Darf ich wissen, welche IT-Sicherheitslücken meine Regierung hat?

Das Schweizer Bundesgericht hat sich wieder einmal mit dem Öffentlichkeitsprinzip auseinandergesetzt. Im Entscheid vom 17. März 2022 ging es darum, ob ein Bürger Anspruch auf Zugang zu einem Bericht über IT-Sicherheitslücken der waadtländischen Kantonsverwaltung hat (vgl. BGer 1C_235/2021).

Die Waadtländer Generaldirektion für Informatikdienste DGNSI lehnte das Gesuch um Einsicht in einen Evaluationsbericht zum Informatiksystem der kantonalen Verwaltung ab mit der Begründung, die Herausgabe dieses Berichts würde die Sicherheit der IT-Systeme gefährden.

Was ist die Ausgangslage?

Eine Privatperson beantragte am 25. September 2020 Einsicht in einen Bericht über ein IT-Audit der waadtländischen Generaldirektion für Informatikdienste.

Anlässlich eines Sicherheitsaudits wurden die IT-Systeme der Waadtländer Verwaltung durch ein externes Unternehmen geprüft. Konkret ging es um die Plattform «ACTIS», welche unter anderem der Erfassung und Bearbeitung von Baubewilligungsgesuchen diente.

Der Bericht weist auf konkrete Schwachstellen hin und enthält Vorschläge für konkrete Änderungen.

Was ist der Rechtsanspruch?

Gemäss dem Öffentlichkeitsprinzip hat jede Person das Recht, Zugang zu amtlichen Informationen zu erhalten. Der Zugang kann verweigert werden, wenn öffentliche oder private Interessen an der Geheimhaltung überwiegen.

Mehr zu diesem allgemeinen Öffentlichkeitsprinzip sowie zu den allgemeinen Voraussetzungen, wann der Zugang verwehrt werden kann, findest Du in unserem Blogbeitrag «Staat & Transparenz – Wie Du Zugang zu amtlichen Dokumenten erhältst» vom 03.05.2022.

Der Zugang darf nur verweigert werden, wenn ein ernsthaftes Risiko der Beeinträchtigung eines öffentlichen oder privaten Interessens besteht. Die Nichtweitergabe von Informationen muss die Ausnahme bleiben.

Rechtsgrundlage ist:

• Auf Stufe Bund: das Öffentlichkeitsgesetz (BGÖ),

• Auf Stufe Kanton: das jeweilige Informations- und Datenschutzgesetz.

Wie argumentierte nun das Bundesgericht?

Das Bundesgericht bestätigte die Ansicht des kantonalen Verwaltungsgerichts, wonach die Offenbarung von Informationen über bestehende IT-Schwachstellen die öffentliche Sicherheit und Ordnung gefährden könnte. Konkretes Risiko stellen potentielle Hackerangriffe dar, bei welchen die entdeckten Schwachstellen ausgenutzt werden könnten.

Ein Hackerangriff auf die IT-Plattformen von Behörden würde die Arbeit der Verwaltung erheblich stören und die Vertraulichkeit von Daten beeinträchtigen. Damit überwiegt das öffentliche Interesse (Sicherheit und Ordnung) die privaten Interessen am Zugang zum Schwachstellenbericht.

Interessant ist, dass selbst die Preisgabe jener Schwachstellen, welche bereits behoben worden sind, nicht in Frage gekommen ist. Anscheinend standen verschiedene Sicherheitslücken miteinander in Verbindung und betrafen auch verwandte Systeme und Anwendungen, weshalb auch die Bekanntgabe von behobenen Schwachstellen noch immer ein Risiko dargestellt hätte.

Der fragliche Bericht hätte damit fast vollständig geschwärzt werden müssen. Die nicht geschwärzten Informationen wären für den Beschwerdeführer nicht von Interesse gewesen.

Was uns im Zusammenhang mit diesem Entscheid auffällt:

Zwischen der Erstellung des Berichts und dem Entscheid des Bundesgerichts liegen gut 1.5 Jahre – eine Zeitspanne, die für die Behebung von gravierenden Schwachstellen mehr als ausreichend sein sollte.

Sind die Schwachstellen in absehbarer Zeit nicht behebbar, müsste sich der Kanton Waadt eher die Frage stellen, ob er den Betrieb der Plattform noch länger verantworten kann.

Ob an einem Bericht über IT-Schwachstellen nach so langer Zeit noch immer ein Geheimhaltungsinteresse besteht, ist für uns fraglich.

Die öffentliche Bekanntgabe von IT-Schwachstellen würde es auch anderen Behörden ermöglichen, ihre eigenen Systeme in Bezug auf diese Sicherheitsrisiken zu testen.

In diesem Sinne besteht eben gerade ein öffentliches Interesse an der Bekanntmachung von gefundenen IT-Sicherheitslücken, zumindest nach deren Behebung.