicherheitscontrolling und -inspektorat, Informatiksicherheit, Informationsschutz und Industriesicherheit sowie Objektschutz der IOS beschrieben. Rechtsgrundlagen Die heutigen Rechtsgrundlagen über die Organisation und Verantwortung im Bereich der Schutz- und Sicherheitsmassnahmen 6 wie auch über die Verantwortung für die Informatiksicherheit 7 sind nicht mehr anwendbar oder veraltet. Bis die angekündigten Rechtsgrundlagen aus dem Projekt FOGIS revidiert oder erneuert sind, verbleibt die Verantwortung für diese Belange beim Chef VBS, da die Delegation nicht mehr geregelt ist. Die beiden Verordnungen sind zwingend zu revidieren, sofern diese nicht innerhalb des Projektes FOGIS bearbeitet werden. Sicherheitscontrolling und -inspektorat Die Integrale Sicherheit einzuhalten obliegt der Verantwortung der Linie. Die Controlling- Berichterstattung pro Quartal erzeugt nicht zwingend bei allen Verwaltungseinheiten die erforderliche Steuerung zur Verbesserung der jeweils festgestellten Sicherheitsmängel. Der Bereich Sicherheitsinspektorat der IOS ist mit einer Person kaum in der Lage, die erforderlichen und anspruchsvollen Kontrollaufgaben wahrzunehmen. Einzelne Gebiete wie die Industriesicherheit oder die Kernverwaltung wurden noch nie geprüft. Im Jahr 2010 wurden 10 Audits durchgeführt, primär bei der Truppe unter Inanspruchnahme des Kdo Mil Sich. In diesem Zeitraum wurden 43 Widerhandlungen festgestellt. Diese führten in den seltensten Fällen zu Sanktionen durch die Verantwortungsträger oder die Justiz. Aus Sicht des Inspektorats VBS ist die Kontrolle der IOS zu Lasten der Berichterstattung/Controlling IOS auszubauen und zu intensivieren. Das Durchsetzen von Sanktionen bei Widerhandlungen ist zu klären. 6 ) Verordnung über die Informat k im Eidgenössischen Departement für Verteidigung, Bevö kerungsschutz und Sport vom 15. September 1997 (Stand am 28. Oktober 1997) 4/37

5 Informatiksicherheit Die Informatiksicherheit im VBS orientiert sich an internationalen und branchenüblichen Standards, die auch auf Stufe Bund angewandt werden. Es ist Aufgabe der Bedürfnisträger für ihre IKT-Systeme, in Abhängigkeit der Datensensitivität, die Vorgaben der IOS umzusetzen. Dem Ruf nach Beratungsleistung durch die Projektleiter an die IOS, kann aus Ressourcengründen nur in beschränktem Ausmass Folge geleistet werden. In rund 10 Projekten erfolgt eine Unterstützung für die erforderlichen Sicherheitskonzepte. Die Ursachen der jahrelangen Verzögerungen sind,, ein fehlendes Versions- und Abnahmemanagement, ungenügende Unterstützung durch die Informatikdienstleister sowie auf unklare Anforderungen der Bedürfnisträger zurückzuführen. Diese Feststellungen wurden durch die untersuchten Projekte bestätigt. Die Unterstützung der Bedarfsträger und der Projektverantwortlichen durch die FUB oder Dritte ist sicherzustellen. Die IOS darf aufgrund des Selbstprüfungsprinzips nicht gleichzeitig Abnahmekontrollen und Beratungsleistungen erbringen. Projektantrag für ein Informations-Sicherheits-Management System VBS (ISMS VBS) Eine bedeutungsvolle Initiative bzgl. Informations-Sicherheit wird zurzeit durch die IOS mit dem Projekt ISMS 8 VBS lanciert 9. Mit dem VBS-weiten Vorhaben sollen die Vorgaben und Standards im Informatikbereich des VBS risikoorientiert definiert, umgesetzt und kontrolliert werden. Das Inkrafttreten ist ab Ende 2012 vorgesehen. Der Projektantrag ISMS ist nicht zu genehmigen, ohne dass die Finanzierung, die Betriebskosten, die erforderlichen Ressourcen bereitgestellt sind und ein Projektlenkungsausschuss eingesetzt wird, der die Verantwortung der Bedürfnisse des VBS (nicht nur V) wahrnimmt. Informationsschutz Der Informationsschutz gilt seit 2007 für die ganze Bundesverwaltung und nicht nur für die Bedürfnisse der Armee. Die Generalsekretärenkonferenz ist Entscheidungsorgan für die Vollzugserlasse von klassifizierten Informationen, die Linienorgane der Departemente für den Vollzug. Die Mitarbeitenden müssen durch den Arbeitgeber die erforderlichen IKTtechnischen Voraussetzungen erhalten, damit diese die Vorgaben einhalten können. Nur unter diesen Bedingungen kann der Vorgesetzte die inkonsequente Anwendung sanktionieren. Die Führungskräfte sind gefordert, die vorhandenen Lösungsmöglichkeiten des Informationsschutzes in ihren Verwaltungsbereichen durchzusetzen. 8 Informations-Sicherheit-Management-System VBS (ISMS) nach ISO umfasst den Datenschutz, den Informationsschutz, die Informatiksicherheit sowie Elemente des Objektschutzes 9 Status: Der Projektauftrag vom ist noch nicht genehmigt 10 Mitarbeiterbefragung in allen Departementsbereichen durch das Sicherheitsinspektorat IOS vom /37

6

7 Empfehlung 1 Vorgesetzte haben die Vorgaben der Integralen Sicherheit selbstständig umzusetzen. Jede Führungskraft kennt die relevanten Vorgaben der Integralen Sicherheit im eigenen Bereich und setzt Ziele für die Umsetzung. Die Verantwortung darf nicht an die IOS delegiert werden. Empfehlung 2 Auftrag, Angewandte Vorgaben und Standards, Prozesse sowie Einsparpotenzial im Bereich der IOS Unter Berücksichtigung der personellen Ressourcen muss sich die IOS auf ihre Kernaufgaben konzentrieren: Erarbeiten zweckmässiger Vorgaben, aktives Mitgestalten der Standards für die Bundesverwaltung, intensivieren der praktischen Anwenderausbildung, Abnahmekontrolle der Vorgaben und Inspektion, aber keine Beratungen. Im Nachgang einer Auslegeordnung und Verzichtserklärung müssen Aufgaben priorisiert und entstehende Risiken aufgezeigt werden. Der interne Wissenstransfer ist nachhaltig sicherzustellen. Bei den Prozessen sehen wir keinen Handlungsbedarf. Diese sind klar und in guter Qualität. 1 Untersuchungsmethode Das Prüfungskonzept beinhaltet unter anderem Vorgespräche mit der Generalsekratärin VBS, dem Chef der Armee sowie einer Orientierung durch den Chef Integrale Sicherheit der Armasuisse. Das Inspektorat VBS wurde am 1. März 2011 durch die IOS über ihren Aufgabenbereich orientiert und dokumentiert. Per 24. März 2011 wurde zuhanden des Chefs VBS ein Zwischenbericht eingereicht. Dieser enthielt den Antrag, auf die Prüfung der Informationssicherheit zu verzichten, um Doppelspurigkeiten mit dem Rechtsetzungsprojekt FOGIS zu vermeiden. Das Prüfungsteam hat die Anweisung erhalten, wie vorgesehen den Bereich Informationssicherheit weiter zu bearbeiten sowie die Prüfung mehr aus Praktikabilitätssicht anzugehen. Wegweisend sollen dabei die Stichworte Mut zur Lücke, Was ist wirklich nötig? oder Was ist durchsetzbar? sein. In der Folge hat das Prüfungsteam anhand von je drei konkreten Beispielen in den Sicherheitsbereichen IKT-Sicherheit und Objektschutz vertiefende Prüfungen vor Ort durchgeführt. Über alle untersuchten Sicherheitsbereiche wurden rund 30 halbstrukturierte Interviews geführt und eine umfangreiche Dokumentenanalyse getätigt. Die Zusammenarbeit mit allen Beteiligten war korrekt und konstruktiv. 2 De quoi s agit-il? Die IOS ist eine Verwaltungseinheit, die im VBS die Belange der Integralen Sicherheit wahrzunehmen hat. In den Fachbereichen Personensicherheitsprüfung und Informationsschutz erbringt sie ihre Dienstleistungen für die gesamte Bundesverwaltung. Eine Zusammenstellung von Aufgaben, Organisation und Leitbild ist im Anhang 1: Aufgaben und Organisation der Informations- und Objektsicherheit (IOS) zu finden. Ressourcen IOS 2010: Kosten 8.6 Mio. Fr. (davon 6.2 Mio. Fr. Personalaufwand); rund 55 Stellen (davon 50% für die Personensicherheitsprüfungen mit dem geplanten Ausbau 2011, PSP in Rekr Zen). Abgrenzung: Die Bereiche Personensicherheitsprüfung und Umwelt wurden von der Prüfung ausgenommen. 7/37

8 3 Feststellungen und Erkenntnisse 3.1 Rechtsgrundlagen Die vielen Rechtsgrundlagen über die Sicherheitsbereiche der IOS erschweren den Vollzug bei den Linien- und Projektverantwortlichen. Einige Verordnungen z.b. über die Verantwortlichkeiten in den Fachbereichen Schutz- und Sicherheitsmassnahmen oder der Informatik sind nicht mehr anwendbar oder veraltet. Mit dem Bundesratsbeschluss vom hat der Bundesrat dem VBS die Schaffung formell-gesetzlicher Grundlagen für den Informationsschutz erteilt. Mit dem Projekt FOGIS sollen die Rechtsgrundlagen (unter Mitwirkung einer Expertengruppe, Vertreter aller Departemente und der Bundeskanzlei) erarbeitet und dem Bundesrat bis vorgelegt werden. Die rechtliche Vernetzung des Informationsschutzes auf unten eingefügter Grafik widerspiegelt die Komplexität der integralen Sicherheit, mit der sich die IOS befasst und die Linie verantwortet. Abbildung 1: Rechtliche Vernetzung des Informationsschutzes Quelle: Expertengruppe FOGIS Erkenntnisse: Aus Sicht Inspektorat VBS hat das Projekt FOGIS die richtige Stossrichtung. Es ist anzustreben, dass für den Informationsschutz ein integraler Ansatz verfolgt wird, insbesondere unter Einbezug der Informatiksicherheit. Die verschiedenen bestehenden Rechtsgrundlagen (rund 60 publizierte Gesetze, Verordnungen, Weisungen, Behelfe etc.) sollen vor allem auch mit dem Ziel der Verschlankung 14 revidiert werden. 14 Die aufgezeigte Reduktion der Rechtsgrundlagen findet unter der Bedingung statt, dass wie im Normkonzept beantragt, ein Informationssicherheitsgesetz (und nicht nur ein Informationsschutzgesetz) geschaffen wird. 8/37

9 Empfehlung A: Projekt FOGIS A1) Das Inspektorat VBS empfiehlt, nach Abschluss und im Nachgang des Projektes FOGIS, eine Überprüfung über die Wirkung der neuen Rechtsgrundlage durchzuführen. 3.2 Sicherheitscontrolling und -inspektorat Der Fachbereich Sicherheitscontrolling und -inspektorat (SCI): ist im Rahmen des Controllings Integrale Sicherheit zuständig für die Planung, Organisation und die koordinierte Durchführung von Inspektionen in allen Departementsbereichen und Bundesämtern sowie für die Armee und bei Dritten; erstellt Kontrollberichte, wertet diese aus und beantragt allfällig zu treffende Massnahmen; instruiert die Sanktionierung bei Widerhandlungen gegen die Vorschriften im Bereich der Integralen Sicherheit, indem sie dem Oberauditor (OA) direkt Antrag auf Einleitung einer militärgerichtlichen Untersuchung stellt und in leichten Fällen, im Auftrag des Inhabers der Sanktionsgewalt, das Verfahren selbstständig durchführt und Antrag betreffend Erledigung stellt. Zur Erfüllung dieser Aufgaben stehen der IOS SCI drei Mitarbeitende zur Verfügung. Sicherheitscontrolling Die IOS SCI erstellt pro Quartal den Bericht Controlling Integrale Sicherheit zuhanden des Controlling Verteidigung und der Linie. Der Bericht beinhaltet Informationen zu den Fachbereichen der IOS, der Truppen und den 12 Sicherheitszellen 15 aus den Departementsbereichen des VBS. Der Berichtsteil Informatiksicherheit fehlt zurzeit aufgrund der Reorganisation der IKT-Organisation des VBS, soll aber neu entstehen. Zusätzlich verfassen die Chefs Sicherheit über ihre Sicherheitszellen je einen Jahresbericht zuhanden ihrer Verwaltungsorganisation und der IOS. Die IOS ihrerseits erstellt einen konsolidierten Jahresbericht Integrale Sicherheit zuhanden der Chefs der Sicherheitszellen und zur Kenntnis an die Generalsekretärin und den CdA. Zusätzlich verfasst die IOS als Vorsitzende des Koordinationsausschusses für den Informationsschutz einen Jahresbericht 16 zuhanden des Sicherheitsausschusses des Bundesrats. Sicherheitsinspektorat Das Sicherheitsinspektorat der IOS prüft die Einhaltung der Sicherheitsstandards für alle Fachbereiche der IOS. Zu diesem Zweck hat sie eine Zusammenarbeitsvereinbarung mit dem Kommando Militärische Sicherheit, welches bei der Truppe Prüfungen durchführt, Aufträge an interne oder externe Stellen vergibt, Meldungen entgegennimmt oder selbst Prüfungshandlungen durchführt. Erkenntnisse: Die aus dem Sicherheitscontrolling und der Berichterstattung abgeleiteten Massnahmen fördern den kontinuierlichen Verbesserungsprozess. Die Lenkungs- und Steuerungsverantwortung sollte aber stufengerecht top down durch die Linie wahrgenommen werden. Anhand 15 Jede Sicherheitszelle hat zusätzlich einen Informationsschutzbeauftragten, einen Informatiksicherheitsbeauftragten und einen Objektschutzbeauftragten. Die IOS steuert bzw. führt die fachtechnisch unterstellten Sicherheitsorgane im VBS (Sicherheitszellen). 16 Art. 20 Abs. 2 Bst. e der Informationsschutzverordnung vom 7. Juli 2007 (ISchV; SR ) 9/37

10 der konkret aufgeführten Massnahmen stellt das Inspektorat VBS fest, dass diese nicht von den Linienverantwortlichen, sondern bottom up von den Fachstellen vorgeschlagen werden. Die eigene Kapazität zur Ausübung der Prüfungstätigkeit ist mit einem Mitarbeitenden eingeschränkt. Im 2010 wurden im VBS zehn Audits durchgeführt. Dabei wurden die Prüfbereiche Informationsschutz, Objektschutz, Informatiksicherheit und Einhaltung der Ausbildung der Truppe auditiert. Die geringen Kapazitäten haben u.a. zur Folge, dass die IOS Fachbereiche selbst Kontrollaufgaben wahrnehmen und nur sehr sporadisch Kontrollen durch die IOS SCI durchgeführt werden. Das Sicherheitsinspektorat deckte von Diese führen trotz aufwändiger Beweisführung nur in den seltensten Fällen zu Sanktionsmassnahmen. Sanktionen werden je nach Fall durch das Oberauditorat, zivile Gerichte oder die Linienverantwortlichen erlassen. Empfehlung B: Weniger Controlling mehr Kontrolle Das Inspektorat VBS empfiehlt, B1) das Sicherheitscontrolling ist auf die Jahresberichterstattung zu reduzieren; B2) die Kapazität für die Durchführung von Kontrollen ist zu erhöhen, ausser bei den Truppen; B3) die Prüfungsobjekte inkl. die Handhabung der Sanktionen sind mit den Linienverantwortlichen jährlich zu vereinbaren. 3.3 Informatiksicherheit Verantwortung der Informatiksicherheit Bund Nicht der Bundesrat, sondern das kollektive Gremium Informatikrat Bund entscheidet heute über die Grundsätze und Vorgaben der IKT Bund. Neu will der Bundesrat mit Beschluss vom 11. März 2011 Steuerung und Führung des Einsatzes von Informations- und Kommunikationstechnik (IKT) im Bund mehr in die Geschäftsprozesse bei der IKT-Steuerung und IKT- Führung einbezogen werden. Er stützt sich hierbei auf verschiedene Gremien, welche in der Entscheidungsfindung und bei Fachfragen beigezogen werden. Berücksichtigt wird dabei die Motion Noser 17 und die Schnittstelle der IKT Bund zur IKT VBS 18, die geklärt werden soll. 17 Berücksichtigung der Motion Noser (M ) Weitere Zentralisierung des Leistungserbringers). Es geht hier um die Effizienzsteigerung in den Departementen ohne VBS, welches in diesem Zusammenhang eine Sonderbehandlung hat. Die Begründung liegt in den höheren Sicherheitsbedürfnissen der militärischen Anwendungen. Weitere Gründe für eine Sonderbehandlung müssen durch den Leistungsbezüger begründet werden. 18 Gemäss (Art. 2. Abs. 3 BinfV) gelten die auf die BinfV gestützten Vorgaben nicht für die Informat k der Waffensysteme und nicht für die Führungs- und Einsatzsysteme der Armee 10/37

11 Abbildung 2: Zusammenspiel im neuen Steuerungs- und Führungssystem gem. Aussprachepapier vom 28. Februar 2011 Die Bundesinformatik Verordnung (BinfV) 19 ist zurzeit in Überarbeitung. Die Regelung der Zusammenarbeit soll in der revidierten BinfV definiert und dem Bundesrat bis Juli 2011 vorgelegt werden. Weiter soll eine neue IKT-Strategie Bund bis Ende 2011 durch das EFD erarbeitet werden. In der überarbeiteten Bundesinformatikverordnung werden wichtige Themen für die Informatiksicherheit angegangen. Es sollen eine Verbesserung in der Interoperabilität (einfachere Verarbeitung z.b. Mailverkehr) und eine durchgängigere Sicherheit erreicht werden. Unter die Regelung der Standarddienste, welche die IOS betreffen, fallen die Bereiche der Rechtskonformität (Legal Compliance) und der Informationssicherheit (IT-Security-Governance, inkl. Informationsschutz) 20. Erkenntnisse: Die geplante Überarbeitung der Bundesinformatikverordnung (BinfV) wird sich auf die Informatiksteuerung und Kontrolle sowie die Sicherheitsorganisation auswirken. Es besteht das Risiko, dass das VBS seine Standards mit denjenigen der übrigen Bundesverwaltung in Übereinstimmung bringen muss (z.b. Umstellung der Büroautomation Betriebssystem Software von VISTA auf Windows 7 ). Durch neue Sicherheitsanforderungen besteht das Risiko, dass bisherige Sicherheitsvorkehrungen erneuert werden müssen (z.b. Anpassung der Verschlüsselungsmechanismen, welche nicht mit den zukünftigen Lösungen kompatibel sind). Es besteht die Chance, dass durch zentrale Vorgaben des Informatikstrategieorgans Bund (ISB/EFD) eine Vereinheitlichung der Systeme im Bund vorangetrieben wird. Dies kann zu Kosteneinsparungen und Verbesserung des sicheren Informationsaustausches führen, sofern sich alle Departemente auf den gleichen Basissicherheitsstandard einigen und diesen auch einführen. 19 Verordnung über die Informatik und Telekommunikation in der Bundesverwaltung (Bundesinformatikverordnung, BinfV) Art. 14 Informat kstrategieorgan des Bundes (ISB) Punkt 3 Im Bereich der Informat ksicherheit hat das ISB folgende Aufgaben: a. Es erarbeitet auf der Grundlage des mit den Verwaltungseinheiten gemeinsam ermittelten Schutzbedarfs die Massnahmen zum Schutz von Schutzobjekten und ordnet die zu ergreifenden konkreten Sicherheitsmassnahmen an. 20 Aussprachepapier vom Punkt 4.3 Zentrale Verantwortung für Standarddienste, dezentrale Verantwortung für Fachanwendungen 11/37

12 Die Steuerung und Führung durch das Informatikstrategieorgan Bund (ISB/EFD) wird gegenüber der vorherigen Organisation gestärkt. Empfehlung C: Auswirkungen der Sicherheitsanforderung Bund im VBS Das Inspektorat VBS empfiehlt, C1) dass der Berater IKT VBS und der Sicherheitsverantwortliche IKT VBS die Sicherheitsanforderungen aktiv mitgestalten, mit dem Ziel einheitliche Sicherheitsvorgaben für die Bundesverwaltung zu erarbeiten; C2) die Departementsleitung frühzeitig über die möglichen Kostenfolgen und Wirkungen durch den Berater IKT VBS orientiert wird. Verantwortungen für die Informatiksicherheit im VBS Organisation Jedes Departement hat einen Delegierten IKT im Informatikrat Bund und einen Vertreter Informatiksicherheit 21 im Ausschuss Informatiksicherheit, welche die Interessen des Departements bezüglich Informatik sowie Informatiksicherheit wahrnehmen. Der ISBD VBS ist in seinem Doppelmandat auch Chef Informatiksicherheit in der IOS und führt die Arbeitsgruppe Informatiksicherheit (AGIS 22 ) im VBS. Der Fachbereich Informatiksicherheit der IOS (IT-S) ist für das Sicherheitsmanagement 23 des VBS und der Armee zuständig. Abbildung 3: Sicherheitsorganisation im VBS mit Abbildung der verschiedenen Stufen im Departement und Delegation in den Informatikrat Bund - aktueller Stand aus Sicht Isp VBS Der ISBD koordiniert in Zusammenarbeit mit der Arbeitsgruppe Informatiksicherheit (AGIS 24 ) die gesamte Informatiksicherheit im VBS und unterstützt die Informatiksicherheitsbeauftragten der Departementsbereiche (ISBO 25 ). 21 Informatiksicherheitsbeauftragter (ISBD VBS) 22 AGIS Arbeitsgruppe Informat ksicherheit auf der Stufe Departement im VBS Organisationsverordnung für das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (OV-VBS) vom (Stand ) Art. 11 Unterstellte Verwaltungseinheiten und ihre Funktionen. 24 AGIS Arbeitsgruppe Informat ksicherheit im Departement VBS unter der Leitung des Chefs Informat ksicherheit. Führt die Informatiksicherheitsbeauftragten der Departementsbereiche oder Stufe OE (ISBO s). 25 ISBO = Informatiksicherheitsbeauftragte Stufe Departementsbereiche oder Organisationseinheit 12/37

13

14 Aufgabe IKT-Leistungserbringer FUB Der Leistungserbringer stellt sicher, dass die Schutzobjekte den IKT-Schutzanforderungen des VBS und den spezifischen Anforderungen des Leistungsbezügers (LBO) bezüglich Sicherheit jederzeit genügen. Für die Leistungserbringung im Notfall oder Katastrophenfall ist er für die geordnete Wiederanlaufplanung und Durchführung zuständig. Die Details sind jeweils in den Leistungsvereinbarungen (SLA) mit den Leistungsbezügern (LBO) geregelt. Für die allgemeinen Risiken wie Viren, Datenverlust, Zugriffsschutz und Netzwerkanbindung trifft der Leistungserbringer die notwendigen Vorkehrungen. Der Bereich IKT Architekturen und Technologie der FUB befindet sich in einer Aufbauphase und wird zur Unterstützung in Sicherheitsfragen, insbesondere Beratung von Informatikschutzmassnahmen, zur Verfügung stehen. Erkenntnisse: Damit die Gruppe IKT Architekturen und Technologie der FUB fachlich bei der Erstellung von Sicherheitskonzepten unterstützen kann, müssen die Anforderungen der Bedürfnisträger klar formuliert sein und der Know-how-Aufbau bezüglich Sicherheitsanforderungen im VBS ist sowohl bei der FUB als auch bei erforderlichen externen Ressourcen sicherzustellen, um diese Leistung zugunsten der Projektverantwortlichen zu erbringen. Bereits heute wird notwendigerweise auf die Kompetenzen der Armasuisse W+T in diesem Bereich zurückgegriffen. Empfehlung E: Unterstützung bei der Erstellung von ISDS-Konzepten E1) Das Inspektorat VBS empfiehlt, die Etablierung von Unterstützungsteams für die Belange der integralen Sicherheit zu prüfen. Die Unterstützung der Linie und Projektverantwortlichen beim Erstellen der ISDS-Konzepte ist durch die Informatikdienstleister sicherzustellen, damit kann die IOS von der Beratung entlastet werden. Durch die Unterstützung der FUB oder der Armasuisse W+T im Aufbau und Umsetzen der ISDS-Konzepte, ist eine effiziente Erstellung und Abnahme von ISDS-Konzepten erst möglich. IT-Sicherheitsstandards 31 Die Anforderungen der Informatiksicherheit im VBS orientieren sich an internationalen und branchenüblichen Standards (z.b. ISO27001, ISO27002, etc.). Diese Standards werden auch bei Banken, Versicherungen und Industriebetrieben verwendet. In den Weisungen des Informatikrates Bund über Informatiksicherheit in der Bundesverwaltung wird auf den gleichen internationalen Sicherheitsstandard 32 verwiesen. 31 Ob die Ausnahmen im VBS Gemäss (Art. 2. Abs. 3 BinfV) noch weiter gültig ist hängt von der zukünftigen IKT-Strategie (inkl. Sicherheitsanforderung Bund) ab. Ausnahmebewilligungen gem. diesem Art. 2 Abs. 3 waren in den letzten Jahren äusserst selten 32 Weisungen des IRB über die Informatiksicherheit in der Bundesverwaltung: Kapitel 3.2 Internationale Standards, Aktueller internationaler Standard wie ISO/IEC 17799/27001 oder den IT-Grundschutz-Katalogen des BSI (Bundesamt für Sicherheit in der Informationstechn k) 14/37

15 Erkenntnisse: Die heute im VBS angewendeten Sicherheitsstandards entsprechen den gleichen Standards, welche auch im IKT-Bund angewendet werden. Der Sicherheitslevel, welcher durch den Benutzer oder Betreiber verlangt wird, ist aber je nach Fachanwendung unterschiedlich. Projekte mit Sicherheitskonzepten (ISDS 33 ) Der Prozess für die Eingabe und Abnahme der ISDS-Konzepte ist definiert. Die Vernehmlassung wird durch die IOS integral durchgeführt. Dies bedeutet, dass alle Bereiche der IOS (Informationsschutz, Objektschutz, Personenschutz und Informatiksicherheit) integral die Abnahme durchführen. Die Anwendung der Standards/Vorschriften der integralen Sicherheit zu überprüfen, verlangt profundes Wissen aus allen Fachbereichen der IOS. Die übliche Durchlaufzeit beträgt vier Wochen. Danach wird eine Befundliste erstellt mit den erkannten Schwachstellen. Sobald die Befunde durch die Projektverantwortlichen in das ISDS korrigiert sind, kann das Konzept erneut zur Genehmigung der IOS vorgelegt werden. Es wurden mehr als 120 Projekte 34 mit Sicherheitskonzepten und teilweise operativen Systemen durch den Informatiksicherheitsbeauftragten und die IOS beurteilt. Die Forderung der Linie nach mehr Unterstützung in den Sicherheitsthemen bei grösseren Projekten wurde mehrfach geäussert. Die IOS ist aufgrund der Anzahl Projekte, welche ein ISDS benötigen, nicht in der Lage, alle Projektleiter begleitend in Sicherheitsfragen zu unterstützen und zu beraten. Zurzeit erfolgt die Unterstützung und Beratung durch die IOS bei zehn laufenden Projekten Die IOS wird in einzelnen Projekten, gemäss eigenen Aussagen, zu spät beigezogen. Erkenntnisse: Die Erarbeitung eines Sicherheitskonzeptes erfordert profundes Wissen. Dem Ruf nach Beratung kann die IOS einerseits aus Ressourcengründen nicht abdecken und andererseits ist die Beratung von der Abnahmekontrolle aus Unabhängigkeitsgründen zu trennen. Durch die Beratungen der IOS läuft diese in Gefahr, ihre Unabhängigkeit für ihren Abnahmeauftrag zu verlieren, denn am Ende muss sie die ISDS-Konzepte prüfen. Die klare Trennung zwischen Abnahmestelle und Beratung muss zwingend eingehalten werden. Nur so kann eine unabhängige Beurteilung der Sicherheitsrisiken durchgeführt werden. Für die Beratung und Erarbeitung von Sicherheitskonzepten ist die Gruppe IKT Architekturen und Technologie der FUB zu beauftragen welche auf Unterstützungsleistungen der Armasuisse W+T wie auch von Dritten zurückgreifen kann. Empfehlung F: Keine Projektberatungen durch IT-S F1) Das Inspektorat VBS empfiehlt, die von der Projektorganisation unabhängige Abnahmekontrolle des ISDS-Konzepts zur Durchführung der Abnahmeprüfung zwingend einzuhalten. a) Dieses Projekt wurde von den Projektverantwortlichen erst spät als ein mit der Informatik- Sicherheit stark verknüpftes Projekt erkannt. Dadurch wurde der Einbezug der IOS in die ISDS-Konzept-Abnahme erst vor der Überführung in den Informatikbetrieb beachtet. 33 ISDS = Informationsschutz- und Datenschutzkonzept 34! 15/37

16

17 Erkenntnisse für alle drei Projekte: Die Projekt-Steuerung und -Führung liegt bei den Verantwortlichen in der Linie resp. beim Projektleiter. Eine Verbesserung bezüglich des Prozesses Erstellung und Abnahme eines Sicherheitskonzepts liegt zum grössten Teil in der Führungsverantwortung der Projektverantwortlichen. Eine ungenügende Anleitung der IOS zu diesem Prozess konnte bei den Projekten nicht festgestellt werden. Die Problematik der fachlichen Unterstützung zur Erarbeitung eines ISDS-Konzepts und das Vorgehen in Versionen kommen bei allen drei Projekten deutlich zum Ausdruck. Die Sicherheitskonzepte werden zurzeit nicht phasenweise erstellt. Eine bessere Abstimmung der Sicherheitskonzepte auf eine Version pro Projektphase (Testbetrieb, Pilotbetrieb und Produktiver-Betrieb) wird bei der Abnahme eine Verbesserung herbeiführen. Die Einführung von ISDS-Konzepten mit Auflagen kann bei einer abgenommenen Version pro Phase besser nachvollzogen werden. Empfehlung G: Etappenweise Abnahme der ISDS-Versionen G1) Das Inspektorat VBS empfiehlt, die Einführung eines definierten Vorgehens zur Abstimmung der IKT-Projektversionen mit den ISDS-Konzeptversionen zu etablieren; Abnahmen für die einzelnen Projektphasen, in Abnahmeversionen eignen sich besser für die Einführung von ISDS-Konzepten und lassen sich so besser überwachen und steuern. Projektantrag Informations-Sicherheits-Management-System (ISMS VBS 36 ) vom Die IOS hat erkannt, dass die zukünftigen Anforderungen an die Informatik-Sicherheit nur mit einem integralen Sicherheitsprozess erfasst und verwaltet werden können. Das Projekt Informations-Sicherheits-Management-System VBS liegt zurzeit im Auftragsentwurf vor. Das ISMS VBS hat zum Ziel, den aktuellen Sicherheitsstand der einzelnen Geschäftsprozesse im VBS aufzuzeigen, resp. den Nachweis der getroffenen Sicherheitsmassnahmen und deren Wirkung zu überprüfen. Die Privatwirtschaft (Banken und Versicherungen) verfolgen den gleichen Ansatz schon seit mehreren Jahren. Das Projekt beinhaltet auch die Überprüfung und Anpassung der aktuell gültigen IKT Sicherheits-Strategie VBS, der Sicherheits- und Schutz-Vorgaben (z.b. ISIW 37 VBS, HITS 38 ) in rechtlicher, organisatorischer, fachlicher und politischer Hinsicht. Das ISMS VBS beinhaltet die Fachbereiche IKT Sicherheit, Informationsschutz, Industriesicherheit und Datenschutz. Durch den integralen Ansatz soll die Objektsicherheitsbeurteilung aus einheitlicher Sicht betrachtet werden. Dies hilft, unnötige Kontrollen zu vermeiden und eine Überwachung der Sicherheit in den Prozessen einzubringen. Erkenntnisse: Ein ISMS VBS, das nach der Normenreihe ISO 2700x zertifiziert wird, erfüllt die Voraussetzungen für ein qualifiziertes Sicherheitsmanagement. 36 ISMS VBS = Informations-Sicherheits-Management-System VBS 37 ISIW Informatiksicherheitsweisungen VBS 38 HITS Handbuch IT-Sicherheit VBS Version 3.1 vom: /37

18 Neben den Finanzen, Investitionen und künftigen Betriebskosten sind auch die personellen Ressourcen quantitativ und qualitativ im Pflichtenheft zu beschreiben. Empfehlung H: Verbesserung der Integralen Sicherheit (Projekt ISMS VBS) H1) Das Inspektorat VBS empfiehlt, den Projektantrag ISMS VBS nicht zu genehmigen, ohne dass die Finanzierung, die Betriebskosten, die erforderlichen Ressourcen sichergestellt sind und ein Projektlenkungsausschuss, der die Bedürfnisse des VBS verantwortet, eingesetzt wird. 3.4 Informationsschutz Der Fachbereich Informationsschutz und Industriesicherheit (SIS) erbringt Leistungen zu folgenden Aufgaben: Erarbeiten von Rechtsgrundlagen zum Informationsschutz. Diese umfassen den Schutz landeswichtiger Informationen, deren Klassifizierung und Bearbeitung. Sie gelten für Angehörige der Armee, Behörden und Dienststellen des Bundes und der Kantone sowie für private Personen und Unternehmen. Das Bearbeiten und Genehmigen von Geheimschutzverfahren. Diese umfassen alle Sicherheitsmassnahmen, mit denen die Geheimhaltung sichergestellt wird, wenn an Dritte, ausserhalb des VBS oder des BBL ein militärisch klassifizierter Auftrag (VER- TRAULICH oder GEHEIM) erteilt wird. Als Koordinationsstelle für den Informationsschutz im Bund (KISchB) ist die IOS SIS zentrale Ansprechstelle für Kontakte mit inländischen, ausländischen und internationalen Stellen im Bereich des Informationsschutzes. Dazu gehört auch das Erarbeiten von Informationsschutzabkommen mit ausländischen Staaten. Unterstützung der Informationsschutzbeauftragten der Departemente und der Bundeskanzlei in deren Bereich. Die Instruktion über den Informationsschutz der Mitarbeitenden im VBS, im Bund und bei Dritten. Die Prüfung der Massnahmenumsetzung zum Informationsschutz und bei Dritten über die integralen Sicherheitsbereiche unter Beizug der Fachspezialisten aller Sicherheitsbereiche der IOS. Zur Erfüllung dieser Aufgaben stehen der IOS SIS zurzeit acht Mitarbeitende zur Verfügung. Verantwortung der Generalsekretärenkonferenz, der Linie und Rolle des Koordinationsausschusses für den Informationsschutz im Bund Die Vertreter des Informationsschutzes der Departemente bilden den Koordinationsausschuss 39. Dieser ist für den einheitlichen Vollzug des Informationsschutzes im Bund zuständig und bereitet zuhanden der Generalsekretärenkonferenz die notwendigen Vollzugserlasse vor. Für die Umsetzung des Informationsschutzes sind die Linienorgane der Departemente verantwortlich. Der IOS wurde die Koordinationsstelle zugewiesen. In ihrer Rolle unterstützt sie die Departemente im fachlichen Bereich und in der Ausbildung, ohne Weisungs- oder Kontrollrechte. 39 Geschäftsreglement der Koordinationsstelle für den Informationsschutz im Bund vom 1. November 2007 (teilweise überholt, da z.b.in Art.3 neu die GSK fachtechnische Weisungen verabschiedet). 18/37

19 Mit Beschluss vom 30. Juni 2010 hat der Bundesrat entschieden, dass die Generalsekretärenkonferenz bis am 1. April 2011 die Bearbeitungs- und Klassifizierungsvorschriften für den Informationsschutz revidieren soll. Diese sollen den Verfassern von klassifizierten Informationen die Beurteilung der Schutzwürdigkeit erleichtern. Gemäss Aussagen der IOS wurde die Frist erstreckt, da die anderen Departemente fordern, dass die Umsetzung synchron mit der Umsetzung der technischen Massnahmen für die IKT-Sicherheit erfolgen soll, da ohne diese die Umsetzung der Vorschriften nicht realisierbar seien. Erkenntnisse Die Zuständigkeiten und die Umsetzung des Informationsschutzes in den Departementen ist seit längerem ein Thema, das bisher nicht abschliessend gelöst wurde. Unter anderem hat sich auch die Bundesverwaltungsreform 05/07 mit der Thematik befasst, ohne zu einem Ergebnis zu kommen. Aus Sicht des Inspektorats VBS besteht einerseits ein Problem mit der konsequenten Umsetzung und andererseits in der sicheren, einfachen IKT-technischen Bearbeitung von klassifizierten Informationen. Die beiden Themen Informationsschutz und IKT-Sicherheit sind daher zwingend zu synchronisieren. Das Inspektorat VBS geht davon aus, dass die Problematik erkannt wurde und mit der geplanten Überarbeitung der Bundesinformatikverordnung (BinfV) eine praktikable Lösung erarbeitet wird. Empfehlung I: Informationsschutz I1) Kein Handlungsbedarf Aufgabenüberprüfung der IOS SIS Das Inspektorat VBS nimmt Kenntnis von der umfassend erstellten Situationsanalyse zum Informationsschutz 40 und vom Auftrag FOGIS zur Schaffung formell-gesetzlicher Grundlagen. Empfehlung K: Projekt FOGIS K1) Das Inspektorat VBS empfiehlt, frühestens nach Einführung der neuen Rechtsgrundlagen, die aus dem Projekt FOGIS hervorgehen, eine Überprüfung zum Thema Informationsschutz durchzuführen. Verantwortung und Organisation zur Sicherstellung des Informationsschutzes Die Departemente und die Bundeskanzlei sind für den Vollzug der ISchV 41 zuständig. Zu diesem Zweck haben sie je einen Informationsschutzbeauftragten (InfoSB). Die InfoSB sorgen für die Umsetzung des Informationsschutzes in ihrem Zuständigkeitsbereich und kontrollieren periodisch das Vorhandensein und die Vollständigkeit der als GEHEIM klassifizierten Informationsträger. Die im Sicherheitsbereich Informationsschutz durchgeführten Prüfhandlungen durch das Inspektorat VBS beschränkten sich, um Doppelspurigkeiten mit dem neu gestarteten Projekt FOGIS zu vermeiden, auf einzelne Interviews im GS-VBS, der Armasuisse und der IOS/SIS. 40 Bericht an den Bundesrat über die Umsetzung der Informationsschutzverordnung vom 4. Juli 2007 und die Schaffung formellgesetzlicher Grundlagen für den Informationsschutz vom 27. April Verordnung über den Schutz von Informationen des Bundes (Informationsschutzverordnung, ISchV) vom 4. Juli 2007 (Stand am 1. August 2010) SR /37

20 Im GS VBS besteht die Organisation aus einem hauptamtlichen Mitarbeitenden für die integrale Sicherheit und zwei Mitarbeitenden, die sich bedarfsabhängig mit der Umsetzung des Informationsschutzes und der Informatiksicherheit befassen. Der Bereich Integrales Sicherheitsmanagement Armasuisse hat eine Kapazität von rund 2.5 MA/Jahre. Der Bereich ist gut organisiert und deckt alle Sicherheitsbelange der Armasuisse ab. Die Fachspezialisten der Armasuisse und der IOS sind gut miteinander verlinkt. Nebst den direkten Kontakten sind diese in fachspezifische Arbeitsgruppen 42 der IOS eingebunden. Die Sicherheitsbeauftragten der Armasuisse schätzen die fachliche Führung durch die IOS, stellen aber auch fest, dass Ressourcenprobleme bei der IOS sich auf ihre Aufgaben auswirken im Sinne der mangelnden Verfügbarkeit. Im Bereich Integrales Sicherheitsmanagement Armasuisse wird auf die kritische Personalsituation (1 MA) im Sicherheitsbereich Munition und Umgang mit Explosivstoffen der IOS hingewiesen. Erkenntnisse Die Sicherheitsorganisation in den untersuchten Verwaltungseinheiten ist vorhanden und funktioniert. Die fachliche Umsetzung der integralen Sicherheitsbereiche durch die verantwortlichen Fachstellen ist die eine Seite. Auf der anderen Seite sind die Führungskräfte in der Linie verantwortlich für die Einhaltung der Sicherheitsvorgaben. Der integrale Schutz und die Sicherheit können nicht den Fachstellen alleine überlassen werden, insbesondere nicht im Bereich des Informationsschutzes. Hier ist die Führung durch die Linienverantwortlichen gefordert, dies gilt auch für Sanktionen bei Widerhandlungen. Die Umsetzung der Vorgaben insbesondere im Informationsschutzbereich wird bei der Bearbeitung von klassifizierten Informationen höchst unterschiedlich umgesetzt. Mit Schulung alleine kann das Defizit nicht kompensiert werden es braucht auch Kontrolle. Diesbezüglich sind die Sicherheitsorganisationen in den Ämtern nur so unabhängig wie ihre Organisation dies zulässt. Empfehlung L: Zielsetzungen durch die Amtsleitungen L1) Das Inspektorat VBS empfiehlt, dass die Amtsleitungen mit den Sicherheitsverantwortlichen die jährlich durchzuführenden Kontrollen zur Durchsetzung des Informationsschutzes vereinbaren und die Handhabung potenzieller Sanktionen bei Widerhandlungen festlegen. Industriesicherheit Um sicherheitsrelevante Vorhaben im VBS realisieren zu können, die militärisch klassifiziert sind, wird auch auf Ressourcen der Privatwirtschaft zurückgegriffen. Damit Unternehmen der Privatwirtschaft die verlangten Sicherheitsvorgaben erfüllen können, wird das Instrument des Geheimschutzverfahrens (GSV) eingesetzt. Dieses umfasst alle Sicherheitsmassnahmen (von der Personensicherheitsprüfung bis hin zur Informatiksicherheit), mit denen der Informationsschutz sichergestellt wird, wenn an Dritte, ausserhalb des VBS oder des BBL (Ressort Einkauf Publikationen) ein militärisch klassifizierter Auftrag (VERTRAULICH oder GEHEIM) erteilt wird. Die Leistungen der IOS/SIS umfassen insbesondere die Bereiche Ausbildung, Beratung, Kontrolle und Durchsetzung der Informationsschutzvorschriften. Für jeden Auf- 42 Informationsschutz, Objektsicherheit, Immobilien, SUME. IT-Sicherheit 20/37

21 tragnehmer wird eine individuelle Betriebssicherheitserklärung erstellt. Diese ist fünf Jahre gültig und führt, falls vorhanden, beim nächsten Auftrag zu einem abgekürzten Prüfverfahren. Für ausländische Unternehmungen wird einerseits ein Informationsschutzabkommen zwischen der Schweiz und dem beteiligten Staat gefordert und andererseits eine Sicherheitsbescheinigung durch die ausländische Sicherheitsbehörde beim jeweiligen Auftragnehmer eingeholt. Die IOS/SIS erbringt die analoge Leistung für ausländische Auftraggeber, die in der Schweiz Unternehmungen beauftragen. Im 2010 wurden 120 neue Unternehmen aufgenommen und das Geheimschutzverfahren durchgeführt. Die IOS/SIS erbringt diese Leistungen mit einer Kapazität von rund 2,5 Vollzeitstellen. Das Inspektorat VBS hatte die Möglichkeit, anlässlich einer vor Ort Prüfung in teilzunehmen. Die ist im Bereich Industriesicherheit gut dokumentiert und hat ausgiebige Erfahrung mit sensitiven Informationen verschiedener Auftraggeber. Optimierungsmöglichkeiten sieht der verantwortliche Leiter bei der Personensicherheitsprüfung. Seiner Meinung nach ist die Anstellung von ausländischen Staatsbürgern für die Industrie zu einschränkend, indem von der IOS gefordert 43 wird, dass ausländische Staatsbürger 15 Jahre in der Schweiz wohnhaft sein müssen, bis eine erste Personensicherheitsprüfung für die Stufe VERTRAULICH durchgeführt werden kann. Dies hat u.a. zur Folge, dass ausländische Mitarbeitende, die im Heimatstaat geprüft sind und für die ein Informationsschutzabkommen besteht, nur als Grenzgänger beschäftigt werden können und so lange Arbeitswege auf sich nehmen müssen. Erkenntnisse: Die Ressourcen der IOS/SIS sind für die umfangreichen Prüfungen kaum ausreichend bemessen. Insbesondere beträgt die Duchlaufzeit von neu aufzunehmenden Unternehmen mehrere Monate. Dies hat auch damit zu tun, dass zwei verschiedene Datenbanken konsultiert werden müssen. Ein Projekt für die Aufsetzung einer gemeinsamen Datenbasis sollte vorangetrieben werden. Entsprechender Aufwand ergibt sich auch mit den durchzuführenden Personensicherheitsprüfungen (aktuell rund geprüfte Personen) und den Prüfungen, welche den Informationsschutz betreffen. Die IOS/SIS vertritt auch die Meinung, dass der Industrieschutz in Zukunft nicht nur für militärische Aufträge, sondern auch für zivile mit sensitiven Informationen zur Anwendung kommen sollte. Letztere dürfen von der IOS/SIS nicht geprüft werden wie zum Beispiel die Produktion des CH-Passes. Dieser Punkt soll gemäss Aussagen der IOS im Rahmen des Projektes FOGIS bearbeitet werden. Ferner bemüht sich die IOS analog den ausländischen Prüfstellen den Status eines National Security Authority zu erhalten. Dieser Status sollte die eigene Stellung bei Verhandlungen zur Erlangung von internationalen Schutzabkommen auf eine bessere Basis stellen. Das Inspektorat VBS vertritt die Ansicht, dass die Durchführung des Geheimschutzverfahrens und die Durchführung von Kontrollen funktional zu trennen sei. Im Weiteren geht das Inspektorat VBS davon aus, dass das Thema Prüfung des Informationsschutzes für zivile Aufträge und den Status National Security Authority im Rahmen des Projekte FOGIS bearbeitet wird. 43 Die gängige Praxis der IOS ist in keiner Verordnung ersichtlich. 21/37

22 Empfehlung M: Industriesicherheit Das Inspektorat VBS empfiehlt: M1) Das Projekt, eine Datenbank für den Bereich des Geheimschutzverfahrens anstelle der bisher zwei benutzten Datenbanken, zu forcieren. M2) Zu prüfen, ob die Durchführung der Personensicherheitsprüfung für ausländische Staatsangehörige (Stufe VERTRAULICH) vereinfacht bzw. bezüglich der Aufenthaltsdauer (bisher 15 Jahre Aufenthalt in CH) reduziert werden kann. M3) Dass für die Durchführung von Prüfungen von Schweizer Unternehmen im Auftrag ausländischer Auftraggeber eine Kostenverrechnung in die Gebührenverordnung aufgenommen wird. M4) Die Kontrolle bzgl. der Einhaltung des Informationsschutzes funktional von der Durchführung zu trennen. 3.5 Objektschutz Der Fachbereich Sicherheit, Umwelt und Raumeinflüsse (SUR) nimmt folgende Kernaufgaben zuhanden der Funktionsträger des Immobilienmanagements wahr: erarbeitet Grundlagen, Verfahren und Vorschriften für den Einbezug der Schutz-, Sicherheits- und Umweltbelange (Safety und Security) im Zusammenhang mit dem Ausbau, der Nachrüstung, der Erhaltung sowie der Liquidation der Infrastruktur von Militärverwaltung und Armee; bearbeitet die Raumplanungsfragen, welche die Sicherheits-, Schutz- und Umweltbelange tangieren; aktualisiert fortlaufend die Methodik und Richtlinien für den Vollzug des Integralen Schutzkonzeptes VBS (ISK VBS) und bearbeitet federführend die Massnahmenplanungen und die Interventionskonzepte im VBS; leitet bzw. überwacht den gesamten Bereich Schutz und Sicherheit beim Umgang mit Munition und Explosivstoffen für das VBS (SUME). Analysiert in Zusammenarbeit mit inund ausländischen Experten und wissenschaftlichen Diensten fortlaufend die Risiken, ordnet die erforderlichen Massnahmen an und kontrolliert deren Vollzug; erhebt die Sicherheitsmeldungen (SIME) im Bereich der Infrastruktur VBS und wertet diese im Rahmen der Umsetzung des ISK VBS aus; bildet Sicherheitsbeauftragte in den Bereichen Safety und Security aus/weiter; nimmt Stellung zu Grundlagen und Verfahren im Bereich Safety, Security und Umwelt, kontrolliert die Umsetzung und berät in diesen Belangen; führt und betreut die ihr fachtechnisch unterstellen Sicherheitsorgane in den Departementsbereichen und der Armee. Zur Erfüllung dieser Aufgaben stehen der IOS SUR zurzeit sieben Mitarbeitende zur Verfügung: Führung Integral (2), Safety (1 SUME 44 ), Security (3), Umwelt (1). 44 SUME = Schutz und Sicherheit beim Umgang mit Munition und Explosivstoffen 22/37

23

24 Empfehlung N: Standards für den Objektschutz N1) Das Inspektorat VBS sieht in diesem Punkt von weiteren Empfehlungen ab. Mit der Massnahme 10 der Revision Nr. 9 ist die Thematik der Standards und Vorgaben bereits abgedeckt. In diesem Zusammenhang soll nochmals darauf hingewiesen werden, dass die Verantwortung für die Definition der Schutzanforderungen in der Linie des Bedürfnisträgers (Mieter) liegt und dieser sich auf die Vorgaben der IOS abzustützen hat. Integrales Schutzkonzept VBS (ISK VBS) Auf der Grundlage der Verordnung über die militärische Sicherheit (SR , Art. 2a) erstellt die IOS u.a. Konzepte für Schutz und Sicherheit und ist für die Vorgaben verantwortlich. Das Konzept bezweckt die Optimierung, auf Basis der Abbildung 4: Minimale Gesamtkosten mit dem Grenzkostenmodell, von langfristig ausgelegten baulichen, technischen, organisatorischen und rechtlichen Sicherheitsmassnahmen zum Schutz von Personen, Gütern, Einrichtungen, Funktionen, Immobilien und Arealen des VBS bzw. der Armee über alle Lagen und alle Operationstypen der Armee. Die methodischen Grundlagen wurden ab 1986 erarbeitet, die Umsetzung erfolgte ab Die Strukturen, Daten, Annahmen und Methodik werden periodisch aktualisiert. Abbildung 4: Minimale Gesamtkosten mit dem Grenzkostenmodell Die konzeptionellen Merkmale sind gegliedert nach Lagedefinitionen und Operationstypen, quantitativer Risikoanalyse, funktionaler Objektstrukturierung, Wertkomponenten, Bedeutungsstufen, Funktionswert- und Gefährdungsanalysen, umfassende Schadenerfassung sowie Massnahmenbeurteilung mittels Kostenwirksamkeit. Die quantitative Risikoanalyse hat zum Ziel, den Schadenerwartungswert (oder Risiko) jeder Anlage abzuschätzen. Der Prozess zur Erstellung eines ISK VBS beinhaltet folgende Leistungen: a. Systemabgrenzung (Bereich) b. Ist-Aufnahme Begehung / Nutzungskonzept c. Risikoanalyse d. Definition Soll-Zustand e. Massnahmenplanung Stufe Konzept f. Beurteilung der Massnahmen (Senkung der Risiken) g. Kosten- / Nutzenanalyse h. Präsentation des Konzeptes beim Auftraggeber Das dem Inspektorat VBS vorgelegte Basisdokument Integrales Schutzkonzept VBS (ISK VBS) der IOS SUR wurde letztmals im Januar 2011 revidiert. 24/37

25 Ein Integrales Schutzkonzept wird auf Antrag des operativen Mieters erstellt. Erkenntnisse: IOS SUR erstellte zusammen mit dem Eigentümervertreter (Armasuisse) einen Vorgehensplan zur Erarbeitung der nötigen Systematik für die spezifischen Sicherheitskonzepte. Die Datenerhebung, die erforderlichen Begründungen und die Datenaktualisierung für ein ISK VBS erfordern einen erheblichen Aufwand, wie aus oben aufgeführter Tabelle hervorgeht. Die Mitarbeiter der IOS SUR dokumentieren die ISK nicht in gleicher Weise. So wurden für die Anlagen Mels, Walenstadt und Luzisteig keine Grenzkosten-Berechnungen erstellt. Die Detailberechnungen werden dem Auftraggeber abgegeben. Es gibt keine Datenbank über die erstellten ISK. Gemäss IOS betragen die Massnahmen für den Abbau der identifizierten Risiken im VBS rund 10% der Baukosten. Die anderen Departemente gehören nicht in das Aufgabenspektrum der IOS SUR. Einige Departemente arbeiten nach der gleichen Methodik. Da profunde Anwendungskenntnisse jedoch fehlen, wird beigezogen. Empfehlung O: Integrales Schutzkonzept VBS Das Inspektorat VBS empfiehlt: O1) Die Methodik des ISK VBS inkl. Grenzkosten-Berechnungen einzuhalten. Abweichungen sind zu begründen. O2) Die erstellten Konzepte sind in einer zentralen Datenbank festzuhalten. Schutz und Sicherheit beim Umgang mit Munition und Explosivstoffen (SUME) IOS SUR leitet bzw. überwacht den gesamten Bereich Schutz und Sicherheit beim Umgang mit Munition und Explosivstoffen für das VBS, analysiert in Zusammenarbeit mit in- und ausländischen Experten und wissenschaftlichen Diensten fortlaufend die Risiken, ordnet die erforderlichen Massnahmen an und kontrolliert deren Vollzug. Der Auftrag beginnt mit der Munitionsentwicklung und endet mit der Entsorgung. Bei Armasuisse Wissenschaft und Technologie beschäftigen sich zwei Mitarbeiter mit SUME. Die Arbeitsbereiche umfassen die Munitionsüberwachung und Versuche. Prozesse und Arbeitsanweisungen sind im Integrierten Management System Armasuisse hinterlegt. Gemäss C SUR bewegen sich die einsetzbaren personellen Ressourcen heute am untersten Limit und die Fachkompetenzen sind extrem geschrumpft. Das Risikomanagement ist beschrieben (was kann passieren, was darf passieren). Gemäss IOS sollen die Weisungen bis am /37

26

27 Empfehlung Q: Wissenstransfer ist nicht sichergestellt Das Inspektorat VBS empfiehlt: Q1). Dabei sind allerdings personell die entsprechenden Voraussetzungen zu schaffen, damit ein Wissenstransfer auch wirklich erfolgen kann. Q2) Der jährliche ISK VBS Standbericht und insbesondere der Bericht über die Wirksamkeit der Massnahmen sind zu erarbeiten. Geprüfte Objekte Die muss gemäss ISK VBS einen Schutz gegen bestimmte Einwirkungen aufweisen. Anlässlich des Umbaus im 2008 wurde die Anlage mit einem Anbau ergänzt. Um den Baustellentourismus einzuschränken wurden für den Rohbau Sicherheitsmassnahmen definiert und mit der IOS abgesprochen. Nach Beendigung der Umbauarbeiten stellten sich folgende Fragen: Bei der Lösungsfindung wurden folgende Konsequenzen aufgezeigt: Normale Lage: Besondere Lage: Dito normale Lage. a.o. Lage: Ein stellten fest, unter Einbezug des Anbaus. Kosten rund Die finanziellen Abklärungen ergaben, dass keine offenen Reserven vorhanden waren und dass das Ausführungsprojekt nicht innerhalb des bestehenden Kredites realisiert werden kann. Fazit:. Der Einbau soll zeitlich in den sogenannten werden. Erkenntnisse: Sicherung Baustelle: Bauausführung: Die IOS wurde bei der Baustellenplanung einbezogen. Die IOS Anforderungen Schutz gegen bestimmte Einwirkungen ist nicht erfüllt. Gemäss IOS wurden auch bei anderen Objekten erforderliche Sicherheitsmassnahmen teilweise aus finanziellen Gründen in den Aufwuchs verschoben. Der Kernaussage der IOS Sicherheit ist nicht aufwuchs fähig wird demnach nicht durchwegs nachgelebt. Die Verantwortung trägt letztlich der operative Mieter. Empfehlung R: R1) Aus Sicht des Inspektorats VBS besteht bei diesem Objekt kein weiterer Handlungsbedarf. Flugplatz Zurzeit werden mit der Immobilien umgebaut. Der Kredit wurde beantragt. Um die Bauarbeiten zügig aufneh- 27/37

28 men zu können, wurden in der Rohbauphase Teile der Schutzzone 2 in die Schutzzone 1 deklassifiziert Damit konnte auf die Personensicherheitsprüfung verzichtet werden. Im September 2011 sollen die ersten Truppen einrücken. Angeblich können diese Produkte nicht eingekauft werden, da die nicht zertifiziert ist und die Qualitätsanforderungen der nicht erfüllt. Gemäss unseren Gesprächspartnern, wollte Die Bewilligung wurde jedoch aufgrund von technischen Optimierungen durch die aufrechterhalten. Die Problemlösung ist im Gang. Die Aufträge sind pendent. Im Sommer 2010 wurde ein Projektänderungsantrag gestellt. Bei der Umsetzung der geplanten sicherheitstechnischen Massnahmen ergaben sich jedoch Zuständigkeitsprobleme. Keiner der involvierten Stellen sprich das Flugplatzkommando, die Luftwaffe, die LBA, die, die IOS sowie Armasuisse (Normen u. Standards, strategisches Immobilienmanagement, Facility Management) wollte die Verantwortung für die Integrale Sicherheit übernehmen. Schliesslich wurde beauftragt, das Sicherheitskonzept auf einen neuen Stand zu bringen. Unter Einbezug der involvierten Akteure wurde beschlossen, die Sicherheitslücken in 3 Schritten zu schliessen: 1. Priorität: Die Schulungsunterlagen werden im Hinblick auf den WK 2011 aktualisiert. Bestimmte Räume sollen während der für die Truppe gesperrt werden. 2. Priorität: Es soll eine Gesamtbetrachtung Safety/Security für den Truppen- und Profibetrieb vorgenommen werden. 3. Priorität: Die Betriebsvorschriften sollen für die verschiedenen Betriebsarten neu erstellt bzw. überarbeitet werden. Erkenntnisse: Die Problemlösungen im Sicherheitsbereich sind im Gang. Die IOS wurde eher zufällig mit den vorherrschenden Sicherheitsmängeln konfrontiert. Die heutige Situation mit der Truppenmassierung Risiko dar und ist für die IOS nicht akzeptabel. Die aufwändige Massnahmenplanung ist bei der IOS in Arbeit. fehlt ein übergeordnetes Verantwortungskonzept. Beim Objektschutz sind die Probleme erkannt. Die Sicherheitsprobleme im sind in Bearbeitung. Auf dem Areal gibt es Zuständigkeitsprobleme. Das Inspektorat VBS verweist in diesem Zusammenhang auf die Inspektion Nr. 002 Organisation Militärflugplätze. Empfehlung S: Flugplatz S1) Es besteht kein weiterer Handlungsbedarf. FLORAKO Die besteht aus einem Komplex. Die im Bereich der LW bestehende zur Anlage wird durch das Personal der Dienststelle betrieben. ist Standort eines. Beide befinden sich in. Die Signale werden weitergeleitet. Der Standort wird von weiteren Betreibern genutzt, u.a. von der 28/37

29 . Unterkünfte: Es hat sowohl ober- und unterirdische Schlaf- gesichert. plätze. Die Anlage ist durch ein Verantwortlichkeiten Die befasst sich in der ordentlichen Lage unter anderem mit der technischen Einsatzfähigkeit der Anlage sowie den Aufgaben in der Haustechnik, Diesel, und Schneeräumung. Die Verantwortung für die Sicherheit der Anlage liegt beim Anlagechef der. Im Trp Betrieb sind die Verantwortlichkeiten undefiniert, da die Truppe nicht befähigt ist, alle Systeme zu betreiben. Der Bereich Radar ist nicht miliztauglich und können für den Unterhalt eingesetzt werden. In Dübendorf werden jährlich zwei Gerätemechaniker für FLORAKO ausgebildet. Sicherheitsprobleme - - Das bestehende Betriebskonzept FLORAKO Fassung Weiss vom ist lückenhaft und zum Teil nicht mehr aktuell. In einer besonderen oder a.o. Lage müsste ein 24 Std. Betrieb der organisiert werden. Dies würde neben organisatorischen Problemen (Zivilisten in militärischen Organisationen) auch zu arbeitsrechtliche Fragen führen (z.b. Überzeit). - Zur Überwachung versucht, den Zutritt zu den Anlagen mit Verbotsschildern zu unterbinden. - Die einrückende stellt Sicherungssoldaten. Der Rest der Truppe übernimmt Logistikaufgaben. Gemäss unseren Gesprächspartnern braucht die Anlage keine - Alarmwesen: - Die WESOB verlangt eine Bewachung mit geladener Waffe. Der Waffeneinsatz ist in der Verordnung vom über die Polizeibefugnisse der Armee umschrieben (SR ) Erkenntnisse: Die Radaranlagen. Die der Anlagen in der ordentlichen Lage ist nicht optimal gelöst. Das Betriebskonzept ist nicht mehr aktuell und das Konzept betreffend Alarmwesen ist pendent. 29/37

30