Informationssicherheit und Datenschutz

 

Eine prioritäre Anforderung an das Projekt Justitia 4.0 ist eine sichere, vertrauliche elektronische Kommunikation zu gewährleisten. Das Vertrauen in die Plattform justitia.swiss ist essenziell für die zukünftige Funktionsweise der Justiz. 

Technische Schutzmassnahmen für die elektronische Kommunikation

Für eine sichere elektronische Kommunikation über die Plattform justitia.swiss kommen verschiedene technische Schutzmassnahmen zum Einsatz: von einer standardisierten Transportverschlüsselung über die Authentifizierung mithilfe eines elektronischen Identitätsnachweises bis hin zur Prüfung der Dokumente auf Schadsoftware und der anschliessenden Verschlüsselung als Dossier bzw. Akte. Die Plattform stellt sicher, dass Akten nicht durch Unbefugte verändert werden können und jederzeit ein Abgleich mit dem Ursprungsdokument möglich ist. Mit einer Eingangsquittung wird zudem der Zeitpunkt und der Inhalt einer Eingabe bestätigt. Dokumente und Quittungen bleiben mindestens 90 Tage und längstens bis zur Beendigung des Verfahrens auf der Plattform, für die Archivierung sind die Justizbehörden verantwortlich.

 

So werden die höchsten Anforderungen an die Informationssicherheit und den Datenschutz gewährleistet

  • Entwicklung und Betrieb der Plattform justitia.swiss sowie Konzepte und Umsetzungen von Datenschutz und Datensicherheit basieren auf gesetzlichen Grundlagen.

    Die gesetzliche Grundlage für den Betrieb der Plattform justitia.swiss bildet das «Bundesgesetz über die Plattformen für die elektronische Kommunikation in der Justiz» (BEKJ).  Das BEKJ regelt bezüglich Datenschutz und Datensicherheit folgendes: 

    • Datenschutz (Art. 27)
      • Die Datenhaltung muss in der Schweiz sein.
      • Die sich auf der Plattform befindenden besonders schützenswerten Personendaten dürfen nur so weit bearbeitetet werden, wie es für die Funktionen der Plattform notwendig ist.
      • Die Dokumente müssen auf Schadsoftware geprüft werden zum Schutz der Plattform wie auch der Adressatinnen und Adressaten.
      • Die datenschutzrechtliche Aufsicht über die Plattform liegt beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
    • Datensicherheit (Art. 28)
      • Die Körperschaft, welche die Plattform betreibt, muss ein Bearbeitungsreglement erstellen, das darlegt, welche organisatorischen und technischen Massnahmen gegen unbefugtes Bearbeiten der Daten getroffen werden.
      • Eine Aufsicht muss bezeichnet werden, deren Aufgabe es ist, die Datensicherheit der Plattform regelmässig zu prüfen.
      • Der Bundesrat regelt die Anforderungen an die Datensicherheit. Er muss sicherstellen, dass ein hohes Datensicherheitsniveau und die allgemeinen Schutzziele (Vertraulichkeit, Integrität, Authentizität und Nachvollziehbarkeit) jederzeit gewährleistet sind.

    Das BEKJ befindet sich aktuell im parlamentarischen Prozess. Sollten sich die Vorgaben bezüglich der Plattform justitia.swiss gegenüber dem Gesetzesentwurf ändern, wird die Plattform entsprechend angepasst. Das Projekt Justitia 4.0 geht davon aus, dass das BEKJ frühestens Mitte 2025 in Kraft tritt. Im Entwurf zum BEKJ ist eine Übergangsfrist von zwei Jahren vorgesehen.

    Weitere wichtige gesetzliche Grundlagen, welche das Projekt berücksichtigt:

    • Revidiertes Datenschutzgesetz (DSG): Das Gesetz und die entsprechenden Verordnungen sorgen für einen besseren Schutz der persönlichen Daten. Insbesondere werden der Datenschutz den technologischen Entwicklungen angepasst, die Selbstbestimmung über die persönlichen Daten gestärkt sowie die Transparenz bei der Beschaffung von Personendaten erhöht. Das revidierte Gesetz trat am 1. September 2023 in Kraft.
    • Informationssicherheitsgesetz (ISG): Dieses Gesetz schafft für alle Bundesbehörden einen einheitlichen, formell-gesetzlichen Rahmen für die Informationssicherheit und regelt dabei die wichtigsten Massnahmen zum Schutz der Informationen und Informatikmittel. Das Gesetz trat am 1. Januar 2024 in Kraft, nachdem verschiedene Verordnungen erarbeitet bzw. teilrevidiert worden sind.
  • Datenschutz und Datensicherheit sind zentrale Anforderungen und werden in allen Entwicklungsschritten der Plattform «Justitia.Swiss» berücksichtigt und überprüft.

    1. Die Plattform wird von Grund auf neu gebaut. Dies vereinfacht die Berücksichtigung von Datenschutzanforderungen bereits bei der Konzipierung und der Entwicklung der Plattform («privacy by design»).  Datenschutzfreundliche Voreinstellungen, die dem Schutz der Privatsphäre der Nutzerinnen und Nutzer dienen, sind von Anfang an vorhanden («privacy by default»).

    2. Integriert in den Entwicklungsprozess der Plattform werden automatisierte Prüfungen des gesamten Source Codes durchgeführt. Damit wird sichergestellt, dass die aktuelle Gefahrenlage der verwendeten Software-Lieferketten aktuell gehalten wird und Risiken durch verwendete Software-Komponenten rechtzeitig erkannt werden. Anpassungen an den Funktionalitäten der Plattform können nur dann gemacht werden, wenn die Qualitätsanforderungen an die Sicherheit eingehalten sind.

    3. Bereits die aktuell entwickelte Grundversion der Plattform (minimum viable product, MVP) erfüllt alle definierten Sicherheitsanforderungen. Dabei werden die neusten Erkenntnisse und der neuste Stand der Technik berücksichtigt.

    4. Die Sicherheit der Plattform aufrechtzuerhalten, ist eine konstante Aufgabe. Es findet eine laufende Überprüfung auf Schwachstellen statt, um neu auftretende Risiken zu erfassen und zu behandeln. Ein Team von erwiesenen Sicherheitsexperten ist involviert, um kontinuierlich Risiken zu prüfen und Gegenmassnahmen zu ergreifen.

    5. Die Datenhaltung erfolgt ausschliesslich in der Schweiz: Schweizer Unternehmen betreiben in Schweizer Rechenzentren die Infrastruktur der Plattform justitia.swiss.

    6.  Externe spezialisierte Unternehmen führen wiederkehrend unabhängige Prüfungen der Sicherheit der Plattform mit Penetration Tests durch. Diese Unternehmen werden periodisch gewechselt. Ebenfalls getestet werden die Prozesse der Betreiberin der Plattform, um sicher zu gehen, dass sie Angriffe erkennt und richtig darauf reagiert. Auch die Betriebsorganisation und die Mitarbeitenden werden geprüft. Schwachstellen können sofort erkannt und entsprechende Massnahmen umgesetzt werden. 

    7. Bei der Wahl der Partnerorganisationen für die Entwicklung und den technischen Betrieb der Plattform sind Kompetenzen im Bereich Datenschutz und Datensicherheit eine zentrale Anforderung.   

  • Sicherheit der Dateien auf der Plattform: Verschlüsselung der Dossiers

    Das Bild als PDF herunterladen

    • Der Datenverkehr zwischen beteiligten Personen und der Plattform justitia.swiss ist mittels standardisierter Transportverschlüsselung gesichert. Dies gilt auch bei der Verwendung von automatisierten Schnittstellen.
    • Die Senderin oder der Sender muss sich auf der Plattform mit Hilfe eines anerkannten elektronischen Identitätsnachweises authentifizieren (z.B. SwissID, SwissTrust oder ausgewählte staatliche Provider), damit er/sie Zugang zur Plattform erhält.
    • Die Plattform überprüft die hochgeladenen Dokumente auf Schadsoftware, wie dies vom BEKJ verlangt wird (E-BEKJ) und verhindert dadurch, dass infizierte Dokumente über die Plattform verbreitet werden können.
    • Die geprüften Dokumente werden als Dossier/Akte verschlüsselt und im Dossierstore (Aktenablage) abgelegt. Auch Administratoren können die Dossiers nicht entschlüsseln (Vertraulichkeit). Gelingt es einem Angreifer, in den Besitz eines gültigen Schlüssels zu gelangen, so erhält er lediglich Zugriff auf das verknüpfte Dossier, nicht aber auf sämtlichen anderen Dossiers. 
    • Die Plattform gewährleistet mittels technischer Schutzmassnahmen, dass die Akte durch Unbefugte nicht verändert wird und zu jeder Zeit ein Abgleich mit dem ursprünglichen Dokument möglich ist (Integrität).
    • Die Eingangsquittung bestätigt den Zeitpunkt und den Inhalt der Eingabe (Siegelung, inkl. Hashwert). Mit dem Hashwert kann nachgewiesen werden, dass die Dokumente/Dateien nicht verändert wurden. 
    • Beim Zugriff auf das Dokument wird dieses entschlüsselt. Via eine Transportverschlüsselung wird das Dokument ins eigene IT-System heruntergeladen. 
    • Die Dokumente sowie die Quittungen bleiben mindestens 90 Tage auf der Plattform und längstens bis das Verfahren beendet ist. Anschliessend werden sie gelöscht. Für die Archivierung sind die Justizbehörden zuständig. 

    Verschlüsslungskonzept in Englisch

  • Ausgewiesene Sicherheitsexperten arbeiten im Plattform-Team mit

    Das Projekt Justitia 4.0 arbeitet mit zwei bewährten Schweizer Firmen. Zühlke ist zuständig für die Entwicklung und ELCA für den technischen Betrieb der Plattform. 

    Zühlke: Die beiden Sicherheitsexperten Dr. Raphael Reischuk und Dr. Benjamin Rothenberger stellen gemeinsam mit dem Projektteam sicher, dass die Anforderungen bezüglich Informationssicherheit und Datenschutz in den Anwendungsbereichen der Plattform umgesetzt sind. Dazu gehören insbesondere die Verschlüsselung der Daten, die sichere Integration von externen Identitätsdienstleistern sowie generell die Architektur und der Programmcode der Plattform.

    ELCA: Die beiden Sicherheitsexperten Jonas Schwarz und Thomas Magnier stellen sicher, dass die Anforderungen bezüglich Informationssicherheit und Datenschutz in den Infrastrukturbereichen der Plattform verankert sind. Dazu gehören insbesondere die Sicherung aller ein- und ausgehenden Kommunikation sowie generell der sichere Betrieb der verschiedenen Infrastruktur-Komponenten. ELCA betreibt zudem das Security Operations Center zur Erkennung und Verteidigung von Cyberangriffen.

    André Mäder ist seit 2021 der Chief Information Security Officer (CISO) im Projektteam Justitia 4.0. Er hat breite Erfahrung in den Bereichen IT-Audits, Datenschutz, Informationssicherheit und Cyber Security, welche er in der Versicherungs- und Pharmabranche aufgebaut hat.  

    Im Projektausschuss Justitia 4.0 sitzen mit Hannes Lubich und Daniel Brunner zwei externe IT-Berater mit signifikanter Erfahrung in den Bereichen Cyber-Sicherheit und Datenschutz.

    Weitere Informationen

     

  • Das Plattform-Team steht im Austausch mit nationalen, kantonalen und privatrechtlichen Organisationen bezüglich Datenschutz und Cybersicherheit. Nur gemeinsam können die aktuellen Herausforderungen gemeistert werden.

    In der Erarbeitung der zugrundeliegenden technischen Konzepte haben insbesondere IT-Experten aus den Justizbehörden (Staatsanwaltschaft und Gerichte), welche in der Fachgruppe "IT-Architektur und Sicherheit" zusammenarbeiten, ihr Wissen eingebracht. Hinsichtlich der Etablierung des Pilotbetriebes ist das Projekt Justitia 4.0 mit den relevanten IT-Fachleuten der Pilotkantone in Kontakt.

    Frau Dr. iur Barbara Widmer, juristische Mitarbeiterin des Datenschutzbeauftragten des Kantons Basel-Stadt und Vertreterin von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten,  ist Mitglied der Fachgruppenkoordination und nimmt regelmässig an Meetings teil. Sie ist Ansprechpartnerin des Projektteams bei Fragen rund um den Datenschutz. 

    Projektmitarbeitende von Justitia 4.0 sind in Arbeitsgruppen der kantonalen Organisation Digitale Verwaltung Schweiz (DVS) involviert.

    Auf nationaler Ebene findet ein Informationsaustausch mit dem Nationalen Zentrum für Cybersecurity (NCSC) statt. Das NCSC ist das Kompetenzzentrum des Bundes für Cybersicherheit und damit erste Anlaufstelle für die Wirtschaft, Verwaltung, Bildungseinrichtungen und die Bevölkerung bei Fragen zur Cybersicherheit. Es ist verantwortlich für die koordinierte Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) 2018-2022, an welcher das Projekt Justitia 4.0 mitgewirkt hat. Auch mit dem Informatik Service Center des Eidgenössischen Justiz- und Polizeidepartements (ISC-EJPD) tauscht sich das Projekt Justitia 4.0 aus, zum Beispiel zur Integration bestehender digitaler Identitäten und Inhalten, welche durch das ISC-EJPD verwaltet werden.

    Mit Unternehmen der Privatwirtschaft bestehen verschiedene Zusammenarbeitsmodelle von Wissensaustausch und Seminarbesuchen bis zu Aufträgen zur Prüfungen von Konzepten und Implementationen.

    Weitere Informationen

     

  • Justizbehörden und die Anwaltschaft sind gefordert, ihre Risiken klein zu halten

    Das Projekt Justitia 4.0 hat keinen gesetzlichen Auftrag und entsprechend keine Autorität, der Nutzerschaft für das Ökosystem Justitia.Swiss Anforderungen zu deren Konfiguration bezüglich IT-Sicherheit zu stellen oder zu überprüfen. 

    Zusammen mit seinen Partnern ist das Projekt Justitia 4.0 jedoch für die Sicherheit der Plattform «Justitia.Swiss» zuständig. Wie heute bezüglich der Papierdokumente, ist es Aufgabe der Justizbehörden sowie der Anwältinnen und Anwälte, ihre digitalen Dokumente sicher aufzubewahren. Sie müssen ihre IT-Systeme und Daten gegen Angriffe schützen und die entsprechenden Sicherheitsmassnahmen ergreifen. Insbesondere sind die Mitarbeitenden im sicheren Umgang mit digitaler Infrastruktur und Dokumenten zu schulen. 

 
Keine Videos gefunden
31:21
Justitia TALK - Eine sichere Plattform justitia.swiss – (wie) geht das?
Für Interessierte aus Justizbehörden und Anwaltschaft
11.10.2023
32:00
Justitia TALK - Eine sichere Plattform justitia.swiss - (wie) geht das?
Für IT-Expertinnen und Experten
11.10.2023
17:23
Cyber-Risiken: Aktueller Stand, Trends und mögliche Massnahmen
Vortrag von Hannes P. Lubich, IT-Experte im Projektausschuss Justitia 4.0, Fachgruppenplenum 10. November 2022
05.09.2023

Weitere Themen, die Sie interessieren könnten

1
Juli 24
BEKJ: Annahme durch die Rechtskommission des Ständerats
1
Mai 24
Plattform justitia.swiss ist bereit für die Pilotierungen
16
Oct 23
Jetzt online: Videos Justitia Talk zu Sicherheitsfragen
Zur Newsübersicht