Um die Sicherheit von digitalen Dienstleistungen und Infrastrukturen zu gewährleisten, sind Massnahmen auf verschiedenen Ebenen nötig. Wichtig ist, dass Verwundbarkeiten in den Dienstleistungen und Infrastrukturen frühzeitig erkannt und behoben werden und neue Dienstleistungen und Infrastrukturen so entwickelt werden, dass sie von Anfang an möglichst wenig Schwachstellen aufweisen. Neben der Erkennung und Behebung von Schwachstellen ist das Resilienzmanagement von entscheidender Bedeutung. Basierend auf Risiko- und Verwundbarkeitsanalysen muss festgelegt werden, welche technischen und organisatorischen Massnahmen umgesetzt werden um die Resilienz der Dienstleistungen und Infrastrukturen zu erhöhen. Dazu gehört es auch zu prüfen, in welchen Bereichen über Standards oder Regulierungen Vorgaben gemacht werden müssen. Schliesslich gilt es für die Behörden, ihre eigenen Dienstleistungen gegenüber Cyberbedrohungen zu schützen.
Die Schweiz setzt flächendeckend Massnahmen zur Stärkung der Cyberresilienz um. Bund und Kantone schaffen die nötigen Rahmenbedingungen dafür, dass ein hohes Schutzniveau gewährleistet ist, sichere digitale Infrastrukturen, Produkte und Dienstleistungen eingesetzt werden und die Risikobereitschaft bewusst gesteuert wird.
Massnahmen
Beschreibung
Der Einsatz von digitalen Technologien führt zu Prozessautomatisierungen und Vernetzungen. Daraus entstehen komplexe Systeme, die potenziell eine grosse Angriffsfläche aufweisen. Diese Komplexität in Kombination mit dem oft hohen Kosten- und Zeitdruck bei der Entwicklung und Anwendung solcher Technologien erhöhen das Risiko von Schwachstellen in den Systemen. Für die Cybersicherheit ist es von essenzieller Bedeutung, dass die Entstehung solcher Schwachstellen wo immer möglich verhindert wird und bestehende Schwachstellen rechtzeitig erkannt und rasch behoben werden. Wichtig ist, dass Schwachstellen erst dann veröffentlicht werden, wenn Gegenmassnahmen identifiziert und umgesetzt wurden («Coordinated Vulnerability Disclosure»), da die Veröffentlichung sonst die Angreifenden stärkt.
Ausgangslage und Handlungsbedarf
In der Schweiz ist viel Fachwissen vorhanden, um Schwachstellen zu identifizieren und Ursachen zu analysieren. Das Potenzial wird aber noch zu wenig genutzt. Es bestehen für Sicherheitsforschende zu wenige Anreize, Schwachstellen zu suchen und zu melden, und es fehlt an einer nationalen Koordination bei der Schwachstellenanalyse. Wichtig ist zudem eine enge Zusammenarbeit mit Fachstellen anderer Länder und internationaler Organisationen. Voraussetzung für ein effektiveres Schwachstellenmanagement ist die Schaffung von Rechtsgrundlagen für die Untersuchung, Meldung und die Veröffentlichung von Schwachstellen.
Schliesslich ist darauf hinzuwirken, dass Sicherheitslücken zügig kommuniziert und auch geschlossen werden. Zu viele Unternehmen und Organisationen bleiben verwundbar, weil sie Schwachstellen nicht beheben, obwohl für diese längst Lösungen (Patches) vorhanden wären.
Schwerpunkte
- Ethisches Hacking institutionalisieren:
Bug-Bounty- und Public-Trust-Programme werden durchgeführt. Das ethische Hacking wird gefördert, indem die Rechtssicherheit für ethische Hacker verbessert wird. - Coordinated Vulnerability Disclosure:
Um Sicherheit und Vertrauen durch Transparenz zu schaffen, wird ein koordiniertes Vorgehen bei der Entdeckung von Schwachstellen gefördert. Dazu werden, Richtlinien definiert und verbreitet und Anreize für das Melden von Schwachstellen geschaffen. - Schwachstellenkommunikation zentralisieren:
Das NCSC wird als zentrale Drehscheibe für die Koordination und Publikation von Meldungen zu Schwachstellen positioniert und verbreitet Informationen und Warnungen zu neuen Schwachstellen sowie zu technischen und organisatorischen Lösungen für deren Behebung. - Automatisierte Schwachstellenerkennung:
Es werden Lösungen zur automatisierten Schwachstellenerkennung und Behebung entwickelt und eingesetzt. - Software-Ökosystem:
Die sichere Software-Entwicklung (insbesondere im Bereich der Open Source Software) wird durch die Zusammenarbeit mit Organisationen und Initiativen in diesem Bereich unterstützt. Ziel ist die Schaffung von Anreizen für eine frühzeitige Berücksichtigung der Sicherheit bei der Entwicklung von Software. Bei der Entwicklung von IKT-Komponenten sollen formal verifizierbare Sicherheitseigenschaften definiert werden. - Cybersicherheit bei drahtlosen, mit dem Internet verbundenen Geräten:
Die Anforderungen der revidierten Verordnung über Fernmeldeanlagen müssen durch eine effektive Marktüberwachung durchgesetzt werden.
Zentrale Akteure
- Bund:
BAKOM, CYD Campus, NCSC - Kantone:
Informatikämter, Kantonale Kompetenzzentren für die Cybersicherheit - Hochschulen:
Forschungsinstitute zur IKT-Sicherheit - Wirtschaft / Gesellschaft:
Allianz Digitale Sicherheit Schweiz, NTC, Sicherheitsfirmen
Beschreibung
Um sich vor Cyberbedrohungen zu schützen, bestehen eine Vielzahl von technischen und organisatorischen Massnahmen. Nach wie vor gilt, dass der Grossteil von Cybervorfällen durch eine konsequente Umsetzung grundlegender Massnahmen (Grundschutz) verhindert werden könnte. Grundlage für die Entscheide über die richtigen Massnahmen sind fundierte Analysen über die Risikoexposition gegenüber Cyberbedrohungen. Wenn verstanden wird, wie sich diese Risiken in den einzelnen Sektoren manifestieren, können Massnahmen zur Verbesserung der Resilienz festgelegt werden.
Die Massnahmen orientieren sich dabei an internationalen Standards. Diese sind ein wichtiges Instrument zur Umsetzung von Schutzmassnahmen. Die Einhaltung von Standards kann über verschiedene Wege gefördert werden. Neben der Möglichkeit, Standards über regulative Massnahmen für verbindlich zu erklären, sollen vor allem Anreize zu ihrer Umsetzung geschaffen werden. Ein starker Anreiz kann dabei durch Transparenz gesetzt werden, indem über Labels ausgewiesen wird, wer welche Standards einhält. Durch diese Transparenz führen Investitionen in die Cybersicherheit in mehr Vertrauen bei den Kunden.
Ausgangslage und Handlungsbedarf
Risiko- und Verwundbarkeitsanalysen der kritischen Sektoren waren bereits Bestandteil der ersten beiden Cyberstrategien. Die vorhandenen Einschätzungen und die identifizierten Resilienzmassnahmen müssen für alle kritischen Sektoren regelmässig überprüft und angepasst werden.
Es bestehen auch bereits gut etablierte, internationale Standards zur Cybersicherheit, die auch in der Schweiz angewendet werden. Das BWL hat in Zusammenarbeit mit der Wirtschaft und den Fachämtern einen IKT-Minimalstandard erarbeitet und daraus Branchenstandards abgeleitet. Verbindlich vorgeschrieben ist die Einhaltung dieser Standards meist nicht. Das neue Datenschutzgesetz, welches im September 2023 in Kraft tritt, führt jedoch Mindestanforderungen an die Datensicherheit bei der Bearbeitung von Personendaten ein. Zusätzlich wird in verschiedenen Sektoren geprüft, welche Standards für welche Organisationen verbindlich eingeführt werden sollen.
Neben den branchenspezifischen Standards sind auch technologiespezifische Standards wichtig. Sicherheitsstandards für die Anwendung von Cloud-Computing oder für IoT spielen eine wichtige Rolle bei der Gewährleistung der Sicherheit bei neuen technologischen Anwendungen. Die Schweiz hat mit der Verordnung des BAKOM über Fernmeldeanlagen bereits Vorgaben zur Sicherheit von drahtlosen, mit dem Internet verbundenen Geräte erlassen. Sie prüft nun, welche Vorgaben im Bereich des Cloud-Computings nötig sind.
Der Bedarf an der Prüfung und Erarbeitung von rechtlichen Grundlagen beschränkt sich jedoch nicht auf die Frage, ob Standards verbindlich eingeführt werden sollen. Ein Beispiel dafür ist die bereits verabschiedete Vorlage zur Einführung einer Meldepflicht bei Cyberangriffen. Es muss laufend geprüft werden, wo ein allfälliger weiterer Bedarf für Rechtsgrundlagen besteht.
Schwerpunkte
- Die bestehenden Risiko- und Verwundbarkeitsanalysen in den kritischen Teilsektoren werden bedarfsgerecht durch das BABS und die zuständigen Fachämter aktualisiert. Die identifizierten Risiken werden als Teil eines Resilienzmanagements mit geeigneten Handlungsfeldern und Massnahmen zur Verbesserung der Resilienz adressiert. Die Umsetzung der Massnahmen wird regelmässig geprüft und der Austausch über Risiken, Verwundbarkeiten und Resilienzmassnahmen zwischen Bund, Kantonen gefördert
- Die Verbreitung der Einhaltung von Standards wird gefördert. Insbesondere soll die Anwendung von Standards bei KMU und Gemeinden gestärkt werden, indem einfache Hilfsmittel zur Verfügung gestellt werden. Bei öffentlichen Beschaffungen ist zudem die Einhaltung von IKT-Sicherheitsstandards zu verlangen und zu überprüfen.
- Förderung der Verbreitung der bestehenden Labels: In der Schweiz wurden erfolgreich Labels für die Cybersicherheit eingeführt. Wichtig ist, dass diese Labels untereinander national und international koordiniert werden. Die Anwendung der bestehenden Labels soll deshalb mittels Erfahrungsaustausches zwischen den Labels unterstützt werden.
- Es wird geprüft, ob und wie die Verantwortung der Unternehmen für den eigenen Schutz vor Cybervorfällen über rechtliche Vorgaben gestärkt werden kann. Dabei sollen wirksame Regelungen statt detaillierter operativer Vorgaben angestrebt werden. Regelungen müssen zudem sektorübergreifend abgeglichen werden, um Disparitäten zwischen allfälligen Vorgaben möglichst gering zu halten.
- Die Notwendigkeit von sektorspezifischen Regulierungen wird geprüft und wo nötig werden entsprechende Vorlagen ausgearbeitet.
- Die Pflicht zur Meldung von Cyberangriffen auf kritische Infrastrukturen ist bereits in Prüfung. Bei einem Beschluss wird die Umsetzung in enger Zusammenarbeit mit den Betroffenen angegangen.
Zentrale Akteure
- Bund:
BABS, BAKOM, BAV, BAZL, BFE, NCSC, BWL, EDÖB - Kantone:
Kantonale Kompetenzzentren für Cybersicherheit - Hochschulen: SSCC
- Wirtschaft / Gesellschaft:
cyber-safe.ch, ITSec4KMU, Normungsorganisationen, NTC, Sicherheitsdienstleister, Verbände der betroffenen Wirtschaftssektoren, Versicherungen
Beschreibung
Die Cybersicherheit ist für Behörden auf allen Staatsebenen zu einer zentralen Herausforderung geworden. Digitale Behördendienstleistungen müssen eine hohe Sicherheit aufweisen. Während Angriffe zum Zweck der Spionage seit Jahren zu den relevanten Cyberbedrohungen gehören, haben in jüngerer Zeit auch Angriffe von Kriminellen auf Behörden zugenommen. Diese erpressen beispielsweise Behörden mit der Verschlüsselung und der Veröffentlichung von Behördendaten. Dieser Herausforderung muss auf allen Staatsebenen entgegengetreten werden.
Ausgangslage und Handlungsbedarf
Die eigene Cybersicherheit liegt in der Verantwortung der jeweiligen Behörde. Das Informationssicherheitsgesetz (ISG) legt den Rahmen und die Verfahren für die Sicherheitsmassnahmen im Bund fest und hat für die Kantone dann Gültigkeit, wenn diese auf die Informatikmittel des Bundes zugreifen oder klassifizierte Informationen des Bundes bearbeiten.
Es ist eine grosse Herausforderung, die Cybersicherheit in allen föderalen Strukturen sicherzustellen. Da es an Fachpersonal und oft auch an finanziellen Ressourcen fehlt, ist die Zusammenarbeit zwischen Behörden aller Stufen wichtig. Die nötigen Gefässe für die Kooperation bestehen, es bleibt aber noch viel Potenzial für eine stärkere operative Zusammenarbeit. Zu klären ist dabei, wie stark der Bund in welchen Fällen die Kantone, Städte und Gemeinden unterstützen kann.
Schwerpunkte
- Umsetzung des Informationssicherheitsgesetzes innerhalb der Bundesverwaltung.
- Förderung des Informationsaustausches zur Cybersicherheit innerhalb der Bundesverwaltung, insbesondere zwischen dem NCSC und den Fachämtern.
- Stärkung der Zusammenarbeit zwischen Bund und Kantonen.
- Klärung der Unterstützung des Bundes zu Gunsten der Kantone, Städte und der Gemeinden.
- Klärung der Unterstützung der Kantone für ihre Gemeinden.
- Förderung des Austausches mit internationalen Behörden.
Zentrale Akteure
- Bund und Kantone:
SVS, DTI, DVS, kantonale Kompetenzzentren für die Cybersicherheit, Armee, kommunale Organisationen (z. B. Gemeindeverband, Städteverband), NCSC.
Letzte Änderung 09.04.2023
