Sicherheit Ständerat befasst sich mit Informationssicherheit

Der Ständerat befasst sich heute Montag mit der Sicherheit von Informationen in der Bundesverwaltung. Der Bundesrat will diese verbessern. Zur Debatte steht nun aber eine Regelung, die aus Sicht von Datenschützern die Risiken erhöht.

Geht es nach der vorberatenden Kommission des Ständerates, sollen künftig alle Behörden die AHV-Nummer als Personenidentifikator verwenden dürfen. Die Kommission beantragt dem Rat, diese Regelung im Informationssicherheitsgesetz zu verankern.

Damit stellt sie sich gegen die kantonalen Datenschutzbeauftragten. Diese wünschen eine Entwicklung in die andere Richtung: Vor kurzem forderten sie die Kantone auf, künftig auf den Gebrauch der AHV-Nummern zur Personenidentifikation zu verzichten.

Verknüpfung von Daten

Das Risiko einer missbräuchlichen Verwendung sei zu hoch, argumentierten die Datenschützer. Durch die Verwendung der AHV-Nummer in verschiedenen Bereichen könnten Personendaten leicht verknüpft werden. Bei vielen Datenbanken seien aber die Sicherheitsmassnahmen ungenügend.

Die Datenschützern fordern daher verschiedene Nummern für verschiedene Bereiche: die AHV-Nummer für den Sozialbereich, eine Steuernummer, eine Handelsregisternummer, eine Nummer für Strafsachen oder eine Nummer für das Patientendossier.

Systeme schützen

Der bisher grösste bekannte Hacker-Angriff betraf den bundeseigenen Rüstungskonzern RUAG. Das neue Gesetz enthält nun Grundsätze zum Schutz von Informationssystemen. So werden die Behörden verpflichtet, die Informatikmittel vor Missbrauch zu schützen.

Der Bundesrat hat aber nicht nur Cyber-Angriffe im Visier. Spionage werde immer noch auch mit alten Methoden durchgeführt, schreibt er in seiner Botschaft ans Parlament. Neben technischen brauche es vor allem organisatorische Massnahmen.

Einheitlicher Rahmen

Die heutigen Lücken sind laut dem Bundesrat auch auf unzeitgemässe Rechtsgrundlagen zurückzuführen. Heute finden sich die rechtlichen Grundlagen verstreut in verschiedenen Erlassen. Mit dem neuen Gesetz soll ein einheitlicher Rahmen für alle Bundesbehörden geschaffen werden.

Das Gesetz enthält unter anderem Bestimmungen zum Risikomanagement und zur Klassifizierung von Informationen. Das Klassifizierungssystem soll weiterhin dreistufig sein: "Intern", Vertraulich" und "Geheim". Räume, in denen häufig vertrauliche oder geheime Informationen bearbeitet werden, können als Sicherheitszone bezeichnet werden. In solchen können auch störende Fernmeldeanlagen betrieben werden.

Weniger Sicherheitsprüfungen

Weiteres Thema sind die Personensicherheitsprüfungen. Deren Zahl will der Bundesrat senken. Künftig sollen sich nur noch jene Personen der Prüfung unterziehen müssen, die in der Bundesverwaltung eine "sicherheitsempfindliche" Tätigkeit ausüben. Zudem soll es nur noch eine Grundsicherheitsprüfung und eine erweiterte Prüfung geben. Die erweiterte Prüfung mit Befragung will der Bundesrat abschaffen.

Die Ständeratskommission will diese Bestimmungen ergänzen. Sie will festlegen, dass externe Mitarbeitende zwingend geprüft werden, wenn sie sicherheitsempfindliche Tätigkeiten ausüben. Weiter will sie im Gesetz verankern, dass das Staatssekretariat für Migration Dolmetscherinnen und Dolmetscher sowie Übersetzerinnen und Übersetzer auf ihre Vertrauenswürdigkeit hin prüfen lassen kann.