Verordnung
über die militärische Cyberabwehr
(MCAV)

¹ Die­se Ver­ord­nung re­gelt die Mass­nah­men im Rah­men der Cy­be­r­ab­wehr zum Ei­gen­schutz und zur Selbst­ver­tei­di­gung der Ar­mee und der Mi­li­tär­ver­wal­tung im Fall ei­nes An­griffs auf die ein­satz­kri­ti­schen Leis­tun­gen der Ar­mee im Be­reich der In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie (ein­satz­kri­ti­sche IKT-Leis­tun­gen der Ar­mee).²

² Un­ter mi­li­tä­ri­scher Cy­be­r­ab­wehr ver­steht man um­fas­sen­de Ak­tio­nen im Cy­ber­raum mit dem Ziel, die ein­satz­kri­ti­schen IKT-Leis­tun­gen der Ar­mee auf mi­li­tär­stra­te­gi­scher und ope­ra­ti­ver Füh­rungs­stu­fe zu schüt­zen und zu ver­tei­di­gen; sie um­fasst die fol­gen­den Ak­tio­nen:³

a.

Cy­ber­ver­tei­di­gung: Ak­ti­on im Cy­ber­raum mit dem Ziel, An­grif­fe und Cy­be­r­auf­klä­rung zu iden­ti­fi­zie­ren und die ei­ge­nen Res­sour­cen zu schüt­zen;

b.

Cy­be­r­auf­klä­rung: Ak­ti­on im Cy­ber­raum mit dem Ziel, Nach­rich­ten im Cy­ber­raum zu ge­win­nen;

c.

Cy­be­r­an­griff: Ak­ti­on im Cy­ber­raum mit dem Ziel, geg­ne­ri­sche Res­sour­cen und Fä­hig­kei­ten im oder durch den Cy­ber­raum zu stö­ren, zu be­hin­dern oder zu ver­lang­sa­men.

¹ Mass­nah­men, die im Rah­men ei­ner Ak­ti­on im Cy­ber­raum das Ein­drin­gen in frem­de Com­pu­ter­sys­te­me und Com­pu­ter­netz­wer­ke er­for­dern, sind be­wil­li­gungs­pflich­tig.

² Mass­nah­men, die im Rah­men ei­ner Ak­ti­on im Cy­ber­raum kein Ein­drin­gen in frem­de Com­pu­ter­sys­te­me und Com­pu­ter­netz­wer­ke er­for­dern, sind nicht be­wil­li­gungs­pflich­tig.

An­trä­ge für be­wil­li­gungs­pflich­te Mass­nah­men sind schrift­lich zu be­grün­den und müs­sen fol­gen­de An­ga­ben ent­hal­ten:

a.

den Zweck der Ak­ti­on im Cy­ber­raum;

b.

den Zeit­raum, in dem die Ak­ti­on im Cy­ber­raum er­fol­gen soll;

c.

die be­trof­fe­nen Com­pu­ter­sys­te­me und Com­pu­ter­netz­wer­ke;

d.

die An­zahl Ein­drin­gen in die be­trof­fe­nen Com­pu­ter­sys­te­me und Com­pu­ter­netz­wer­ke;

e.

den Nach­weis der Recht­mäs­sig­keit, ins­be­son­de­re der Ver­hält­nis­mäs­sig­keit, und die Be­ur­tei­lung der Ri­si­ken der Ak­ti­on im Cy­ber­raum.

¹ Das Kom­man­do Cy­ber (Kdo Cy) ist zu­stän­dig für die mi­li­tä­ri­sche Cy­be­r­ab­wehr.

² Es hat fol­gen­de Auf­ga­ben:

a.

Es führt Auf­trä­ge zu Ak­tio­nen im Cy­ber­raum aus.

b.

Es er­greift vor­sorg­li­che Mass­nah­men zum Ei­gen­schutz der ein­satz­kri­ti­schen IKT-Leis­tun­gen der Ar­mee.

c.

Es prüft vor­gän­gig die grund­sätz­li­che Recht­mäs­sig­keit und die Mach­bar­keit von neu­en Ak­tio­nen im Cy­ber­raum.

d.

Es un­ter­bricht den Zu­gang zu ein­satz­kri­ti­schen IKT-Leis­tun­gen der Ar­mee.

e.

Es stellt selbst­stän­dig si­cher, dass sie über die tech­ni­schen In­for­ma­tio­nen ver­fügt, die zur Wahr­neh­mung der Auf­ga­ben not­wen­dig sind.

f.

Es wer­tet si­cher­ge­stell­te Com­pu­ter­sys­te­me und Com­pu­ter­netz­wer­ke aus, die für einen An­griff ver­wen­det oder miss­braucht wor­den sind.

g.

Es pflegt in Ko­or­di­na­ti­on mit den ver­ant­wort­li­chen Be­hör­den des Bun­des di­rek­te Kon­tak­te zu tech­ni­schen Fach­stel­len im In- und Aus­land.

h.

Es un­ter­stützt den Ein­satz und die Aus­bil­dung im Be­reich der mi­li­tä­ri­schen Cy­be­r­ab­wehr.

i.

Es do­ku­men­tiert be­wil­li­gungs­pflich­ti­ge Mass­nah­men im Rah­men ei­ner Ak­ti­on im Cy­ber­raum.

³ Es er­füllt sei­ne Auf­ga­ben mit ei­ge­nen, ihm un­ter­stell­ten und ihm zu­ge­wie­se­nen Res­sour­cen.

⁴ Die be­wil­li­gungs­pflich­ti­gen Mass­nah­men im Rah­men ei­ner Ak­ti­on im Cy­ber­raum wer­den aus­sch­liess­lich vom Dienst für Cy­ber- und elek­tro­ma­gne­ti­sche Ak­tio­nen durch­ge­führt.

¹ Die Chefin oder der Chef der Ar­mee er­teilt die Auf­trä­ge für Ak­tio­nen im Cy­ber­raum.

² Sie oder er legt An­trä­ge für be­wil­li­gungs­pflich­ti­ge Mass­nah­men vor­gän­gig der Chefin oder dem Chef des Eid­ge­nös­si­schen De­par­te­men­tes für Ver­tei­di­gung, Be­völ­ke­rungs­schutz und Sport (VBS) zur Prü­fung vor.

³ Im Ak­tiv­dienst nach Ar­ti­kel 76 Ab­satz 1 MG kann die Chefin oder der Chef der Ar­mee oder die Ober­be­fehls­ha­be­rin oder der Ober­be­fehls­ha­ber der Ar­mee be­wil­li­gungs­pflich­ti­ge Mass­nah­men ge­neh­mi­gen. Sie oder er kann die­se Kom­pe­tenz de­le­gie­ren.

Die Chefin oder der Chef des VBS ent­schei­det über An­trä­ge der Chefin oder des Chefs der Ar­mee.

Der Bun­des­rat ge­neh­migt be­wil­li­gungs­pflich­ti­ge Mass­nah­men.

¹ Das Ge­ne­ral­se­kre­ta­ri­at VBS nimmt die de­par­te­ments­in­ter­ne Auf­sicht über die mi­li­tä­ri­sche Cy­be­r­ab­wehr wahr, er­stat­tet dem Bun­des­rat re­gel­mäs­sig Be­richt und in­for­miert die par­la­men­ta­ri­sche Ober­auf­sicht.

² Die ar­me­ein­ter­ne Auf­sicht über die mi­li­tä­ri­sche Cy­be­r­ab­wehr ist der Chefin oder dem Chef der Ar­mee un­ter­stellt und wird durch sie oder ihn ge­re­gelt.

Das Kdo Cy kann in Ab­spra­che mit den ver­ant­wort­li­chen Ver­wal­tungs­ein­hei­ten des VBS Ver­ein­ba­run­gen zur Zu­sam­men­ar­beit mit For­schungs­in­sti­tu­ten und Hoch­schu­len tref­fen.

Die Chefin oder der Chef des VBS voll­zieht die Ver­ord­nung und er­lässt Wei­sun­gen über den Ein­satz und die Aus­bil­dung. Sie oder er kann den Voll­zug an die Chefin oder den Chef der Ar­mee de­le­gie­ren.

Die­se Ver­ord­nung tritt am 1. März 2019 in Kraft.