26.3831 · Postulat · 2026-06-18
Departement für Verteidigung, Bevölkerungsschutz und Sport
Eingereicht
Wortlaut
Der Bundesrat wird beauftragt, in einem Bericht darzulegen, wie der Bund die Risiken durch künftige Quantencomputer für die Vertraulichkeit, Integrität und Authentizität seiner digitalen Systeme beurteilt und welche Massnahmen für eine schrittweise Migration zu quantensicheren kryptografischen Verfahren erforderlich sind.
Der Bericht soll insbesondere aufzeigen:
welche besonders schützenswerten Daten, Kommunikationskanäle, Identitäts-, Zertifikats-, Signatur- und Schlüsselmanagement-Infrastrukturen des Bundes langfristig von heute eingesetzten Public-Key-Verfahren abhängig sind;
wie der Bund ein Inventar kryptografischer Abhängigkeiten und eine Risikoklassierung nach Schutzbedarf, Lebensdauer der Daten und Systemkritikalität erstellen kann;
welche sicherheitsrelevanten Bereiche prioritär zu behandeln sind, namentlich Landesverteidigung, Nachrichtendienst, kritische Verwaltungsregister, Justiz-, Steuer-, Gesundheits- und Identitätsdaten;
wie internationale Standards und Empfehlungen, insbesondere von NIST, ETSI und vergleichbaren Behörden, für die Schweiz nutzbar gemacht werden können;
welche Anforderungen an Krypto-Agilität, hybride Übergangslösungen, Beschaffung, Anbieter-Nachweise, Tests und Governance zu stellen sind;
welche Pilotprojekte, Fristen und Zuständigkeiten für eine risikoorientierte Migration zweckmässig sind.
Begründung
Leistungsfähige Quantencomputer könnten künftig heute verbreitete Public-Key-Verfahren wie RSA und elliptische Kurvenkryptografie wesentlich schwächen. Besonders relevant ist das Risiko, dass Daten bereits heute abgefangen und gespeichert werden, um sie später zu entschlüsseln. Der Bund verarbeitet Informationen, deren Vertraulichkeit teilweise über Jahrzehnte gewährleistet sein muss.
Die Migration zu quantensicherer Kryptografie ist jedoch keine reine Beschaffungsfrage und kein einfacher Austausch einzelner Algorithmen. Sie betrifft Protokolle, Zertifikate, Schlüsselmanagement, Identitätsinfrastrukturen, Signaturen, Langzeitarchive, Fachanwendungen und Schnittstellen zu Kantonen, Gemeinden, Wirtschaft und internationalen Partnern. Deshalb braucht es zuerst ein belastbares Lagebild, eine Priorisierung nach Risiko und einen realistischen Migrationsfahrplan.