Lexipedia

Sicherheitsstandards für Internet-of-Things-Geräte prüfen, weil diese eine der grössten Bedrohungen der Cybersicherheit sind

17.4295 · Postulat · 2017-12-15

Finanzdepartement

Erledigt

Wortlaut

Der Bundesrat wird ersucht, in einem Kurzbericht aufzuzeigen, wie im rasant wachsenden Bereich der ans Internet angebundenen Geräte (Internet of Things, IoT) die Sicherheit dieser Geräte erhöht und ihr Missbrauch für Cyberkriminalität erschwert werden kann.

Abzuklären und aufzuführen ist unter anderem:

1. ein kurzer Überblick über grössere Internet-Attacken unter Verwendung von IoT-Geräten;

2. der Stand internationaler Sicherheitsrichtlinien für IoT-Geräte (ähnlich den Zulassungsbestimmungen für elektrische Geräte) und deren Umsetzung in der Schweiz;

3. die Einführung interner Richtlinien für den Bund und bundesnahe Betriebe mit Sicherheitsbedingungen zum Kauf und Einsatz von IoT-Geräten;

4. die Einführung von Sicherheitsrichtlinien bei Betreibern kritischer Infrastruktur: zu erfüllende Sicherheitsbedingungen zum Kauf und Einsatz von IoT-Geräten;

5. die Möglichkeit, durch Meldepflichten oder Anreize die Chance zu erhöhen, dass bekannte Sicherheitslücken von Geräten einer zentralen Stelle (z. B. Melani) gemeldet werden;

6. die Möglichkeit, von den Herstellern zumindest während der Gewährleistungszeit (Garantiefrist) Sicherheitsupdates für bekanntgewordene Sicherheitslücken einzufordern.

Der Bericht soll knapp und eingängig sein und ggf. sinnvolle Umsetzungen auf Verordnungs- oder Gesetzesstufe konkret ausführen. Dabei ist wo möglich die Unterstützung zur Schaffung internationaler Standards oder zu deren Übernahme einer schweizerischen Insellösung vorzuziehen.

Begründung

Gemäss Experten werden immer häufiger für Internetkriminalität wie z. B. DDOS-Attacken (DDOS: Distributed Denial of Service) nicht nur klassische Computer/Server gehackt, sondern andere ans Internet angebundene Geräte, von Routern über Kühlschränke, Überwachungsvideokameras bis hin zu Lautsprechern (vgl. http://nyti.ms/2zdJ41G, http://glätt.li/iotplanb). Für diese Geräte existieren ungenügende Sicherheitsvorschriften. Die Geräte müssen zwar zur Einfuhr den eingängigen Elektronik-/Funkstandards genügen, nicht aber den einfachsten Grundsätzen zur Informationssicherheit wie dem Verzicht auf eingängige Standardpasswörter (admin/admin) oder der Möglichkeit, einfach Sicherheitsupdates zu installieren. Der allgemeine Sicherheitsstandard gegen das Hacken und den Missbrauch dieser Geräte ist damit leider sehr tief, gleichzeitig verbreiten sie sich momentan auch im Consumerbereich sehr rasch (vgl. http://glätt.li/iotstat).

Antrag des Bundesrates

Der Bundesrat beantragt die Annahme des Postulates.

Stellungnahme des Bundesrates

Der Bundesrat erachtet es als sinnvoll, die aufgeführten Fragen zur Sicherheit für IoT-Geräte zu untersuchen und einen Bericht dazu zu verfassen. Er gibt aber zu bedenken, dass die Fragen komplexe Themenbereiche betreffen. Der verlangte Kurzbericht wird insbesondere in Bezug auf allfällige Regelungsansätze sich auf grundsätzliche Ausführungen beschränken und keine abschliessenden Antworten geben. Allfällige Rechtsetzungsvorhaben wären, wenn politisch gewünscht, im Anschluss anzugehen.

Der Bundesrat beantragt die Annahme des Postulates.