Bund: Die IT-Sicher­heit lässt zu wünschen übrig

24. November 2021, 15:13
  • verwaltung
  • security
  • schweiz
  • regulierung
image

Zahlreiche Sicherheitslücken, komplexe Liefer­ketten und mangelnde verbindliche Vorgaben bergen Risiken für kritische Infrastrukturen und in der IT-Beschaffung allgemein.

Ein Bericht der Verwaltung kommt unter anderem zum Schluss, dass es dem Bund bisher nicht gelungen sei, die Sicherheit für ICT-Produkte adäquat zu verbessern. Nach wie vor gebe es zahlreiche Sicherheitslücken. Vor allem für kritische Infrastrukturen gebe es nur wenige verbindliche Vorgaben zur Sicherheit und zur sicheren Anwendung im IKT-Bereich.
So das Fazit des Berichts "Produktesicherheit und Supply Chain Risk Management in den Bereichen Cybersicherheit und Cyberdefence". Diesen hat der Bundesrat an seiner Sitzung vom 24. November gutgeheissen. Mit dem Bericht erfüllt er zwei Postulate, die nach der Cybersicherheit bei der Beschaffung der Armee sowie der Sicherheit von Hard- und Softwarekomponenten in kritischen Infrastrukturen fragen.

Risiken können reduziert, aber nicht verhindert werden

Die Herausforderungen in den Bereichen Produktesicherheit und Supply Chain Risk Management (SCRM) in der Cybersicherheit und der Cyberdefence seien sehr gross, heisst es im Bericht. Risiken, die auf mangelnde Sicherheit bei Produkten zurückzuführen sind, könnten heute nur reduziert, aber nicht verhindert werden.
Eine breite Anwendung von international anerkannten Standards könnte einen Beitrag zur Verbesserung der Sicherheit leisten. Im Bereich der Produktesicherheit würden bereits heute zahlreiche Standards existieren. Vorgaben zum SCRM im Bereich der Cybersecurity seien deutlich weniger weit entwickelt.
Dies habe auch damit zu tun, dass das Thema von den Standardisierungsgremien erst in den letzten Jahren aufgenommen worden sei. "Die Risiken in den Lieferketten wurden erst zum Thema, als erkannt wurde, in welchem Ausmass Staaten aus geopolitischen Interessen Einfluss auf strategisch wichtige Lieferanten nehmen", heisst es im Bericht. Ausserdem sei es schwierig zu definieren, ab wann ein Risiko in der Lieferkette zu gross ist. Die meisten Standards zum SCRM würden sich deshalb auf Prozesse und Methoden fokussieren. Dies habe zur Folge, dass es sich tendenziell um unverbindliche Anweisungen handle und nicht um verbindliche Normen.

Zertifizierungsverfahren bergen grossen Aufwand

Mit Blick auf kritische Infrastrukturen heisst es im Bericht, es gebe aktuell nur wenige verbindliche Vorgaben zur Anwendung von Standards im Zusammenhang mit der Produktesicherheit und dem SCRM. Rechtliche Vorgaben zu schaffen, wäre denkbar, ebenso die Schaffung von Vorgaben zur Sicherheit der IT-Produkte selbst.
Allerdings müsse man bedenken, dass solche Vorgaben oft zu sehr aufwändigen Zertifizierungsverfahren führen. "Zertifizierungen durchzuführen und aktuell zu halten ist wegen der Komplexität vieler IKT-Systeme und den häufigen Updates, die bei solchen Systemen durchgeführt werden, für die Hersteller und die Einkäufer mit einem hohen Zeit- und Kostenaufwand verbunden", heisst es im Bericht.
Zudem wird auf die Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) verwiesen. Im Rahmen der Umsetzung prüfe der Bundesrat, in welchen Bereichen Regulierungsbedarf bestehe. Ganz generell sei auch zu prüfen, wie die Kapazitäten zur Analyse von Produkten und den Produktionsprozessen verbessert werden könnten. Dies entspreche auch einer Forderung, die ICTswitzerland im Whitepaper "Supply Chain Security" erhoben habe.

Loading

Mehr zum Thema

image

Glarus hoch3 ist bald Geschichte – die Migration läuft schon

Die Tage der IT-Firma der Glarner Gemeinden sind gezählt, sie wird auf Anfang 2023 in der kantonalen Informatik aufgehen. Entlassungen gibt es nicht.

publiziert am 12.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

BIT bricht Ausschreibung für schweizweite IKT-Stores ab

Kein externer Dienstleister hat eine Offerte eingereicht. Auf die heutigen Supportleistungen habe der Abbruch aber keine Auswirkung, erklärt uns das Bundesamt.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022