{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='DE')/Transcripts"}},"ID":20193602,"Language":"DE","BusinessShortNumber":"19.3602","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Sicherheitsrisiken bei kritischen Hard- und Softwarekomponenten. Schaffung einer unabh\u00e4ngigen Pr\u00fcfstelle?","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Im Zug der Digitalisierung steigt in s\u00e4mtlichen Gesellschaftsbereichen die Abh\u00e4ngigkeit von digitalen Systemen und einzelnen Schl\u00fcsselkomponenten. Damit sind auch grosse Sicherheitsrisiken verbunden. In seinem im April 2019 vorgelegten j\u00fcngsten Bericht zur Informationssicherung (Melani) befasst sich der Bundesrat ausf\u00fchrlich mit diesen Risiken. Sie gehen namentlich von \"Backdoors\" aus, d. h. von bei der Lieferung bereits eingebauten Hintert\u00fcren, die den fremden Zugriff auf Informatiksysteme zu Spionage- oder Sabotagezwecken erlauben. Der Bundesrat empfiehlt den Aufbau eines konsequenten Risikomanagements beim Umgang mit Herstellern, Lieferanten und Zulieferern von digitalen Schl\u00fcsselkomponenten. Zudem h\u00e4lt er fest, dass eine rein vertragliche Verpflichtung ausl\u00e4ndischer Hersteller, sich an Schweizer Recht zu wahren, keine ausreichende Garantie darstellt. In Bezug auf die Kontrolle der Lieferketten besteht das Problem, dass diese im Hard- und Softwarebereich weit verzweigt und oft auf mehrere L\u00e4nder verteilt sind. Vor diesem Hintergrund stellt sich die Frage, welche zus\u00e4tzlichen Massnahmen denkbar sind, um die Risiken im Zusammenhang mit der Abh\u00e4ngigkeit von einzelnen digitalen Schl\u00fcsselkomponenten einzud\u00e4mmen.</p><p>Bund und Kantone haben in zahlreichen Bereichen Instrumente geschaffen, um die Qualit\u00e4tskontrolle wichtiger Konsumg\u00fcter und Infrastrukturen sicherzustellen. Das Eidgen\u00f6ssische Starkstrominspektorat beispielsweise pr\u00fcft elektrische Erzeugnisse auf allf\u00e4llige Sicherheitsm\u00e4ngel. Die Eidgen\u00f6ssische Materialpr\u00fcfungs- und Forschungsanstalt entstand aus der Notwendigkeit, die im Zusammenhang mit dem Aufbau von Infrastrukturen wie Strassen und Br\u00fccken notwendigen Pr\u00fcfungen von Materialien durchzuf\u00fchren. Auch im Bereich der Lebensmittelsicherheit verf\u00fcgt der Bund \u00fcber Mechanismen, um die Einhaltung gewisser grundlegender Standards sicherzustellen. </p><p>Angesichts der strategischen Bedeutung und der Verletzlichkeit von IT-Systemen ist es notwendig, entsprechende Kontroll- und Pr\u00fcfinstrumente im Bereich digitaler Schl\u00fcsselkomponenten aufzubauen. Eine unabh\u00e4ngige Pr\u00fcfstelle w\u00fcrde es nicht nur erlauben, das Risikomanagement in sensiblen Bereichen zu verbessern, sondern auch die M\u00f6glichkeit er\u00f6ffnen, den Standortvorteil der Schweiz im Zukunftsmarkt der Cybersicherheit gezielt zu nutzen. Vor dem Hintergrund der zunehmenden globalen Rivalit\u00e4ten im IT-Bereich und der Konzentration der Hersteller auf einige wenige Grossm\u00e4chte w\u00fcrde eine in der neutralen und politisch stabilen Schweiz beheimatete Pr\u00fcfstelle \u00fcber beste Voraussetzungen verf\u00fcgen, um auch f\u00fcr ausl\u00e4ndische Kunden im Sinn eines \"Swiss secure\"-Labels von Interesse zu sein. </p><p>Ich ersuche daher den Bundesrat, folgende Fragen zu beantworten: </p><p>1. Wie beurteilt der Bundesrat die Schaffung einer Pr\u00fcfstelle, um analog zu den entsprechenden Instrumenten in anderen Bereichen Sicherheitsrisiken in Bezug auf digitale Schl\u00fcsselkomponenten zu reduzieren? </p><p>2. Auf welche bestehende Strukturen k\u00f6nnte eine solche Pr\u00fcfstelle aufbauen? </p><p>3. Wie erachtet er die M\u00f6glichkeit einer Zusammenarbeit mit der Schweizer IT-Branche, den Hochschulen und den Branchenverb\u00e4nden im IT-Bereich, um eine Pr\u00fcfstelle f\u00fcr digitale Schl\u00fcsselkomponenten zu schaffen? Welche Modalit\u00e4ten in Bezug auf den organisatorischen Status der Pr\u00fcfstelle, die Finanzierung sowie das Mandat und die Rolle des Bundes sind denkbar? </p><p>4. Teilt er die Auffassung, dass angesichts der aktuellen geopolitischen Spannungen im IT-Bereich die Schweiz \u00fcber besonders g\u00fcnstige Voraussetzungen verf\u00fcgt, um bei der Eind\u00e4mmung von Systemrisiken im Zusammenhang mit digitalen Schl\u00fcsselkomponenten eine zentrale Rolle zu spielen? </p><p>5. Stellt die Schaffung einer unabh\u00e4ngigen Pr\u00fcfstelle angesichts dieser Ausgangslage aus Sicht des Bundesrates eine M\u00f6glichkeit dar, die Standortvorteile der Schweiz im Zukunftsmarkt der Cybersicherheit gezielt zu nutzen? Welche weiteren Massnahmen fasst er ins Auge, um die Position der Schweiz in diesem Bereich zu st\u00e4rken?</p>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>Der Bundesrat teilt die Sorge um die Sicherheitsrisiken von \"Backdoors\" bei kritischen Hard- und Softwarekomponenten. Das Kompetenzzentrum f\u00fcr Cybersicherheit des Bundes ist mit allen Akteuren in Kontakt, um gemeinsame Massnahmen zur Minimierung solcher Sicherheitsrisiken zu erarbeiten.</p><p>1. Angesichts der Vielzahl von Einzelteilen, aus denen Hard- und Softwarekomponenten bestehen, und deren globalisierter Fertigungsprozesse sowie der Dynamik des Marktes w\u00e4re die systematische Pr\u00fcfung digitaler Schl\u00fcsselkomponenten sehr herausfordernd. Eine Pr\u00fcfstelle k\u00f6nnte zwar helfen, Risiken fr\u00fcher zu erkennen und genauer einzusch\u00e4tzen, indem sie Fachwissen b\u00fcndelt und die F\u00e4higkeit besitzt, aufwendige technische Verfahren zur Pr\u00fcfung von Hard- und Softwarekomponenten anzuwenden. Ob sie dabei auch Zertifizierungen f\u00fcr die Verleihung von Labels ausstellen sollte, m\u00fcsste vertieft analysiert werden. Zertifizierungsprozesse erweisen sich oft als sehr zeitaufwendig und k\u00f6nnen selten umfassend durchgef\u00fchrt werden. Vor allem bei integrierten Hard- und Softwarekomponenten lassen sich kaum alle m\u00f6glichen Hintert\u00fcren und Sicherheitsl\u00fccken ausschliessen. Zudem bez\u00f6ge sich eine Hard- und/oder Software-Zertifizierung auf einen einmal gegebenen Zustand. Dieser \u00e4ndert speziell bei Software h\u00e4ufig. Die Zertifizierung k\u00f6nnte dem Aktualisierungsrhythmus wahrscheinlich nur schwer folgen. Weiter ist die Tatsache relevant, dass es mittlerweile kaum noch Ger\u00e4te ohne eingebaute Informationstechnologie gibt. Deshalb w\u00e4re der Pr\u00fcfbereich extrem breit und wenig standardisiert. Vor einem allf\u00e4lligen Entscheid zur Schaffung einer Pr\u00fcfstelle m\u00fcsste anhand einer sorgf\u00e4ltigen Kosten-Nutzen-Analyse genau eruiert werden, ob und, wenn ja, welche Formen der Pr\u00fcfung und Zertifizierung \u00fcberhaupt sinnvoll w\u00e4ren. </p><p>2. Der Schutz der Schweiz vor Cyberrisiken ist eine gemeinschaftliche Aufgabe von Wirtschaft, Wissenschaft und Staat, wobei der Staat subsidi\u00e4r auftritt. Falls eine Pr\u00fcfstelle geschaffen werden sollte, st\u00fcnde aus Sicht des Bundesrates daher der Aufbau einer verwaltungsexternen Stelle im Vordergrund. Dabei w\u00e4re eine Einbindung in die Strukturen von Hochschulen naheliegend. Zu pr\u00fcfen w\u00e4re auch, wie Kompetenzen von privaten Unternehmen in diesem Bereich genutzt werden k\u00f6nnten. </p><p>Verwaltungsintern w\u00e4re das neue Kompetenzzentrum Cybersicherheit, allenfalls erg\u00e4nzt durch F\u00e4higkeiten des Cyberdefence Campus der Armasuisse, eine m\u00f6gliche Struktur, die aber daf\u00fcr massiv ausgebaut werden m\u00fcsste. </p><p>3. Der Einbezug der Wirtschaft und der Hochschulen w\u00e4re bei einer allf\u00e4lligen Schaffung einer Pr\u00fcfstelle von zentraler Bedeutung. Der Bund diskutiert die Idee einer Pr\u00fcf- und Forschungsstelle mit Partnern aus der Wirtschaft, unter anderem mit der Kommission Cybersicherheit von ICT Switzerland (Dachverband der ICT-Wirtschaft) und dem Beirat Digitale Transformation. In diesen Diskussionen besteht bisher noch nicht ausreichend Klarheit \u00fcber die m\u00f6glichen Aufgaben einer solchen Stelle. Die Fragen der Organisationsform und der Finanzierung k\u00f6nnen erst in einem zweiten Schritt gekl\u00e4rt werden. </p><p>4. Die geopolitischen Spannungen im IT-Bereich bieten der Schweiz tats\u00e4chlich Chancen, sich als Standort f\u00fcr Cybersicherheit zu profilieren. Die Schweiz geniesst international auch im Bereich der Cybersicherheit einen hervorragenden Ruf und wird als glaubw\u00fcrdiger und vertrauensvoller Akteur wahrgenommen und gesch\u00e4tzt. Gleichzeitig bleibt die Marktmacht der Schweiz aufgrund ihrer geringen Bedeutung als Produktionsstandort f\u00fcr IT-Komponenten im internationalen Vergleich gering. Um Systemrisiken auf internationaler Ebene wirksam eind\u00e4mmen zu k\u00f6nnen, bedarf es einer engen Zusammenarbeit mit vertrauensw\u00fcrdigen Partnern mit einer \u00e4hnlichen Ausgangslage wie die Schweiz. Von besonderer Bedeutung ist deshalb die Forschungszusammenarbeit innerhalb Europas. </p><p>5. Bisher haben die bereits existierenden Labels und Zertifizierungen in der Cybersicherheit wenig Verbreitung gefunden, was auf eine noch beschr\u00e4nkte Nachfrage schliessen l\u00e4sst. Indirekte Effekte wie die St\u00e4rkung des Forschungsstandorts w\u00e4ren aber zu erwarten. Eine starke und innovative IKT-Sicherheitswirtschaft ist dem Bundesrat ein wichtiges Anliegen. Mit der Massnahme 3 der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) will er daf\u00fcr g\u00fcnstige Rahmenbedingungen schaffen. Er sieht dazu insbesondere den Auf- und Ausbau von Innovationszentren im Bereich Cybersicherheit vor und pr\u00fcft bis Ende 2020, welche Mittel zur F\u00f6rderung von Innovation in der Cybersicherheit eingesetzt werden k\u00f6nnen. Bewusst verzichtet der Bundesrat hingegen auf direkte industriepolitische F\u00f6rdermassnahmen f\u00fcr die IKT-Sicherheitswirtschaft, da solche den wirtschaftspolitischen Grunds\u00e4tzen der Schweiz entgegenlaufen w\u00fcrden. </p>  Antwort des Bundesrates.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1569024000000)\/","SubmittedBy":"Vonlanthen Beat","BusinessStatus":229,"BusinessStatusText":"Erledigt","BusinessStatusDate":"\/Date(1568592000000)\/","ResponsibleDepartment":7,"ResponsibleDepartmentName":"Finanzdepartement","ResponsibleDepartmentAbbreviation":"EFD","IsLeadingDepartment":true,"Tags":"9|15|34","Category":null,"Modified":"\/Date(1690511321587)\/","SubmissionDate":"\/Date(1560384000000)\/","SubmissionCouncil":2,"SubmissionCouncilName":"St\u00e4nderat","SubmissionCouncilAbbreviation":"SR","SubmissionSession":5018,"SubmissionLegislativePeriod":50,"FirstCouncil1":2,"FirstCouncil1Name":"St\u00e4nderat","FirstCouncil1Abbreviation":"SR","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Sicherheitspolitik|Wirtschaft|Medien und Kommunikation"}}