Bundesrat will Se­curity-Standards von Armee-Beschaffungen prüfen

Der Bundesrat will prüfen, ob die heutigen Standards bei Armeebeschaffungen genügend vor Cyber-Risiken schützen. Er beantragt dem Nationalrat, ein Postulat von Marcel Dobler (FDP/SG) anzunehmen.
 
Die Armee beschaffe Waffen- und Infrastruktursysteme bei verschiedenen nationalen und internationalen Lieferanten. Die Verfügbarkeit, Vertraulichkeit und Integrität der cyber-physischen Komponenten der Systeme würden damit zunehmend zur Achillesferse der Schweizer Armee, schreibt Dobler, und die Integrität der beschaffenen Systeme würden Sorge bereiten. Als Beispiele nennt er unbekannte Quellcodes, nicht dokumentierte Zugänge oder implantierte Fehlfunktionen. Es gelte abzuklären, ob die aktuellen Vorgaben ausreichen, um den Cyber-Bedrohungen gerecht zu werden, heisst es im Postulat weiter.
 
Konkret will Dobler den Bundesrat beauftragen, Bericht zu erstatten, über die anwendbaren nationalen und internationalen Standards wie NIST Cyber Security Framework, ISO, Common Criteria, NIST 800-161, EU4, EU5, FIPS zum Vendor-Risk-Management und zur Produktesicherheit der technischen und insbesondere der vernetzten cyber-physischen Komponenten der Armee.
 
Der Bundesrat hält in seiner Antwort fest, er sei sich der Risiken bei ICT-Beschaffungen bewusst, weshalb er verschiedene Massnahmen vorsehe, die das Risiko mindern sollen. Sowohl zivile als auch militärische Beschaffungen würden gemäss Prüfprozess der Informatiksteuerungsbehörde einzeln auf Schwachstellen geprüft. Im Sinne des Postulats könne aber zudem überprüft werden, ob – angesichts der zugenommenen Cyberrisiken – die heutigen Instrumente zur Prüfung bestimmter Beschaffungen voll ausgeschöpft werden und ob allenfalls Handlungsbedarf für weitergehende Massnahmen oder Standards bestehe, so der Bundesrat weiter. (kjo)