Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

Sicherheitsrisiken bei kritischen Hard- und Softwarekomponenten. Schaffung einer unabhängigen Prüfstelle?

ShortId

19.3602

Id

20193602

Updated

28.07.2023 02:28

Language

de

Title

Sicherheitsrisiken bei kritischen Hard- und Softwarekomponenten. Schaffung einer unabhängigen Prüfstelle?

AdditionalIndexing

34;15;09

1

PriorityCouncil1

Ständerat

Texts

• <p>Der Bundesrat teilt die Sorge um die Sicherheitsrisiken von "Backdoors" bei kritischen Hard- und Softwarekomponenten. Das Kompetenzzentrum für Cybersicherheit des Bundes ist mit allen Akteuren in Kontakt, um gemeinsame Massnahmen zur Minimierung solcher Sicherheitsrisiken zu erarbeiten.</p><p>1. Angesichts der Vielzahl von Einzelteilen, aus denen Hard- und Softwarekomponenten bestehen, und deren globalisierter Fertigungsprozesse sowie der Dynamik des Marktes wäre die systematische Prüfung digitaler Schlüsselkomponenten sehr herausfordernd. Eine Prüfstelle könnte zwar helfen, Risiken früher zu erkennen und genauer einzuschätzen, indem sie Fachwissen bündelt und die Fähigkeit besitzt, aufwendige technische Verfahren zur Prüfung von Hard- und Softwarekomponenten anzuwenden. Ob sie dabei auch Zertifizierungen für die Verleihung von Labels ausstellen sollte, müsste vertieft analysiert werden. Zertifizierungsprozesse erweisen sich oft als sehr zeitaufwendig und können selten umfassend durchgeführt werden. Vor allem bei integrierten Hard- und Softwarekomponenten lassen sich kaum alle möglichen Hintertüren und Sicherheitslücken ausschliessen. Zudem bezöge sich eine Hard- und/oder Software-Zertifizierung auf einen einmal gegebenen Zustand. Dieser ändert speziell bei Software häufig. Die Zertifizierung könnte dem Aktualisierungsrhythmus wahrscheinlich nur schwer folgen. Weiter ist die Tatsache relevant, dass es mittlerweile kaum noch Geräte ohne eingebaute Informationstechnologie gibt. Deshalb wäre der Prüfbereich extrem breit und wenig standardisiert. Vor einem allfälligen Entscheid zur Schaffung einer Prüfstelle müsste anhand einer sorgfältigen Kosten-Nutzen-Analyse genau eruiert werden, ob und, wenn ja, welche Formen der Prüfung und Zertifizierung überhaupt sinnvoll wären. </p><p>2. Der Schutz der Schweiz vor Cyberrisiken ist eine gemeinschaftliche Aufgabe von Wirtschaft, Wissenschaft und Staat, wobei der Staat subsidiär auftritt. Falls eine Prüfstelle geschaffen werden sollte, stünde aus Sicht des Bundesrates daher der Aufbau einer verwaltungsexternen Stelle im Vordergrund. Dabei wäre eine Einbindung in die Strukturen von Hochschulen naheliegend. Zu prüfen wäre auch, wie Kompetenzen von privaten Unternehmen in diesem Bereich genutzt werden könnten. </p><p>Verwaltungsintern wäre das neue Kompetenzzentrum Cybersicherheit, allenfalls ergänzt durch Fähigkeiten des Cyberdefence Campus der Armasuisse, eine mögliche Struktur, die aber dafür massiv ausgebaut werden müsste. </p><p>3. Der Einbezug der Wirtschaft und der Hochschulen wäre bei einer allfälligen Schaffung einer Prüfstelle von zentraler Bedeutung. Der Bund diskutiert die Idee einer Prüf- und Forschungsstelle mit Partnern aus der Wirtschaft, unter anderem mit der Kommission Cybersicherheit von ICT Switzerland (Dachverband der ICT-Wirtschaft) und dem Beirat Digitale Transformation. In diesen Diskussionen besteht bisher noch nicht ausreichend Klarheit über die möglichen Aufgaben einer solchen Stelle. Die Fragen der Organisationsform und der Finanzierung können erst in einem zweiten Schritt geklärt werden. </p><p>4. Die geopolitischen Spannungen im IT-Bereich bieten der Schweiz tatsächlich Chancen, sich als Standort für Cybersicherheit zu profilieren. Die Schweiz geniesst international auch im Bereich der Cybersicherheit einen hervorragenden Ruf und wird als glaubwürdiger und vertrauensvoller Akteur wahrgenommen und geschätzt. Gleichzeitig bleibt die Marktmacht der Schweiz aufgrund ihrer geringen Bedeutung als Produktionsstandort für IT-Komponenten im internationalen Vergleich gering. Um Systemrisiken auf internationaler Ebene wirksam eindämmen zu können, bedarf es einer engen Zusammenarbeit mit vertrauenswürdigen Partnern mit einer ähnlichen Ausgangslage wie die Schweiz. Von besonderer Bedeutung ist deshalb die Forschungszusammenarbeit innerhalb Europas. </p><p>5. Bisher haben die bereits existierenden Labels und Zertifizierungen in der Cybersicherheit wenig Verbreitung gefunden, was auf eine noch beschränkte Nachfrage schliessen lässt. Indirekte Effekte wie die Stärkung des Forschungsstandorts wären aber zu erwarten. Eine starke und innovative IKT-Sicherheitswirtschaft ist dem Bundesrat ein wichtiges Anliegen. Mit der Massnahme 3 der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) will er dafür günstige Rahmenbedingungen schaffen. Er sieht dazu insbesondere den Auf- und Ausbau von Innovationszentren im Bereich Cybersicherheit vor und prüft bis Ende 2020, welche Mittel zur Förderung von Innovation in der Cybersicherheit eingesetzt werden können. Bewusst verzichtet der Bundesrat hingegen auf direkte industriepolitische Fördermassnahmen für die IKT-Sicherheitswirtschaft, da solche den wirtschaftspolitischen Grundsätzen der Schweiz entgegenlaufen würden. </p> Antwort des Bundesrates.
• <p>Im Zug der Digitalisierung steigt in sämtlichen Gesellschaftsbereichen die Abhängigkeit von digitalen Systemen und einzelnen Schlüsselkomponenten. Damit sind auch grosse Sicherheitsrisiken verbunden. In seinem im April 2019 vorgelegten jüngsten Bericht zur Informationssicherung (Melani) befasst sich der Bundesrat ausführlich mit diesen Risiken. Sie gehen namentlich von "Backdoors" aus, d. h. von bei der Lieferung bereits eingebauten Hintertüren, die den fremden Zugriff auf Informatiksysteme zu Spionage- oder Sabotagezwecken erlauben. Der Bundesrat empfiehlt den Aufbau eines konsequenten Risikomanagements beim Umgang mit Herstellern, Lieferanten und Zulieferern von digitalen Schlüsselkomponenten. Zudem hält er fest, dass eine rein vertragliche Verpflichtung ausländischer Hersteller, sich an Schweizer Recht zu wahren, keine ausreichende Garantie darstellt. In Bezug auf die Kontrolle der Lieferketten besteht das Problem, dass diese im Hard- und Softwarebereich weit verzweigt und oft auf mehrere Länder verteilt sind. Vor diesem Hintergrund stellt sich die Frage, welche zusätzlichen Massnahmen denkbar sind, um die Risiken im Zusammenhang mit der Abhängigkeit von einzelnen digitalen Schlüsselkomponenten einzudämmen.</p><p>Bund und Kantone haben in zahlreichen Bereichen Instrumente geschaffen, um die Qualitätskontrolle wichtiger Konsumgüter und Infrastrukturen sicherzustellen. Das Eidgenössische Starkstrominspektorat beispielsweise prüft elektrische Erzeugnisse auf allfällige Sicherheitsmängel. Die Eidgenössische Materialprüfungs- und Forschungsanstalt entstand aus der Notwendigkeit, die im Zusammenhang mit dem Aufbau von Infrastrukturen wie Strassen und Brücken notwendigen Prüfungen von Materialien durchzuführen. Auch im Bereich der Lebensmittelsicherheit verfügt der Bund über Mechanismen, um die Einhaltung gewisser grundlegender Standards sicherzustellen. </p><p>Angesichts der strategischen Bedeutung und der Verletzlichkeit von IT-Systemen ist es notwendig, entsprechende Kontroll- und Prüfinstrumente im Bereich digitaler Schlüsselkomponenten aufzubauen. Eine unabhängige Prüfstelle würde es nicht nur erlauben, das Risikomanagement in sensiblen Bereichen zu verbessern, sondern auch die Möglichkeit eröffnen, den Standortvorteil der Schweiz im Zukunftsmarkt der Cybersicherheit gezielt zu nutzen. Vor dem Hintergrund der zunehmenden globalen Rivalitäten im IT-Bereich und der Konzentration der Hersteller auf einige wenige Grossmächte würde eine in der neutralen und politisch stabilen Schweiz beheimatete Prüfstelle über beste Voraussetzungen verfügen, um auch für ausländische Kunden im Sinn eines "Swiss secure"-Labels von Interesse zu sein. </p><p>Ich ersuche daher den Bundesrat, folgende Fragen zu beantworten: </p><p>1. Wie beurteilt der Bundesrat die Schaffung einer Prüfstelle, um analog zu den entsprechenden Instrumenten in anderen Bereichen Sicherheitsrisiken in Bezug auf digitale Schlüsselkomponenten zu reduzieren? </p><p>2. Auf welche bestehende Strukturen könnte eine solche Prüfstelle aufbauen? </p><p>3. Wie erachtet er die Möglichkeit einer Zusammenarbeit mit der Schweizer IT-Branche, den Hochschulen und den Branchenverbänden im IT-Bereich, um eine Prüfstelle für digitale Schlüsselkomponenten zu schaffen? Welche Modalitäten in Bezug auf den organisatorischen Status der Prüfstelle, die Finanzierung sowie das Mandat und die Rolle des Bundes sind denkbar? </p><p>4. Teilt er die Auffassung, dass angesichts der aktuellen geopolitischen Spannungen im IT-Bereich die Schweiz über besonders günstige Voraussetzungen verfügt, um bei der Eindämmung von Systemrisiken im Zusammenhang mit digitalen Schlüsselkomponenten eine zentrale Rolle zu spielen? </p><p>5. Stellt die Schaffung einer unabhängigen Prüfstelle angesichts dieser Ausgangslage aus Sicht des Bundesrates eine Möglichkeit dar, die Standortvorteile der Schweiz im Zukunftsmarkt der Cybersicherheit gezielt zu nutzen? Welche weiteren Massnahmen fasst er ins Auge, um die Position der Schweiz in diesem Bereich zu stärken?</p>
• Sicherheitsrisiken bei kritischen Hard- und Softwarekomponenten. Schaffung einer unabhängigen Prüfstelle?

State

Erledigt

Related Affairs

Drafts

• Index

  0

  Texts

  • <p>Der Bundesrat teilt die Sorge um die Sicherheitsrisiken von "Backdoors" bei kritischen Hard- und Softwarekomponenten. Das Kompetenzzentrum für Cybersicherheit des Bundes ist mit allen Akteuren in Kontakt, um gemeinsame Massnahmen zur Minimierung solcher Sicherheitsrisiken zu erarbeiten.</p><p>1. Angesichts der Vielzahl von Einzelteilen, aus denen Hard- und Softwarekomponenten bestehen, und deren globalisierter Fertigungsprozesse sowie der Dynamik des Marktes wäre die systematische Prüfung digitaler Schlüsselkomponenten sehr herausfordernd. Eine Prüfstelle könnte zwar helfen, Risiken früher zu erkennen und genauer einzuschätzen, indem sie Fachwissen bündelt und die Fähigkeit besitzt, aufwendige technische Verfahren zur Prüfung von Hard- und Softwarekomponenten anzuwenden. Ob sie dabei auch Zertifizierungen für die Verleihung von Labels ausstellen sollte, müsste vertieft analysiert werden. Zertifizierungsprozesse erweisen sich oft als sehr zeitaufwendig und können selten umfassend durchgeführt werden. Vor allem bei integrierten Hard- und Softwarekomponenten lassen sich kaum alle möglichen Hintertüren und Sicherheitslücken ausschliessen. Zudem bezöge sich eine Hard- und/oder Software-Zertifizierung auf einen einmal gegebenen Zustand. Dieser ändert speziell bei Software häufig. Die Zertifizierung könnte dem Aktualisierungsrhythmus wahrscheinlich nur schwer folgen. Weiter ist die Tatsache relevant, dass es mittlerweile kaum noch Geräte ohne eingebaute Informationstechnologie gibt. Deshalb wäre der Prüfbereich extrem breit und wenig standardisiert. Vor einem allfälligen Entscheid zur Schaffung einer Prüfstelle müsste anhand einer sorgfältigen Kosten-Nutzen-Analyse genau eruiert werden, ob und, wenn ja, welche Formen der Prüfung und Zertifizierung überhaupt sinnvoll wären. </p><p>2. Der Schutz der Schweiz vor Cyberrisiken ist eine gemeinschaftliche Aufgabe von Wirtschaft, Wissenschaft und Staat, wobei der Staat subsidiär auftritt. Falls eine Prüfstelle geschaffen werden sollte, stünde aus Sicht des Bundesrates daher der Aufbau einer verwaltungsexternen Stelle im Vordergrund. Dabei wäre eine Einbindung in die Strukturen von Hochschulen naheliegend. Zu prüfen wäre auch, wie Kompetenzen von privaten Unternehmen in diesem Bereich genutzt werden könnten. </p><p>Verwaltungsintern wäre das neue Kompetenzzentrum Cybersicherheit, allenfalls ergänzt durch Fähigkeiten des Cyberdefence Campus der Armasuisse, eine mögliche Struktur, die aber dafür massiv ausgebaut werden müsste. </p><p>3. Der Einbezug der Wirtschaft und der Hochschulen wäre bei einer allfälligen Schaffung einer Prüfstelle von zentraler Bedeutung. Der Bund diskutiert die Idee einer Prüf- und Forschungsstelle mit Partnern aus der Wirtschaft, unter anderem mit der Kommission Cybersicherheit von ICT Switzerland (Dachverband der ICT-Wirtschaft) und dem Beirat Digitale Transformation. In diesen Diskussionen besteht bisher noch nicht ausreichend Klarheit über die möglichen Aufgaben einer solchen Stelle. Die Fragen der Organisationsform und der Finanzierung können erst in einem zweiten Schritt geklärt werden. </p><p>4. Die geopolitischen Spannungen im IT-Bereich bieten der Schweiz tatsächlich Chancen, sich als Standort für Cybersicherheit zu profilieren. Die Schweiz geniesst international auch im Bereich der Cybersicherheit einen hervorragenden Ruf und wird als glaubwürdiger und vertrauensvoller Akteur wahrgenommen und geschätzt. Gleichzeitig bleibt die Marktmacht der Schweiz aufgrund ihrer geringen Bedeutung als Produktionsstandort für IT-Komponenten im internationalen Vergleich gering. Um Systemrisiken auf internationaler Ebene wirksam eindämmen zu können, bedarf es einer engen Zusammenarbeit mit vertrauenswürdigen Partnern mit einer ähnlichen Ausgangslage wie die Schweiz. Von besonderer Bedeutung ist deshalb die Forschungszusammenarbeit innerhalb Europas. </p><p>5. Bisher haben die bereits existierenden Labels und Zertifizierungen in der Cybersicherheit wenig Verbreitung gefunden, was auf eine noch beschränkte Nachfrage schliessen lässt. Indirekte Effekte wie die Stärkung des Forschungsstandorts wären aber zu erwarten. Eine starke und innovative IKT-Sicherheitswirtschaft ist dem Bundesrat ein wichtiges Anliegen. Mit der Massnahme 3 der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) will er dafür günstige Rahmenbedingungen schaffen. Er sieht dazu insbesondere den Auf- und Ausbau von Innovationszentren im Bereich Cybersicherheit vor und prüft bis Ende 2020, welche Mittel zur Förderung von Innovation in der Cybersicherheit eingesetzt werden können. Bewusst verzichtet der Bundesrat hingegen auf direkte industriepolitische Fördermassnahmen für die IKT-Sicherheitswirtschaft, da solche den wirtschaftspolitischen Grundsätzen der Schweiz entgegenlaufen würden. </p> Antwort des Bundesrates.
  • <p>Im Zug der Digitalisierung steigt in sämtlichen Gesellschaftsbereichen die Abhängigkeit von digitalen Systemen und einzelnen Schlüsselkomponenten. Damit sind auch grosse Sicherheitsrisiken verbunden. In seinem im April 2019 vorgelegten jüngsten Bericht zur Informationssicherung (Melani) befasst sich der Bundesrat ausführlich mit diesen Risiken. Sie gehen namentlich von "Backdoors" aus, d. h. von bei der Lieferung bereits eingebauten Hintertüren, die den fremden Zugriff auf Informatiksysteme zu Spionage- oder Sabotagezwecken erlauben. Der Bundesrat empfiehlt den Aufbau eines konsequenten Risikomanagements beim Umgang mit Herstellern, Lieferanten und Zulieferern von digitalen Schlüsselkomponenten. Zudem hält er fest, dass eine rein vertragliche Verpflichtung ausländischer Hersteller, sich an Schweizer Recht zu wahren, keine ausreichende Garantie darstellt. In Bezug auf die Kontrolle der Lieferketten besteht das Problem, dass diese im Hard- und Softwarebereich weit verzweigt und oft auf mehrere Länder verteilt sind. Vor diesem Hintergrund stellt sich die Frage, welche zusätzlichen Massnahmen denkbar sind, um die Risiken im Zusammenhang mit der Abhängigkeit von einzelnen digitalen Schlüsselkomponenten einzudämmen.</p><p>Bund und Kantone haben in zahlreichen Bereichen Instrumente geschaffen, um die Qualitätskontrolle wichtiger Konsumgüter und Infrastrukturen sicherzustellen. Das Eidgenössische Starkstrominspektorat beispielsweise prüft elektrische Erzeugnisse auf allfällige Sicherheitsmängel. Die Eidgenössische Materialprüfungs- und Forschungsanstalt entstand aus der Notwendigkeit, die im Zusammenhang mit dem Aufbau von Infrastrukturen wie Strassen und Brücken notwendigen Prüfungen von Materialien durchzuführen. Auch im Bereich der Lebensmittelsicherheit verfügt der Bund über Mechanismen, um die Einhaltung gewisser grundlegender Standards sicherzustellen. </p><p>Angesichts der strategischen Bedeutung und der Verletzlichkeit von IT-Systemen ist es notwendig, entsprechende Kontroll- und Prüfinstrumente im Bereich digitaler Schlüsselkomponenten aufzubauen. Eine unabhängige Prüfstelle würde es nicht nur erlauben, das Risikomanagement in sensiblen Bereichen zu verbessern, sondern auch die Möglichkeit eröffnen, den Standortvorteil der Schweiz im Zukunftsmarkt der Cybersicherheit gezielt zu nutzen. Vor dem Hintergrund der zunehmenden globalen Rivalitäten im IT-Bereich und der Konzentration der Hersteller auf einige wenige Grossmächte würde eine in der neutralen und politisch stabilen Schweiz beheimatete Prüfstelle über beste Voraussetzungen verfügen, um auch für ausländische Kunden im Sinn eines "Swiss secure"-Labels von Interesse zu sein. </p><p>Ich ersuche daher den Bundesrat, folgende Fragen zu beantworten: </p><p>1. Wie beurteilt der Bundesrat die Schaffung einer Prüfstelle, um analog zu den entsprechenden Instrumenten in anderen Bereichen Sicherheitsrisiken in Bezug auf digitale Schlüsselkomponenten zu reduzieren? </p><p>2. Auf welche bestehende Strukturen könnte eine solche Prüfstelle aufbauen? </p><p>3. Wie erachtet er die Möglichkeit einer Zusammenarbeit mit der Schweizer IT-Branche, den Hochschulen und den Branchenverbänden im IT-Bereich, um eine Prüfstelle für digitale Schlüsselkomponenten zu schaffen? Welche Modalitäten in Bezug auf den organisatorischen Status der Prüfstelle, die Finanzierung sowie das Mandat und die Rolle des Bundes sind denkbar? </p><p>4. Teilt er die Auffassung, dass angesichts der aktuellen geopolitischen Spannungen im IT-Bereich die Schweiz über besonders günstige Voraussetzungen verfügt, um bei der Eindämmung von Systemrisiken im Zusammenhang mit digitalen Schlüsselkomponenten eine zentrale Rolle zu spielen? </p><p>5. Stellt die Schaffung einer unabhängigen Prüfstelle angesichts dieser Ausgangslage aus Sicht des Bundesrates eine Möglichkeit dar, die Standortvorteile der Schweiz im Zukunftsmarkt der Cybersicherheit gezielt zu nutzen? Welche weiteren Massnahmen fasst er ins Auge, um die Position der Schweiz in diesem Bereich zu stärken?</p>
  • Sicherheitsrisiken bei kritischen Hard- und Softwarekomponenten. Schaffung einer unabhängigen Prüfstelle?

Back to List