Der Bundesrat möchte mehr Instrumente gegen Cyberangriffe auf kritische Infrastrukturen, namentlich die 5G-Telekommunikation. Künftig will er etwa Beschaffungen von Lieferanten verbieten können, die als problematisch für die Sicherheit der Schweiz gelten. Das Kommunikationsdepartement Uvek wird einen Entwurf für die dafür notwendige Revision des Fernmeldegesetzes vorlegen.

Der Bundesrat hält in einem Bericht fest, dass er die Risiken für die IT- und Telekommunikations-Infrastruktur mit einem "allgemeinen und nicht-diskriminierenden Ansatz" minimieren wolle. Die Wirtschaftsfreiheit und das einwandfreie Funktionieren des Wettbewerbs müssten bestmöglich sichergestellt werden. Klar scheint aber: Die Gesetzesrevision zielt insbesondere auf Huawei.

Schliesslich ist der Bericht des Bundesrates eine Antwort auf das Postulat von SP-Nationalrat Jon Pult. Der Bundesrat musste klären, "welche Risiken von Anbietern wie Huawei ausgehen, die in Ländern domiziliert sind, die weder marktwirtschaftlich noch rechtsstaatlich organisiert sind." Der Nationalrat überwies den Vorstoss 2021 an die Regierung. Dies geschah zwei Jahre nachdem die USA Huawei und ZTE sanktioniert hatte und die EU auch bereits in dieselbe Richtung arbeitete.

Der Bundesrat begründet den Revisionsauftrag ans Uvek dann auch sehr deutlich: Man pflege weiterhin einen "nicht-diskriminierenden" Ansatz. Falls erforderlich müsse die Schweiz aber bereit sein, sich stärker international zu integrieren und "Teil des Innovationssystems der westlichen Hemisphäre zu bleiben." Es müsse darum verhindert werden, dass die Schweiz als Sicherheitslücke mitten in Europa betrachtet werde.

Inside-it.ch hat im Frühling beim Bundesamt für Kommunikation (Bakom) nachgefragt, wie einfach der Auschluss von Huawei überhaupt wäre. Der Bund habe aus fernmelderechtlicher Sicht keine Kompetenzen, um die Ausrüstungsbeschaffungen der Netzbetreiberinnen zu beeinflussen, hiess es damals. Die Fernmeldedienstanbieter seien für die Integrität und die Sicherheit ihrer Netze selber verantwortlich.

Das soll sich mit der geplanten Gesetzesrevision radikal ändern. So will der Bundesrat sicherstellen, dass der geoökonomische Wettbewerb zwischen den USA und China die Schweizer Infrastruktur nicht beeinträchtige. Es könne auch sein, dass man sich zwischen der Unterstützung der USA und der Beibehaltung einer unabhängigen Position entscheiden müsse, heisst es vom Bundesrat.

Bei Salt, Sunrise und Swisscom kommen derzeit verschiedene 5G-Zulieferer zum Einsatz: Ericsson (SE), Nokia (FIN) Huawei (CN), Microsoft / eSPIN & Services (UK), A10 Networks (USA), Cisco (USA), Juniper (USA), Commscope (USA) und Ceragon (ISR). Man sieht an der Aufzählung, dass nur ein Hersteller ausserhalb der "westlichen Hemisphäre" in den Netzwerken steckt.

Nur einer der 3 grossen Telcos verfolge eine Mehrlieferanten-Strategie im 5G-Kernnetzwerk, heisst es im Bundesratsbericht, einer setze hingegen auf 100% Huawei, einer auf 100% Nokia. Beim Huawei-Kunden handelt es sich um Sunrise. Anfang Jahr sagte dessen Mutterunternehmen Liberty Global, dass der Telco nicht freiwillig auf Huawei verzichte.

Der Bundesrat sieht vor, Telcos künftig zu verpflichten, Geräte, Anlagen und Software für Fernmeldedienste von verschiedenen Lieferanten zu beschaffen und zu betreiben. Per Verordnung könnten sie auch dazu gezwungen werden, entsprechende Produkte nur von bestimmten Lieferanten oder Kategorien von Lieferanten einzusetzen. Sollten bedenkliche Komponenten schon im System sein, könnten die Telcos gezwungen werden, diese zu entfernen, wie es in den Massnahmen nach Vorbild der "5G-Toolbox der EU" heisst.

Die neue Mobilfunkgeneration hat laut bundesrätlichem Bericht eine Spezifik: Jede Schwachstelle oder Hintertür in einer 5G-Ausrüstung bedroht potenziell das gesamte 5G-Netz, weil periphere und zentrale Infrastruktur nicht mehr getrennt sind. Der Bundesrat sieht auch erhöhte Sicherheitsanforderungen für die Beschaffung und den Betrieb von Geräten, Anlagen und Software für die nächste Ausschreibung von Mobilfunkfrequenzen im Jahr 2028 vor.

Schliesslich soll der Schweizer Cybersicherheitssektor in der Lage sein, langfristig geeignete nationale Kontroll- und Zertifizierungsstellen bereitzustellen, heisst es im Bericht. Parallel soll die Schweiz internationale Abkommen zur Anerkennung von technischen Zertifizierungen entwickeln.

Namentlich wird das Nationale Testinstitut für Cybersicherheit (NTC) genannt, das die Zuverlässigkeit und Sicherheiten von digitalen Projekten prüft. Konkreter wird der Bundesrat zum privaten Institut mit Unterstützung des Kantons Zug aber nicht. Auch der Cyber-Defence Campus von Armasuisse findet hier Erwähnung.

Der Bericht des Bundesrats ist öffentlich einsehbar (PDF).