Lexipedia

24.4398 · Interpellation · 2024-12-18

Departement für Verteidigung, Bevölkerungsschutz und Sport

Erledigt

Wortlaut

Der Bundesrat hat vor einem Jahr zur Interpellation 23.3689 bezüglich quantensicherer Systeme Stellung genommen wie auch im November 2024 zu 24.4215. Diese hatte aber einen generellen Schweizer Bezug. In Bezug auf den Bund stellen sich nun aber folgende konkrete Fragen:

  1. Welche Strategie verfolgt der Bund für die Umsetzung/Übergang zu quantensicherer Kryptografie für Systeme des Bundes/kritische Infrastrukturen?

  2. Wie werden relevante Daten und Systeme (und deren Risiko und kryptografische Systeme) identifiziert?

  3. Wird ein spezielles Augenmerk auf die Dringlichkeit bestimmter Szenarien wie «Harvest Now/Decrypt Later» gelegt?

  4. Welche Vorgaben werden für Systeme und Produkte des Bundes (inkl. Schweizerpass) gemacht, welche von der Gefahr betroffen sind und langfristige Umstellungsprozesse benötigen?

  5. Wie wird die Migration von Systemen und Produkten von Bund und Industrie priorisiert? Werden Guidelines geschaffen?

  6. Wie geht der Bund mit Neu-Beschaffungen um, welche in den kommenden Jahren ausgerollt werden und von der Gefahr betroffen sind? Werden heute schon entsprechende Vorgaben gemacht, um die Systeme vorbereitet zu haben und eine Neuimplementierung zu verhindern? (Beispiele sind Swiss Government Cloud oder die E-ID Vertrauensinfrastruktur)

  7. Wer im Bund ist verantwortlich für Strategie/Policy bezüglich Quantum Safe / Quantensichere Kryptografie?

  8. Wer im Bund ist verantwortlich für die Umsetzung und Überwachung bezüglich Quantum Safe / Quantensichere Kryptografie?

  9. Warum soll der Bund den Fokus auf Post-Quantum Cryptography oder Quantum Key Distribution Standards setzen?

Begründung

Der Durchbruch leistungsfähiger Quanten Computer rückt immer näher und die damit verbundenen Sicherheitsprobleme ebenfalls. Heutige Verschlüsselungstechnologie sind deshalb angreifbar. Für die Entschlüsselung einer Codierung waren bisher mehrere Jahre Rechenleistung nötig. Mit den Quanten Computer wird sind sich das schlagartig ändern und bestehende Verschlüsselungen angreifbar machen. Kriminelle stehlen bereits heute verschlüsselte Daten, um sie dereinst mit Quantentechnologie zu entschlüsseln.

Im April 2024 wurden die Mitgliedstaaten der EU aufgefordert, eine umfassende Strategie für die Einführung der quantensicheren Kryptografie zu entwickeln, um einen koordinierten und synchronisierten Übergang zwischen den verschiedenen Mitgliedstaaten und ihren öffentlichen Sektoren zu gewährleisten.

Stellungnahme des Bundesrates

Zu 1,2 und 5) Der kryptografische Schutz von Informationen ist ein zentrales Element der Informationssicherheit. Welcher Schutz nötig ist, wird durch die Klassifizierung der Informationen gemäss Art. 13 des Informationssicherheitsgesetzes (ISG; SR 128) festgelegt. Bei der Bearbeitung von Informationen mit Informatikmitteln muss zudem der Schutzbedarf der Informationen bestimmt werden, woraus sich dann die technischen und organisatorischen Anforderungen an die Sicherheit dieser Mittel ergeben (Art. 16-19 ISG). Diese Verfahren werden auch angewendet, um festzulegen, welcher kryptografische Schutz nötig ist, und bilden die Grundlage für die Entscheide über allfällige Priorisierungen bei der Umsetzung von quantensicheren Lösungen. In der Antwort zur Ip. 23.3689 hat der Bundesrat dargelegt, welche Massnahmen für die Verschlüsselung von als GEHEIM klassifizierten Informationen gelten. Zu 3) In Bezug auf das Szenario «Harvest now / Decrypt later» gilt festzustellen, dass der Bund nie der Ansicht war, dass ein kryptografischer Schutz alleine ausreicht, um die Sicherheit von klassifizierten Informationen während ihrer gesamten Lebensdauer umfassend zu gewährleisten. Der Zugang zu solchen Informationen muss durch weitere technische und organisatorische Massnahmen geschützt sein, damit diese Informationen nicht durch Unbefugte entwendet werden können. Daher ist es wichtig, dass der Schutzbedarf und die Klassifizierung der Informationen korrekt erfasst werden. Zu 4,6,7 und 8) Wie der Bundesrat in seiner Antwort zur Ip. 24.4215 ausführt, schreiten die internationalen Standardisierungsarbeiten zur quantensicheren Kryptografie zwar voran, sind aber noch nicht weit genug, um verbindliche Zeitpläne, Vorgaben oder Guidelines festzulegen. Basierend auf Art. 21 und Art. 29 der Informationssicherheitsverordnung (SR 128.1) kann die Fachstelle des Bundes für Informationssicherheit im Staatssekretariat für Sicherheitspolitik solche Vorgaben einführen. Sie stützt sich dabei auf Fachwissen des Bundesamts für Cybersicherheit, der Fachstelle Kryptologie der Armee und des Cyber-Defence Campus des Bundesamts für Rüstung armasuisse. Die Departemente stellen sicher, dass die Vorgaben der Fachstelle umgesetzt werden und prüfen dies. Die Vorgaben geben das minimale Schutzniveau vor, welches beim Betrieb und bei der Beschaffung erfüllt sein muss. Zu 9) Der Fokus des Bundes liegt auf der Post-Quantum Kryptografie. Verfahren, welche eine Quantum Key Distribution nutzen, bieten mindestens im aktuellen Entwicklungsstadium keine praktikable Lösung und werden auch von den meisten internationalen Fachstellen nicht empfohlen.