Cybersecurity in der Schweiz – quo vadis?

Die «digitale Welt» entwickelt sich schneller als alles Bisherige in der Mensch­heits­geschichte. Ebenso rasant nehmen die Probleme wegen fehlender Cyber­sicher­heit zu. Im «digitalen Wilden Westen» kann heute immer noch jeder weitgehend ungehindert unsichere vernetzte Produkte und Internetdienste auf den Markt bringen. Trotzdem wird von der Anwenderseite erwartet, diese sicher zu nutzen. Diesen Sachverhalt könnte man als Cyber­sicher­heits-Paradoxon bezeichnen.

Da bisher weder die Hersteller und Dienst­anbieter noch die Anwender wirksame Sicherheits­standards etablieren konnten, muss von einem Marktversagen hinsichtlich der Cyber­sicher­heit gesprochen werden. Als Ursachen können fehlende Sicherheits­vor­schriften, mangelndes Sicher­heits­bewusstsein, fehlendes Fachwissen, asymme­trische Kräfte­verhältnisse und ökonomische Fehlanreize identifiziert werden. Dieser Fehl­entwicklung der letzten Jahrzehnte gilt es, entschlossen und gezielt entgegen­zuwirken, um das Vertrauen wieder­herzustellen, die Risikokosten tragbar zu machen und ein Fundament für eine sichere Digi­tali­sierung zu legen. Cyber­sicher­heit braucht sichere Produkte, die sicher genutzt werden. Dazu müssen sich sowohl die Hersteller und Anbieter als auch die Anwender an grundlegende Sicherheits­standards halten. Der Gesetzgeber steht in der Pflicht, die notwendigen gesetzlichen Rahmen­bedingungen dafür zu schaffen und die Sicherheit auf beiden Seiten einzufordern.

Lehren aus der Elektrifi­zierung

In der Elektrotechnik sorgen Gesetze und Normen schon lange für Sicherheit, und ihre Einhaltung wird systematisch überprüft. Vor über 100 Jahren war die Elektrifi­zierung das, was heute die Digi­tali­sierung ist. Der Umgang mit Elektrizität war damals «komplex» und sogar lebensgefährlich. Die biophysikalischen Vorgänge bei einem Stromschlag waren noch nicht so erforscht und bekannt wie heute. Die sichere Bedienung der damals noch oft lebensgefährlichen Produkte war ähnlich anspruchsvoll wie heute die sichere Nutzung vernetzter Hardware und Software.

Der Schweizerische Elektro­technische Verein (SEV) – die heutige Electrosuisse – hat 1896 die ersten Sicher­heits­vor­schriften für den Bau und Betrieb von Stark­strom­anlagen vorgelegt. Seit dem Bundesgesetz betreffend elektrischer Schwach- und Stark­strom­anlagen von 1902 wurde viel für die Verbesserung der Sicherheit getan. Heute verweist die Nieder­span­nungs-Instal­lations­verordnung (NIV) zur Umset­zung des Elektri­zitäts­gesetzes (EleG) auf «anerkannte Regeln der Technik». Solche harmonisierten Sicherheits­standards bestehen mit den Normen der inter­natio­nalen elektrotechnischen Kommission (IEC) auf globaler Ebene und des Europäischen Komitees für elektro­technische Normung (Cenelec) auf europäischer Ebene. Diese werden durch die Schweizer Nieder­span­nungs-Instal­lations­norm (NIN) als anwen­dungs­orientierte Umset­zungs­norm ergänzt. Mit den Bundes­gesetzen über die Produkte­sicherheit und die Produkte­haftung besteht in der Schweiz auch für die Sicherheit elektro­techni­scher Geräte eine Gesetzes­grundlage im Einklang mit der EU-Richtlinie 2001/95/EG über die allgemeine Produktsicherheit.

Heute ist der Umgang mit Elektrizität dank Sicher­heits­vor­schriften und -standards weit weniger gefährlich als noch vor 100 Jahren. Es würde sich anerbieten, die Erfolgs­geschichte der elektri­schen Sicherheit für die Cyber­sicher­heit in einer der digitalen Welt angepassten Weise zu wiederholen.

Verpflichtende Sicherheits­standards

Regulatorien, um dem herrschenden Cyber­sicher­heits­desaster Abhilfe zu schaffen, sind weltweit in Entstehung. Doch während die Regulie­rungs­aktivi­täten in der EU schon fort­geschritten sind, wurde in der Schweiz bisher lediglich das Daten­schutz­gesetz an die Daten­schutz­grund­verordnung (DSGVO) der EU angepasst.

Nicht zuletzt soll in der EU mit dem «Cyber Resilience Act» (CRA), der im September 2022 als Entwurf publiziert wurde, die Erfüllung definierter Sicher­heits­anfor­derungen für Hardware- und Software-Produkte, die mit dem Internet verbunden sind, über deren «gesamten Lebenszyklus» und auf jeder Stufe der Wert­schöpfungs­kette als Markt­zulas­sungs­bedingung festgeschrieben werden. Von Herstellern und Anbietern werden ent­spre­chende Sorgfaltspflichten eingefordert. Die Anforderungen für die CE-Kenn­zeichnung sollen entspre­chend erweitert werden, damit sich Kunden und Unternehmen auf die Cyber­sicher­heit der CE-gekennzeichneten Produkte verlassen können. Mit dem CRA würden auch Meldepflichten und der Nachweis von Mindest­anforde­rungen verpflichtend, die derzeit noch freiwillig sind.

Auch wenn die EU-Regulatorien im Detail noch einzelne Unzu­läng­lich­keiten aufweisen, geben sie eine klare Stossrichtung vor und läuten das Ende des digitalen Wilden Westens ein. «Security by Design and by Default» wird in absehbarer Zeit von einer Idee zu einem einklagbaren Recht.

Obwohl die Schweiz bislang stets unter den Pionieren bei der Festlegung von Sicher­heits­standards war, gehört sie aktuell zu den Ländern mit den wenigsten Rechts­grund­lagen für die Cyber­sicher­heit. In der Schweiz besteht weder eine gesetzliche Pflicht zur Anwen­dung technischer Sicherheits­normen, noch bestehen gesetzliche Anforde­rungen an diese. Im Vergleich zur EU hat die Schweiz dies­bezüglich einen Rückstand von zehn Jahren aufzuholen und läuft zurzeit Gefahr, den Anschluss zu verlieren. Wird dies verschlafen, bleibt nichts anderes übrig, als die büro­kratischen Vorschriften der EU zu übernehmen, wobei eine schlanke Schweizer Lösung, die mit den EU-Regulatorien harmoni­siert ist, vorzuziehen wäre. Nur leider scheint sich in der Schweiz niemand dafür zuständig zu fühlen.

Was kommt auf die Unternehmen zu?

Unternehmen werden es als Anwender einfacher haben, vernetzte informa­tions­technische Systeme sicher zu nutzen und zu betreiben, wenn diese sicherer werden. Ihnen bleibt aber auch dann noch genug zu tun, um ihre «digitale Über­lebens­fähigkeit» sicher­zustellen. Dazu können sie sich an bestehenden Standards wie der ISO/IEC 27000-er Normenreihe oder dem auf dem NIST Cyber­security Framework basierenden IKT-Minimal­standard orientieren.

Besonders Hersteller, die vernetzte digitale Kompo­nenten in ihren Produkten verbauen, und Dienstleister, die solche Produkte bei ihren Kunden integrieren, sollten sich rechtzeitig auf die Regulierung der digitalen Welt vorbereiten, um nicht plötzlich überrascht zu werden. Für Hersteller wichtig zu wissen ist vor allem, welche Anforde­rungen sie künftig für eine CE-Konformität ihrer vernetzten Produkte erfüllen müssen. Eine Übersicht dazu bietet das Factsheet zum Cyber Resilience Act. Für die Umsetzung ist insbesondere die Normenreihe IEC 62443 massgebend, die sich im Gegensatz zur ISO/IEC 27000-er Normen­reihe nicht nur an Anwender richtet, sondern Hersteller, Integratoren und Betreiber gleicher­massen adressiert.

Normenarbeit für die Cyber­sicher­heit

Der strategischen Bedeutung der Stan­dardi­sierung im IT-Bereich wird in der Schweiz zu wenig Gewicht beigemessen. Technische Normen werden in der Schweiz auf freiwilliger, unentgelt­licher Basis durch engagierte Fach­spezia­listen als Mitglied in einer Normen­organi­sation erarbeitet und mitgestaltet. Ent­spre­chend sind Ergebnisse bezüglich Inhalt, Qualität und Fertig­stellungs­termin oft schlecht voraussagbar. Inhaltliche Mitbestim­mung, Wissens­vorsprung oder ein Ertrag seitens der Normen­organi­sation durch den Normen­verkauf sind die Motiva­tions­faktoren für die Normenarbeit. Die Mitarbeit setzt in der Regel die kosten­pflichtige Mitglied­schaft in einer Normen­organi­sation voraus. Normenarbeit ist deshalb für hoch­quali­fizierte Fachkräfte wenig attraktiv, wenn sie nicht von ihrem Arbeitgeber mit der Wahrnehmung von Unter­nehmens­interessen bei der Normung beauftragt werden. Den sich mit Cyber­sicher­heit beschäfti­genden Normungs­gremien der Schweiz fehlen daher die nötigen Ressourcen, um sich bei allen wichtigen Themen bei der Normen­erarbeitung einzubringen, Dokumente aus über­geordneten euro­päischen und inter­natio­nalen Gremien zu bearbeiten und zu diesen Stellung zu beziehen.

Es wäre begrüssenswert, wenn sich Unter­nehmen stärker bei der Erarbeitung der Normen für die Cyber­sicher­heit engagieren würden, um Schweizer Interessen über die nationalen Normungs­organi­sationen in die europäischen und inter­natio­nalen Normungs­gremien einzubringen und sicherzustellen. Dafür muss Normen­arbeit durch eine Aus­gestaltung von Anreiz­modellen für Experten besser entlohnt und gefördert werden, damit möglichst viel vorhandene Expertise eingebracht werden kann und Normen mitgestaltet werden können. Nicht zuletzt wäre es angebracht, dafür Fördergelder bereit­zustellen, um damit den Wirtschafts­standort Schweiz zu stärken und einen wert­vollen Beitrag zu leisten, damit Hard- und Software künftig ebenso sicher sind wie Toaster.