Bereits vor der juristischen und politischen Aufarbeitung der Crypto AG Spionage-Affäre ist klar, dass das Ansehen der Schweiz als neutrales, sicheres und rechtsstaatliches Land massiv gelitten hat. Als Sitz vieler internationaler Organisationen, Land der Guten Dienste und als einer der führenden Digitalen Wirtschaftsstandorte ist die Schweiz nicht nur auf eine lückenlose Aufklärung der Affäre angewiesen, sondern sie muss der Weltgemeinschaft auch rasch beweisen, dass beherzt eine neue, glaubwürdige Richtung eingeschlagen wird.

1. Mit welchen Massnahmen gedenkt der Bundesrat, das Vertrauen anderer Staaten in die Schweizer Neutralitätspolitik nach den Cryptoleaks wieder aufzubauen?

2. Wie stellt sich der Bundesrat zur Einschätzung, wonach aktive Spionage einerseits oder Mithilfe zu Spionage dritter durch die Schweiz andererseits nicht vereinbar sei mit einer glaubwürdigen Positionierung der Schweiz als neutraler Sitz vieler internationaler Organisationen, als Land der guten Dienste und als einer der führenden Wirtschaftsstandorte u.a. mit vertrauenswürdigen Dienstleistern von Software im Bereich Sicherheit/Verschlüsselung/Cybersecurity?

3. Welche zusätzlichen Risiken entstehen nach Ansicht des Bundesrates für die Bevölkerung und Wirtschaft dadurch, dass staatliche Behörden (wie Strafverfolgungsbehörden, NDB) für Überwachungszwecke am Austausch und Handel von IT-Sicherheitslücken (wie u.a. Zero Day Exploits) teilnehmen resp. durch den Kauf von Überwachungsprodukten (wie Trojanern) die Ausnutzung von Sicherheitslücken mitfinanzieren statt sie zu schliessen? Welche Gesetzesänderungen plant der Bundesrat, um diese Risiken zu mindern?

4. Bedarf es einer neuen Stelle, der bekannte Sicherheitslücken gemeldet werden müssen, die aktiv nach digitalen Schwachstellen sucht, die Softwarehersteller und später auch die Öffentlichkeit transparent über Sicherheitslücken informiert – oder kann dieser Auftrag einer bestehenden Stelle übertragen werden? Wie will der Bundesrat gesetzgeberisch sicherstellen, dass auch entsprechende Informationen der Behörden (z. B. des NDB) über Sicherheitslücken im Sinne der Informationssicherheit gemeldet und nicht gehortet werden?

5. Jede Krise birgt Chancen. Welche Chancen sieht der Bundesrat in den Cryptoleaks?

Allgemeine Bemerkungen

Die Geschäftsprüfungsdelegation der Eidgenössischen Räte (GPDel) teilte dem Bundesrat am 21. Februar 2020 mit, dass sie ihre Ermächtigung zur Weiterführung der Untersuchung durch alt Bundesrichter Niklaus Oberholzer widerruft und die Federführung der Abklärungen zum Fall Crypto AG übernimmt. Dieser Entscheid wurde am 26. Februar 2020 veröffentlicht.

Der Bundesrat wartet auf den Bericht der GPDel. Er wird keine Entscheide fällen, welche die Untersuchungen beeinträchtigen oder die Schlussfolgerungen und allfällige Empfehlungen der parlamentarischen Oberaufsicht präjudizieren könnten.

Zu den Fragen:

1. Die Glaubwürdigkeit der Schweizer Aussenpolitik basiert auf ihrer langjährigen Beständigkeit und Verlässlichkeit. Der Bundesrat hat keinen Grund zur Annahme, dass das Vertrauen anderer Staaten in die Schweizer Neutralitätspolitik nicht mehr intakt wäre. Auch die Anzahl offizieller Reaktionen von Drittstaaten gegenüber der Schweiz bleibt weiterhin sehr gering. Es drängen sich im Moment keine Massnahmen auf, zumal der Bundesrat die Ergebnisse der Untersuchung der GPDel abwarten will.

2. Die Schweiz hat und braucht, wie alle Staaten, einen Nachrichtendienst als Instrument zur Früherkennung und Analyse von sicherheitspolitischen Bedrohungen und Risiken. Das Nachrichtendienstgesetz (NDG; SR 121) definiert die Aufgabengebiete, Mittel, Grenzen und Kontrollen der nachrichtendienstlichen Tätigkeiten. Zu den Beschaffungstätigkeiten im Ausland legt das NDG in Artikel 36 Absatz 3 fest, dass deren Risiken in keinem Missverhältnis zum erwarteten Informationsgewinn stehen dürfen. Abwägungen zwischen nachrichtendienstlichem Nutzen und anderweitigen politischen Überlegungen werden und müssen also in jedem Fall vorgenommen werden. Der rechtliche und politische Rahmen der Auslandaufklärung ist damit nach Auffassung des Bundesrates hinreichend definiert.

3. Staaten sind für die Gewährleistung von Sicherheit verantwortlich. Das beinhaltet zum einen, dass sie zum Schutz von Gesellschaft, Wirtschaft und kritischen Infrastrukturen eine wichtige Rolle im Rahmen der Bekanntmachung von Schwachstellen im IT-Bereich einnehmen und dass sie der damit verbundenen Verantwortung nachkommen müssen. Auf der anderen Seite müssen Staaten aber auch dafür sorgen, dass die relevanten Sicherheitsorgane wie die Strafverfolgungsbehörden oder die Nachrichtendienste ihre gesetzlichen Aufgaben auch in einem digitalisierten Umfeld wahrnehmen können. Die Schweiz verfügt über klare und im internationalen Vergleich restriktive rechtliche Grundlagen, welche die Ausnutzung von IT-Schwachstellen zugunsten der inneren Sicherheit oder in der Strafverfolgung unter Auflagen erlauben. Auch hier sind sorgfältige Abwägungen zwischen den Risiken solcher Möglichkeiten und dem Nutzen zu treffen. Mit den geltenden Rechtsgrundlagen und den darauf abgestützten Bewilligungsverfahren wird sichergestellt, dass die erforderlichen Güterabwägungen in der Praxis vorgenommen werden.

4. Es ist gängige Praxis, dass entdeckte Sicherheitslücken an Hersteller gemeldet werden. Adressiert ein Hersteller das Problem nicht, wird die Schwachstelle von den Entdeckern üblicherweise publiziert. Deshalb sind gemäss heutiger Einschätzung keine zusätzlichen Massnahmen erforderlich.

5. Der Bundesrat verweist auf die laufende Untersuchung der GPDel, deren Ergebnisse eine solidere faktische und politische Wertung der Geschehnisse ermöglichen wird.