Cyber-Risiken: Bundesrat prüft Einführung von ICT-Mindeststandards

19. April 2018, 14:48
  • politik & wirtschaft
  • bundesrat
  • cybercrime
image

In einer neuen Nationalen Strategie zum Schutz vor Cyber-Risiken, sagt die Regierung wer das Schlimmste wie verhindern soll.

In einer neuen Nationalen Strategie zum Schutz vor Cyber-Risiken, sagt die Regierung wer das Schlimmste wie verhindern soll.
Die Schweiz hat eine neue Strategie, wie sich das Land vor Cyber-Risiken schützen will, der Bundesrat hat sie heute verabschiedet.
Das 33-seitige Dokument beschreibt Ziele und Massnahmen, die man zwischen 2018 und 2022 in den Griff kriegen will. Dabei, so der Disclaimer auf Seite 22, gebe es "keinen vollständigen Schutz gegen Cyber-Vorfälle". Zudem müsse man mit "einer zunehmenden Anzahl gezielter Angriffe rechnen". Bei der Formulierung der neuen Strategie kann der Bund auf den Resultaten der ersten Version aufbauen, die von 2012 bis 2017 gesammelt wurden und auf Input von Behörden, Hochschulen und der Wirtschaft.
Zu den erkannten Risiken gehören Cyber-Kriminalität, Cyber-Sabotage und -Terrorismus, Desinformation und Propaganda sowie Cyber-Schlachten in "traditionellen" Konflikten. Aber auch menschliche Fehler und technische Ausfälle sind nicht ausser Acht zu lassen, so das Dokument.
Nun muss man weiteres Wissen sammeln, die Abwehrorganisation weiterentwickeln, sich national und international vernetzen und auch umsetzen, was man geplant hat. Bei allem will der Bundesrat nicht für den Schutz der Schweiz verantwortlich sein, im Gegenteil: Das "bedeutet, dass der Staat erst dann eingreift, wenn das Wohlergehen unserer Gesellschaft wesentlich betroffen ist und private Akteure nicht in der Lage oder nicht willens sind, das Problem selbständig zu lösen". Im Lead sind also Kantone, Wirtschaft und Gesellschaft. Firmen kriegen vom Bund "möglichst sichere Bedingungen" und Einwohner der Schweiz kriegen Informationen. Kantone und Gemeinden müssen, beziehungsweise können sich selbst um ihre kritischen Infrastrukturen kümmern.
Resultierend aus der Philosophie "Hilfe zur Selbsthilfe" sind sieben Ziele und 29 Massnahmen in zehn Handlungsfeldern abgeleitet worden. Dabei geht es um Trenderkennung, Resilienz ebenso wie um technologische und juristische Aufräumarbeiten nach einem Vorfall.
Aus dem Massnahmenbündel stechen drei heraus:
Erstens die "Evaluierung und Einführung von Minimalstandards". Einleitend wird festgehalten, ICT-Standardisierungen und -Regulierungen seien "wichtige Instrumente zum Schutz vor Cyber-Risiken". In enger Zusammenarbeit würden bestehende und international gültige Standards verwendet und allenfalls adaptiert, "wo vorhanden", so der Plan. Dabei geht es primär um Governance-Fragen oder um die Netzwerk- und Informationssicherheits-Richtlinie der EU (NIS-Richtlinie).
Inwiefern die Mindeststandards soweit gehen könnten, dass auch Zertifizierungen von Hard- oder Software nach ausländischem Vorbild eingeführt werden, ist nicht erwähnt. Auch wird nicht ausgedeutscht, welche juristische Grundlagen überprüfenswert sind und ob eine Regulierung in Sachen Herstellerhaftung in Frage kommen oder nicht.
Als zweite Massnahme fällt "Prüfung einer Meldepflicht für Cyber-Vorfälle und ein Entscheid über deren Einführung" auf. Eine solche ist umstritten, aber alle Interessierten können sich aktuell noch beruhigen: Die Evaluation "erfolgt unter Einbezug der jeweils zuständigen Behörden, der Privatwirtschaft und der Verbände."
Nicht zuletzt ist geplant, MELANI als Public-Private-Partnership für die Betreiber kritischer Infrastrukturen auszubauen. Doch müsse auch klar definiert werden, "welche Mitglieder des geschlossenen Kundenkreises Anspruch auf welche Dienstleistungen haben."
Auch das VBS soll neue Tools und Kompetenzen erhalten, mit denen man Angriffe auf kritische Infrastrukturen stören, verhindern und verlangsamen könne.
Allerdings ist noch nicht festgehalten, wie der Bund herausfinden will, ob die Ziele auch erreicht werden: "Damit evaluiert werden kann, welcher Umsetzungsfortschritt erzielt wird, müssen für alle Massnahmen messbare Leistungsziele definiert werden", so die Strategie. Sie kann als PDF heruntergeladen werden. (mag)

Loading

Mehr zum Thema

image

Tech-Lieferkette: Nun sorgt auch noch die Hitzewelle für Probleme

Einige Laptop- und Lithium-Produktionsstätten in China könnten zeitweise nicht mehr mit Strom versorgt werden.

publiziert am 16.8.2022
image

Schweizer Kleinunternehmen, die Homeoffice-Müdigkeit und die Security

Kurzfazit einer Studie: Kleinere Unternehmen habens nicht so mit dem Homeoffice. Die Nutzung ist beinahe auf das Vor-Pandemie-Niveau zurückgegangen.

publiziert am 15.8.2022
image

Bundesgericht befasst sich mit der Public-Cloud-Vergabe

Die Beschwerde einer Privatperson gegen den Grossauftrag des Bundes an 5 Hyperscaler geht nach einer Rüge des Bundesgerichts zurück ans Verwaltungsgericht. Gefordert wird der vorläufige Abbruch des Projekts.

publiziert am 15.8.2022
image

SwissID-Zwang bei der Post kommt früher

Statt erst 2023 zwingt die Post die Kundinnen und Kunden früher zum Umstieg auf die SwissID – spätestens in einer Woche ist es so weit.

publiziert am 15.8.2022 3