Wir brauchen eine unabhängige Prüfstelle

Die fortschreitende Digitalisierung hat nicht nur positive Seiten, es entstehen auch laufend neue Risiken. Insbesondere wachsen die kritischen Abhängigkeiten in der Informationstechnologie hinsichtlich des Einsatzes von Hard- und Software sowie IT-nahen Dienstleistungen. Der steigende Vernetzungsgrad von IT-Komponenten führt unweigerlich dazu, dass Angreifer aus der Ferne eine reale Bedrohung mit teils erheblichem Schadenspotenzial für unsere Wirtschaft und Gesellschaft darstellen.

In nahezu jedem Winkel unseres wirtschaftlichen und gesellschaftlichen Lebens hat sich Software ausgebreitet: Milliarden von vernetzten Geräten befinden sich über das Internet im ständigen Austausch, Kampfflugzeuge haben mehr Programmcode als Computer-Betriebssysteme und nahezu alle Organisationen weltweit verlassen sich auf Software, um ihre Kernprozesse zu regeln. Software steuert den Betrieb komplexer Stromerzeuger, medizinischer Komponenten wie Herzschrittmacher und Insulinpumpen sowie sicherheitskritischer Komponenten wie beispielsweise Bremspedale und Lichtsignale.

Software besteht heute aus einer Vielzahl von Komponenten mit teils unbekannten Quellen und wird häufig in sehr kurzen Abständen aktualisiert. Mit jeder Aktualisierung besteht das Risiko, dass bekannte und neue Schwachstellen in Umlauf gebracht werden. Denn jede Software hat Fehler. Zwar sind nicht alle Fehler bösartigen Ursprungs, jedoch können viele davon von Kriminellen missbraucht werden. Mit der zunehmenden Vernetzung operieren diese scheinbar unbemerkt aus der Ferne, wodurch ernste Gefahren für Wirtschaft und Gesellschaft drohen. Umso wichtiger wird es in Zukunft sein, ein aussagekräftiges Lagebild zur tatsächlichen Bedrohung zu entwickeln, das von Schwachstellen in unzureichend gesicherten IT-Komponenten und Diensten ausgeht. Dabei geht es nicht um die Zertifizierung zugunsten der Produkthersteller, sondern um eine unabhängige Identifikation von Schwachstellen für Betreiber und Anwender.

Es ist aus Sicht der geopolitischen, gesellschaftlichen und wirtschaftlichen Stabilität der Schweiz untragbar, dass Einkäufer und Betreiber von kritischen Komponenten keine Möglichkeit haben, die Qualität der einzusetzenden Produkte hinsichtlich der Cybersicherheit durch eine offiziell mandatierte Institution zu evaluieren.

Abgesehen vom Datenschutz gibt es im Bereich der Cybersicherheit kaum verbindliche und rechtsgültige Normen, welche die Sicherheit und Integrität von Produkten gesetzlich regeln. Anders ist es in kritischen Industriesektoren wie der Medizintechnik, wo Qualitätsprüfungen durch unabhängige Stellen fester Bestandteil der Produktzulassung sind. Der Bedarf für unabhängige und effektive Prüfungen digitaler Produkte dürfte künftig sowohl in der Industrie als auch bei Behörden, der Polizei und der Armee steigen.

Der Blick über die Landesgrenzen zeigt, dass in anderen Ländern bereits gesetzliche Regelungen zur Cybersicherheitsüberprüfung erarbeitet werden. Insbesondere in der Europäischen Union wird im Zuge des sogenannten «Cybersecurity Acts» offen über die Prüfung und Zertifizierung von IT-Komponenten und -Systemen debattiert.

Auf Initiative des Kantons Zug hat nun eine Expertengruppe mit Fachleuten aus Politik, Verwaltung, Wirtschaft und Wissenschaft ein Konzeptpapier für die Schaffung eines Prüfinstituts für vernetzte Geräte erarbeitet. Diese Organisation soll eine nationale Ausrichtung und – über die Zeit – eine internationale Ausstrahlung erreichen. Sie soll den Prüf­bedarf innerhalb der Schweiz eruieren und anhand konkreter Stichproben befriedigen, insbesondere, um dem Pro­blem des Prüfstandmodus zu begegnen.

Weiter soll die Organisation als organisatorische und fachliche Verhandlungspartnerin für zukünftige bilaterale Abkommen mit dem Ausland auftreten. Das Zuger Konzeptpapier zeigt auf, wie eine solche Organisation eingerichtet und betrieben werden könnte; es werden das organisatorische und regulatorische Umfeld in der Schweiz diskutiert und die entsprechenden Prüforganisationen in verschiedenen Ländern skizziert. Die Expertengruppe ging zudem den Fragen nach, wer mögliche Kunden eines Prüfinstituts sind und welche Produkte wie geprüft werden sollen. So ging die Expertengruppe unter anderem den folgenden Fragen nach:

Um den tatsächlichen Prüfbedarf und die Erwartungen an ein nationales Prüfinstitut zu erfassen, ist im Oktober dieses Jahres eine Umfrage mit repräsentativen Unternehmen durchgeführt worden. In Kooperation mit dem Nationalen Zentrum für Cyber­sicherheit (NCSC) und dem Dachverband ICTswitzerland wurden die Bedürfnisse der Wirtschaft erhoben und die vorliegenden Ergebnisse der Expertengruppe verfeinert. Auf Basis der Ergebnisse werden im Anschluss Pilotkunden und Testobjekte identifiziert, die ersten Prüfungen unterzogen ­werden.

Das Zuger Konzeptpapier zeigt, wie ein nationales Prüf­institut für vernetzte Geräte grundsätzlich aufgesetzt  werden könnte. Eine solche «Cyber-Empa» wäre für den Wirtschaftsstandort Schweiz ein grosser Vorteil, indem mehr Vertrauen geschaffen wird zwischen den beteiligten Akteuren und die Souveränität der Schweizer Gesellschaft gestärkt wird. In einer immer stärker vernetzten Welt wird Vertrauen zum höchsten Gut, das wir haben.