Ethisches Hacking institutionalisieren und Cybersicherheit erhöhen
- ShortId
-
20.4594
- Id
-
20204594
- Updated
-
30.01.2024 17:06
- Language
-
de
- Title
-
Ethisches Hacking institutionalisieren und Cybersicherheit erhöhen
- AdditionalIndexing
-
24;09;34;04;1216
- 1
-
- PriorityCouncil1
-
Nationalrat
- Texts
-
- <p>Eine nachhaltige Digitalisierung bedarf hoher Standards bei der Sicherheit. Ein konsequenter Schutz von IT Systemen hebt das allgemeine Sicherheitsniveau und die Reputation des Wirtschaftsstandorts als sicherer Datenhafen. Dazu gehört auch das systematische Aufdecken und Schliessen von Schwachstellen in IT Systemen. Hier spielen Ethische Hacker (oder auch Sicherheitsforscher) eine wichtige Rolle. Sie suchen nach Schwachstellen im System in der Absicht, die Sicherheit des Netzwerks zu verbessern, und die während des Tests festgestellten Sicherheitsanfälligkeiten zu beheben. In der Schweiz wird das Potential von Ethischem Hacking bislang zu wenig ausgeschöpft.</p><p>Offenlegungsrichtlinien geben Ethischen Hackern einen Rahmen, in welchem sie beim Auffinden einer Schwachstelle vorzugehen haben und so ihren Beitrag leisten können, eine Lücke zu schliessen. Die Richtlinien signalisieren Interesse an der Zusammenarbeit mit dem Ethischen Hacker, der ansonsten ein rechtliches Risiko auf sich nähme. Gemäss Schweizer Recht macht er sich nämlich beim Eindringen in ein Datenverarbeitungssystem potentiell strafbar.</p><p>Deshalb ist es unabdinglich, dass die Vulnerability Disclosure Guideline die Bedingungen für einen Ausschluss der Strafbarkeit klar regelt. Es liegt ausserdem sowohl im Interesse des Betriebes wie des Ethischen Hackers, dass eine koordinierte Offenlegung vereinbart wird, bei der die Öffentlichkeit informiert wird, nachdem die Lücke geschlossen ist. Insbesondere in den Niederlanden hat man mit den Vulnerability Disclosure Guidelines seit Jahren gute Erfahrungen gemacht. </p><p>Bug Bounty Programme dienen der systematischen Durchforschung eines Sicherheitssystems durch Ethische Hacker auf Aufforderung des Unternehmens, um so gezielt nach Schwachstellen zu suchen. </p><p>Staatsbetriebe und staatsnahe Betriebe haben eine wichtige Vorbildrolle gegenüber der Wirtschaft und Gesellschaft. Mit der Insitutionalisierung von Ethischem Hacking senden sie wichtige Signale in Bezug auf ihren kompromisslosen Willen zur Verteidigung ihrer IT-Systeme.</p>
- Der Bundesrat beantragt die Annahme des Postulates.
- <p>Der Bundesrat ist beauftragt zu prüfen, inwiefern Ethisches Hacking als Grundsatz für die Erhöhung der Cybersicherheit zu institutionalisieren und in Bundesverwaltung und bundesnahen Betrieben mit den folgenden Massnahmen zu fördern:</p><p>1. Öffentliche Verwaltung und bundesnahe Betriebe sollen Offenlegungsrichtlinien, sogenannte Vulnerability Disclosure Guidelines, erarbeiten. Diese Richtlinien sollen einen klar geregelten Ablauf beim Auffinden einer Sicherheitslücke in einem Datenverarbeitungssystem vorsehen und eine koordinierte Offenlegung durch Dritte, sogenannte Coordinated Disclosure, sicherstellen. </p><p>Die Richtlinien legen insbesondere fest, welche Systeme überprüft werden dürfen, welche Tests dazu erlaubt sind und wohin eine Lücke gemeldet werden kann. Sie schaffen Rechtssicherheit für Ethische Hacker, indem sie den Verzicht auf Strafverfolgung regeln, sofern die Bedingungen der Richtlinien eingehalten worden sind.</p><p>2. Die Betriebe sollen ihre Datenverarbeitungssysteme proaktiv im Rahmen von Bug Bounty Programmen auf Schwachstellen prüfen lassen. Davon ausgenommen sind klassifizierte Systeme. Da diese Programme in der Regel erfolgsbasiert prämiert werden, sollen die Budgets der Staats- und staatsnahen Betriebe entsprechen ausgestaltet werden dürfen. </p><p>3. Das National Cyber Security Center (NCSC) unterstützt diesen Prozess aktiv und begleitet die Umsetzung. </p>
- Ethisches Hacking institutionalisieren und Cybersicherheit erhöhen
- State
-
Bericht in Erfüllung des Vorstosses liegt vor
- Related Affairs
-
- Drafts
-
-
- Index
- 0
- Texts
-
- <p>Eine nachhaltige Digitalisierung bedarf hoher Standards bei der Sicherheit. Ein konsequenter Schutz von IT Systemen hebt das allgemeine Sicherheitsniveau und die Reputation des Wirtschaftsstandorts als sicherer Datenhafen. Dazu gehört auch das systematische Aufdecken und Schliessen von Schwachstellen in IT Systemen. Hier spielen Ethische Hacker (oder auch Sicherheitsforscher) eine wichtige Rolle. Sie suchen nach Schwachstellen im System in der Absicht, die Sicherheit des Netzwerks zu verbessern, und die während des Tests festgestellten Sicherheitsanfälligkeiten zu beheben. In der Schweiz wird das Potential von Ethischem Hacking bislang zu wenig ausgeschöpft.</p><p>Offenlegungsrichtlinien geben Ethischen Hackern einen Rahmen, in welchem sie beim Auffinden einer Schwachstelle vorzugehen haben und so ihren Beitrag leisten können, eine Lücke zu schliessen. Die Richtlinien signalisieren Interesse an der Zusammenarbeit mit dem Ethischen Hacker, der ansonsten ein rechtliches Risiko auf sich nähme. Gemäss Schweizer Recht macht er sich nämlich beim Eindringen in ein Datenverarbeitungssystem potentiell strafbar.</p><p>Deshalb ist es unabdinglich, dass die Vulnerability Disclosure Guideline die Bedingungen für einen Ausschluss der Strafbarkeit klar regelt. Es liegt ausserdem sowohl im Interesse des Betriebes wie des Ethischen Hackers, dass eine koordinierte Offenlegung vereinbart wird, bei der die Öffentlichkeit informiert wird, nachdem die Lücke geschlossen ist. Insbesondere in den Niederlanden hat man mit den Vulnerability Disclosure Guidelines seit Jahren gute Erfahrungen gemacht. </p><p>Bug Bounty Programme dienen der systematischen Durchforschung eines Sicherheitssystems durch Ethische Hacker auf Aufforderung des Unternehmens, um so gezielt nach Schwachstellen zu suchen. </p><p>Staatsbetriebe und staatsnahe Betriebe haben eine wichtige Vorbildrolle gegenüber der Wirtschaft und Gesellschaft. Mit der Insitutionalisierung von Ethischem Hacking senden sie wichtige Signale in Bezug auf ihren kompromisslosen Willen zur Verteidigung ihrer IT-Systeme.</p>
- Der Bundesrat beantragt die Annahme des Postulates.
- <p>Der Bundesrat ist beauftragt zu prüfen, inwiefern Ethisches Hacking als Grundsatz für die Erhöhung der Cybersicherheit zu institutionalisieren und in Bundesverwaltung und bundesnahen Betrieben mit den folgenden Massnahmen zu fördern:</p><p>1. Öffentliche Verwaltung und bundesnahe Betriebe sollen Offenlegungsrichtlinien, sogenannte Vulnerability Disclosure Guidelines, erarbeiten. Diese Richtlinien sollen einen klar geregelten Ablauf beim Auffinden einer Sicherheitslücke in einem Datenverarbeitungssystem vorsehen und eine koordinierte Offenlegung durch Dritte, sogenannte Coordinated Disclosure, sicherstellen. </p><p>Die Richtlinien legen insbesondere fest, welche Systeme überprüft werden dürfen, welche Tests dazu erlaubt sind und wohin eine Lücke gemeldet werden kann. Sie schaffen Rechtssicherheit für Ethische Hacker, indem sie den Verzicht auf Strafverfolgung regeln, sofern die Bedingungen der Richtlinien eingehalten worden sind.</p><p>2. Die Betriebe sollen ihre Datenverarbeitungssysteme proaktiv im Rahmen von Bug Bounty Programmen auf Schwachstellen prüfen lassen. Davon ausgenommen sind klassifizierte Systeme. Da diese Programme in der Regel erfolgsbasiert prämiert werden, sollen die Budgets der Staats- und staatsnahen Betriebe entsprechen ausgestaltet werden dürfen. </p><p>3. Das National Cyber Security Center (NCSC) unterstützt diesen Prozess aktiv und begleitet die Umsetzung. </p>
- Ethisches Hacking institutionalisieren und Cybersicherheit erhöhen
Back to List