Bundesamt für Cybersicherheit Schweiz
Der Bericht des Bundesrates zu Produktesicherheit und Supply Chain Risk Management in den Bereichen Cybersicherheit und Cyberdefence befasst sich mit den Herausforderungen und Maßnahmen zur Verbesserung der Cybersicherheit, insbesondere in Bezug auf die Beschaffung und Nutzung von Informations- und Kommunikationstechnologien (IKT). Der Bericht wurde in Erfüllung der Postulate 19.3135 und 19.3136 erstellt, die die Sicherheit bei der Beschaffung der Schweizer Armee sowie die Überwachung der Hard- und Softwarekomponenten in kritischen Infrastrukturen thematisieren.
- Einleitung
In der Einleitung wird die Notwendigkeit betont, die Cybersicherheit in der digitalen Vernetzung zu stärken. IKT sind unerlässlich für die Funktionsfähigkeit der Gesellschaft, bringen jedoch auch erhebliche Cyberrisiken mit sich. Die bestehenden Sicherheitslücken in IKT-Produkten sind ein zentrales Problem, da sie die Sicherheitsvorkehrungen gefährden. Der Bericht hebt die Relevanz von Standards hervor, die helfen können, die Produktesicherheit zu verbessern und Cyberrisiken zu mindern.
- Standards zur Produktesicherheit und zum SCRM
Der Bericht analysiert verschiedene Standards zur Produktesicherheit und zum Supply Chain Risk Management (SCRM).
- Verbindlichkeit von Standards: Standards sind in der Regel nicht rechtlich bindend, es sei denn, sie sind in Gesetzen verankert oder Teil von vertraglichen Vereinbarungen. Dennoch spielen sie eine entscheidende Rolle bei der Definition von Qualitätskriterien und der Förderung von Cybersicherheit.
- Standards zur Produktesicherheit: Zu den wichtigsten Standards zählen das NIST Cybersecurity Framework, ISO/IEC 27001, die Common Criteria und BSI Standards. Diese Standards helfen dabei, die Sicherheitsanforderungen für IKT-Produkte festzulegen und deren sichere Anwendung zu gewährleisten.
- Standards für das SCRM: Im Bereich des SCRM sind weniger verbindliche Standards etabliert. Es gibt jedoch relevante Richtlinien, wie das NIST Special Publication 800-161, die Strategien zur Identifizierung und Minderung von Lieferkettenrisiken bieten.
- Rechtsrahmen für die Anwendung der Standards
Der rechtliche Rahmen für die Anwendung von Standards ist entscheidend, um einheitliche Sicherheitsvorkehrungen zu gewährleisten. Das Informationssicherheitsgesetz (ISG) stellt sicher, dass die Bundesverwaltung und kritische Infrastrukturen einen Mindeststandard für die Informationssicherheit einhalten. Das ISG fördert die Zusammenarbeit zwischen Bund, Kantonen und der Privatwirtschaft, um den Cybergefahren effektiv zu begegnen. Weitere relevante Gesetze, wie das Datenschutzgesetz und die Cyberrisikenverordnung, schaffen die Grundlagen für die Sicherheitsmaßnahmen bei der Anwendung von IKT.
- Anwendung der Standards in der Bundesverwaltung
Die Sicherheitsvorkehrungen in der Bundesverwaltung und der Armee sind von höchster Bedeutung. Der Bericht zeigt auf, dass es zahlreiche Vorgaben zur Anwendung von Standards gibt, die sich an internationalen Standards orientieren.
- Sicherheitsverfahren: Die Bundesverwaltung hat ein mehrstufiges Sicherheitsverfahren implementiert, das von einer Schutzbedarfsanalyse bis hin zu spezifischen Sicherheitsmaßnahmen reicht. Dabei wird die Sicherheitslage kontinuierlich bewertet und angepasst.
- Prüfung kryptographischer Produkte: Kryptographische Produkte sind besonders sensibel und erfordern umfassende Prüfungen durch Fachstellen wie armasuisse, um deren Sicherheit zu gewährleisten.
- Schwachstellenanalysen: Das Nationale Zentrum für Cybersicherheit (NCSC) spielt eine zentrale Rolle bei der Identifikation und Analyse von Schwachstellen in der Bundesverwaltung.
- Fazit und Ausblick
Der Bericht kommt zu dem Schluss, dass die bestehenden Sicherheitsstandards und Maßnahmen zwar Fortschritte gezeigt haben, jedoch eine stärkere Verbindlichkeit und umfassendere Anwendung erforderlich sind, insbesondere im Bereich des SCRM. Es wird empfohlen, neue rechtlich bindende Vorgaben für kritische Infrastrukturen zu schaffen, um die Anwendung von Sicherheitsstandards zu fördern und die Cyberrisiken zu minimieren. Zudem sollten Betreiber kritischer Infrastrukturen dazu angehalten werden, klare Richtlinien für den Umgang mit IKT-Produkten zu entwickeln und umzusetzen.
Insgesamt ist die Verbesserung der Produktesicherheit und des Supply Chain Risk Managements in der Schweiz von entscheidender Bedeutung, um die Cyberresilienz zu stärken und die nationale Sicherheit zu gewährleisten. Der Bericht betont die Notwendigkeit einer kontinuierlichen Überprüfung und Anpassung der Sicherheitsstandards, um den sich ständig ändernden Bedrohungen im digitalen Raum gerecht zu werden.
