Ziel: Selbstbefähigung

Beschreibung

Um sich vor Cyberbedrohungen zu schützen, braucht die Schweiz ausreichend fachspezifisches Personal. Zugleich muss gewährleistet sein, dass die Bevölkerung über die Grundkompetenzen für den Umgang mit digitalen Technologien und Dienstleistungen verfügt. Die entsprechenden Fähigkeiten sollen durch die bestehenden Bildungs- und Forschungsinstitutionen bereichsübergreifend aufgebaut, vermittelt und weiterentwickelt werden.

Bildung, Forschung und Innovation braucht es aber nicht nur zur Stärkung des Schutzes vor Cyberbedrohungen, sie sollen vielmehr direkt zum Erfolg des Wirtschaftsstandorts Schweiz beitragen. Die Schweiz will ihre gute Ausgangslage als neutrales Land mit einem hohen Ausbildungsstandard und einem starken Innovationssystem nutzen, um zu den weltweit führenden Standorten für Dienstleistungen und Produkte im Bereich der Cybersicherheit zu gehören. 

Ausgangslage und Handlungsbedarf

Die Schweiz verfügt über ein leistungsfähiges Netzwerk an Ausbildungs- und Forschungsinstitutionen. Es wurden in den letzten Jahren verschiedene Ausbildungsmöglichkeiten mit Bezug zu Cyberrisiken aufgebaut. Der hohe Bedarf der Wirtschaft an Fachleuten für Cybersicherheit kann jedoch noch nicht ausreichend gedeckt werden und die Vermittlung von Kompetenzen im Bereich Cybersicherheit findet noch nicht durchgehend über alle Ausbildungsstufen (obligatorische Schule, Sekundarstufe II und Tertiärstufe sowie Weiterbildung) statt.

In der Schweiz hat sich in den letzten Jahren eine beachtliche Start-up-Szene im Bereich der Cybersicherheit entwickelt und verschiedene wichtige Akteure haben Niederlassungen in der Schweiz eröffnet. Ein Vergleich mit international führenden Regionen und mit der Innovationsfähigkeit der Schweiz in anderen Bereichen macht aber deutlich, dass die Rahmenbedingungen für Innovationen in der Cybersicherheit weiter verbessert werden müssen.  

Schwerpunkte

• Bildung:
  Die Aus- und Weiterbildung zur Cybersicherheit soll auf allen Stufen gefördert werden. Während in der obligatorischen Schulzeit vor allem grundlegende Kompetenzen vermittelt werden sollen, braucht es für die Berufsbildung (Grundbildung und höhere Berufsbildung), die Hochschulbildung sowie die Weiterbildung gezielte, auf die Bedürfnisse des Arbeitsmarkts zugeschnittene Angebote. Bei der Förderung der Bildung zur Cybersicherheit werden die bewährten Instrumente der Schweizer Bildungspolitik genutzt. Die Lehrpersonen werden mit geeigneten Lehrmitteln und durch Fachspezialistinnen und Fachspezialisten bei der Vermittlung der Kompetenzen zur Cybersicherheit unterstützt und die Koordination unter den Bildungsinstitutionen wird gefördert. Für Fachpersonen (z. B. kritische Infrastrukturen) sollen verstärkt spezifische Trainings und Ausbildungsgänge in der Schweiz angeboten werden. 
• Forschung:
  Die Forschung zur Cybersicherheit wird über die bestehenden Mittel der Forschungspolitik gefördert. Der Einfluss der exzellenten Forschung der Schweiz auf Politik, Wirtschaft und Gesellschaft muss ausgebaut werden. Dazu ist eine verstärkte Koordination der Forschenden der verschiedenen Disziplinen der Cybersicherheit nötig, damit gemeinsame Empfehlungen erarbeitet und kommuniziert werden können. 
• Innovation:
  Ein ideales Umfeld für Innovationen entsteht durch die Vernetzung von Akteuren. Der Austausch zwischen Hochschulen, Unternehmen und Behörden soll weiter ausgebaut werden. Die zuständigen Bundesstellen fördern im Rahmen der rechtlichen Möglichkeiten den Einbezug von Expertinnen und Experten in die Cybersicherheit über die bereits existierenden Innovation Fellowships und ähnliche Programme. 

Zentrale Akteure

• Bund:
  CYD Campus, NCSC, SBFI
• Kantone: 
  KKJPD, SPI, EDK, SHK
• Hochschulen:
• Alle Schweizer Hochschulen, SSCC, swissuniversities, ETH-Rat
• Wirtschaft / Gesellschaft:
  Berufsbildung Schweiz, IKT-Verbände, Innosuisse, SATW 

Beschreibung

Damit die Schweizer Bevölkerung elektronische und digitale Produkte und Dienstleistungen risikobewusst nutzen kann, braucht es Sensibilisierungsmassnahmen. Ziel ist es, flächendeckend ein hohes Bewusstsein für die Cybersicherheit zu schaffen und Instrumente bereit zu stellen, die den eigenverantwortlichen Umgang mit digitalen Technologien und Dienstleistungen fördern. Dazu gehört auch das datenschutzrechtliche Ziel, dass Einzelpersonen die Kontrolle über ihre persönlichen Daten behalten und Unternehmen und Organisationen ihre Datenbearbeitungsmethoden transparent machen.
Insgesamt soll über die Sensibilisierung die Resilienz der Gesellschaft gegenüber Cyberrisiken gestärkt werden. 

Ausgangslage und Handlungsbedarf

Die Sensibilisierung für die Cybersicherheit steht in zahlreichen Schweizer Institutionen, Unternehmen und Organisationen auf der Agenda, immer mit dem Ziel, Unternehmen und Private widerstandsfähig gegen Cyberrisiken zu machen. Es braucht jedoch eine verstärkte Koordination und Bündelung der laufenden und geplanten Anstrengungen, denn es gilt, möglichst zielgruppengerecht und nach Betroffenheit zu sensibilisieren. Aus diesem Grund müssen die Zielgruppen definiert und der Bedarf an Massnahmen dort erhoben werden, wo die grösste Nähe zu den Zielgruppen besteht. Die Botschaften müssen unter den Absendern abgestimmt werden, um durch eine abgeglichene Kommunikation das Verständnis der Empfänger für die zuweilen komplexe Materie zu fördern.

Viele Kompetenzen zur Ansprache bestimmter Zielgruppen existieren bereits. Aus diesem Grund sollen bestehende Gremien und Organisationen sowie ihre Kanäle zur Vermittlung der Massnahmen wie bis anhin weiter genutzt werden (z. B. über Veranstaltungen und Fachzeitschriften von Verbänden, Interessensgruppen, Dachorganisationen).  

Schwerpunkte

• Bedarfserhebung:
  Der Sensibilisierungs- und Präventionsbedarf in den unterschiedlichen Bereichen wird kontinuierlich geprüft. Als Grundlage dafür dienen aktuelle Vorfälle, die Entwicklung der Bedrohungslage sowie die Einschätzungen der Behörden, Unternehmen und Wirtschaftsverbände zum Sensibilisierungsbedarf in ihren Bereichen. 
• Übersicht und Koordination:
  Die in der Sensibilisierung tätigen Akteure sind bekannt und der Austausch unter ihnen wird gezielt gefördert.
  
• Messung:
  Die Aufwände und Wirkungen der Sensibilisierungsmassnahmen werden erhoben, um ihren Erfolg zu ermitteln und sie optimieren zu können. 

Zentrale Akteure

• Bund:
  NCSC, BABS, BAKOM, BAV, BAZL, BFE, BSV, BWL, EDÖB,  NDB
• Kantone:
  Gemeinden und Städte, kantonale Kompetenzzentren für Cybersicherheit, Kantonale Polizeikorps, KKJPD, SKP
• Wirtschaft / Gesellschaft:
  Alle interessierten Branchen- und Wirtschaftsverbände, Vereine, NGO und Einzelfirmen werden wo sinnvoll in die Kampagnen einbezogen. 

Beschreibung

Für die Beurteilung der Bedrohungslage muss festgestellt werden, welche Akteure welche Angriffsvektoren und Schwachstellen ausnutzen oder ausnutzen könnten. Dabei wird auch eine Gewichtung der Bedrohungen vorgenommen. Daraus resultiert dann eine Einschätzung zur Bedrohungslage, auf deren Grundlage Wirtschaft, Gesellschaft und Verwaltung ihre risikominimierenden Massnahmen möglichst kosteneffizient und zielgerichtet identifizieren und umsetzen können. Die Bedrohungslage soll somit nicht nur grundlegende und breitenwirksame, sondern auch geschäfts- und prozessspezifische Bedrohungen aufzeigen.

Ausgangslage und Handlungsbedarf

Die Schweiz verfügt bereits über periodisch nachgeführte, taktische, operative und strategische Darstellungen der Bedrohungslage im Cyberbereich. Diese speisen sich aus der Beobachtung von Bedrohungsakteuren und deren tatsächlichen und potenziellen Möglichkeiten sowie aus Informationen zu den durch Cybervorfälle verursachten Schäden oder Ausfälle.

Aufgrund der zunehmenden Digitalisierung von Prozessen in verschiedenen Wirtschaftssektoren steigt der Bedarf nach spezifischen, auf diese Sektoren ausgerichtete Einschätzungen zur Bedrohungslage. Diesem Bedarf soll über eine adressatengerechte Aufarbeitung der bedrohungsrelevanten Information entgegengekommen werden. Bedrohungsrelevante Informationen sollen Unternehmen und übrigen Organisationen bedarfsgerecht vermittelt werden. 

Schwerpunkte

• Weiterentwicklung der Lageverfolgung mit Fokus auf die Akteure, von denen eine Bedrohung für die Schweiz auf taktischer, operativer und strategischer Ebene ausgeht.
• Weiterentwicklung der Einschätzung und Aufbereitung lagerelevanter Informationen. Stufengerechte Zurverfügungstellung für Wirtschaft, Gesellschaft und Verwaltung.
• Unterstützung des Aufbaus von sektorspezifischen Informationsaustausch- und Analysezentren (ISACs) sowie Etablierung einer engen Zusammenarbeit zur Beurteilung der spezifischen Bedrohungslagen.

Zentrale Akteure

• Bund:
  NDB, NCSC
• Kantone:
  Kantonale Polizeikorps, kantonale Kompetenzzentren für die Cybersicherheit, Informatikämter, NEDIK
• Wirtschaft / Gesellschaft:
  CERTs/SOCs der Wirtschaft, ISACs, Sicherheitsdienstleister, SWITCH

Beschreibung

Für die Schweiz ist es von grosser Bedeutung zu verstehen, wie gross die Abhängigkeit von digitalen Technologien ist, wie sie sich entwickelt und welche Risiken sie mit sich bringt. Weil sich digitale Technologien dynamisch entwickeln, ist dabei wichtig, neue Entwicklungen frühzeitig zu erkennen und deren Auswirkungen auf die Sicherheit zu verstehen. Dies soll dazu beitragen, die Schweiz als Wirtschaftsstandort zu stärken; als Standort, an dem sichere digitale Technologien und Dienstleistungen angewendet und selber entwickelt werden. 

Ein weiterer Analysebedarf entsteht dadurch, dass digitale Schlüsseltechnologien heute mehrheitlich im Ausland hergestellt werden. Es ist für die Schweiz wichtig zu verstehen, welche Abhängigkeiten von diesen Herstellern bestehen und welche Risiken damit verbunden sind. Die Schweiz muss Entscheidungen über den Einsatz von digitalen Technologien und Dienstleistungen treffen können, welche auf eigenständigen, unabhängigen Analysen und Einschätzungen beruhen.

Ausgangslage und Handlungsbedarf

Das Technologiemonitoring in Bezug auf die Cybersicherheit wird durch den Cyber Defence Campus in enger Zusammenarbeit mit den Hochschulen und der Wirtschaft durchgeführt. Die Schweizerischen Akademien der Wissenschaften haben den Auftrag, Chancen und Risiken von neuen Technologien zu beurteilen.

Deutlich weniger weit ist die Schweiz bei der systematischen Analyse der Abhängigkeiten und Risiken mit Bezug zu IKT-Produkten. Mit dem Nationalen Testinstitut für Cybersicherheit (NTC) ist ein Zentrum im Aufbau, welches die Kapazitäten erhalten soll, IKT-Produkte vertieft auf ihre Angriffsoberfläche hin zu untersuchen. Dieses ergänzt und verstärkt die heute beim CYD Campus vorhandenen Fähigkeiten und die vermehrt auch bei privaten Sicherheitsdienstleistern aufgebauten Fähigkeiten. Solche Fähigkeiten sind eine Voraussetzung für eine unabhängige Einschätzung der Sicherheit von Produkten, welche zum Beispiel bei kritischen Infrastrukturen eingesetzt werden.

Ebenfalls weiteres Potenzial besteht in der systematischen Auswertung von Vorfällen. Solche können dazu beitragen, besser zu verstehen, wer von welchen Angriffen betroffen ist und wie solche in Zukunft verhindert werden könnten.

Dazu braucht es einen etablierten Informationsaustausch zwischen Behörden, Sicherheitsdienstleistern und Hochschulen und die Bereitschaft betroffener Unternehmen, transparent über Vorfälle und deren Auswirkungen zu informieren.

Schwerpunkte

• Monitoring von neuen Technologien:
  Der CYD Campus antizipiert zusammen mit den Hochschulen die technologischen Cyberentwicklungen und stellt die Erkenntnisse dieses Monitorings den relevanten Akteuren zur Verfügung.
  Cyber-Defence Campus:
  Überwachung von Cyber-Trends gewinnt bei armasuisse an Bedeutung
  
• Ausbau von Kompetenzen für die Untersuchung von Cybervorfällen:
  Die Ursachen und Abläufe von Cybervorfällen sollen genauer untersucht und Erkenntnisse aus diesen Untersuchungen systematisch aufbereitet und charakterisiert werden. Zu diesem Zweck wird der Datenaustausch zwischen Behörden, Versicherern und Sicherheitsdienstleistern im Rahmen der rechtlichen Möglichkeiten gefördert. Die Untersuchungen sind für Betroffene freiwillig und sollen helfen, aus Cybervorfällen zu lernen.
• Für die Prüfung von IKT-Produkten und digitalen Netzwerken wird auf Testzentren in der Schweiz wie das Nationale Testinstitut für Cybersicherheit NTC oder auf Anbieter von Schwachstellenanalysen und Penetrationstests verwiesen. Mit dem Ausbau des NTC für Cybersicherheit werden so in Zusammenarbeit mit den Hochschulen und der Privatwirtschaft sowie internationalen Partnern die Fähigkeiten und Prüfkapazitäten in der Schweiz für die unabhängige Analyse von Risiken in IKT-Produkten gestärkt. Der CYD Campus stärkt seine Fähigkeiten für solche Analysen bei der Beschaffungsvorbereitung und Beschaffung von sicherheitskritischen IKT-Produkten für den Bund ebenfalls weiter.
• Der Ausbau des Nationalen Testzentrums für Cybersicherheit wird vorangetrieben. In Zusammenarbeit mit den Hochschulen und der Privatwirtschaft werden so Fähigkeiten für die unabhängige Analyse von Risiken in IKT-Produkten geschaffen. 
• Abhängigkeiten:
  Es wird analysiert, welche Abhängigkeiten von welchen Pro­dukten und welchen Zulieferern in der Schweiz wie ausgeprägt sind. Unter­nehmen, Hochschulen und Behörden legen dabei gemeinsam fest, wie diese Analysen durchgeführt und laufend aktualisiert werden können. 
• Monitoring von KI-Anwendungen in kritischen Infrastrukturen:
  Um die Fähigkeiten dieser Anwendungen und deren Auswirkungen auf die Gesellschaft besser zu verstehen, soll ihr Einsatz im Auftrag von Bund und Kantonen regelmässig überprüft werden.
• Stärkung des Austausches zwischen den Forschungsstellen:
  Der bestehende Austausch im Rahmen des CYD Campus, den Hochschulen und der SATW wird weiter ausgebaut und untereinander koordiniert.

Zentrale Akteure

• Bund:
  CYD Campus, NCSC, DTI, NDB
• Hochschulen: SSCC
• Wirtschaft / Gesellschaft:
  NTC, SATW, Sicherheitsdienstleister