Art. 48a des FMG gibt den Anbieterinnen das Recht, Internetanschlüsse zu sperren oder deren Nutzung ein zuschränken, wenn dies zum Schutz von Anlagen nötig ist. Dieses Recht gilt nur solange die Gefährdung anhält. Die Verordnung weist den Anbieterinnen in diesen Fällen die Pflicht zu, ihre Kunden über die Sper rung zu informieren. Diese Pflicht dient der Transparenz gegenüber den Nutzern und hilft mit, bei den Nut zern Verständnis für die Sicherheit und die nötigen Massnahmen zu erzeugen.
1.2.2.4 Massnahme 4: Pflicht der Anbieterinnen, eine Meldestelle für die Meldung von Mani pulationen zu führen und auf Meldungen innerhalb einer angemessenen Frist mit ge eigneten Abwehrmassnahmen zu reagieren
Die Cybersicherheit kann nur verbessert werden, wenn nationale und internationale Behörden, Fachstellen und Anbieterinnen von Internetanschlüssen aktiv zusammenarbeiten. Da es national und international eine Vielzahl von Akteuren gibt, ist es wichtig, dass die Kontaktstellen standardisiert bedient werden können. Deshalb sollen die Anbieterinnen verpflichtet werden, eine Meldestelle («Abuse Desk») zu führen und beim zuständigen Regional Internet Registry (RIR)31 einen Kontakt zu hinterlegen. Es bleibt dabei den Anbieterin nen freigestellt, ob sie diese Meldestelle selber führen oder die Aufgabe Dritten übertragen. Weil ein manipulierter Anschluss die Sicherheit vieler anderer Teilnehmer gefährdet, ist eine rasche Reaktion sehr wichtig. Die IAP müssen deshalb innert angemessener Frist Massnahmen einleiten. Es wird nicht er wartet, dass die Gefährdung in jedem Fall innerhalb dieser Frist bewältigt werden kann, es muss aber sicher gestellt werden, dass eine Reaktion in diesem Zeitraum eingeleitet wurde.
1.2.2.5 Alternative Handlungsoptionen
Im Verhältnis zum Status Quo – welcher durch das revidierte FMG gegeben wird – führt die Änderung der FDV Konkretisierungen ein. Diese entsprechen den in der Botschaft zur Revision des FMG erläuterten Ab sichten. Ein Verzicht auf eine solche Konkretisierung über die Anpassung der FDV würde die aus FMG Art. 48a entstehende Pflicht der Anbieterinnen nicht aufheben, es bliebe aber unklar, was mit dieser Pflicht ge nau gemeint ist. Entsprechend entstünde Rechtsunsicherheit. Als Alternative zum Status Quo besteht aufgrund der in der Vorlage beschriebenen, wenig restriktiven Mass nahmen insbesondere die Möglichkeit einer weiter gehenden Konkretisierung. Gemäss Vorlage werden die Anbieterinnen nicht verpflichtet, Internetzugänge oder Adressierungselemente, von denen eine Gefährdung ausgeht, zu blockieren, sondern gibt ihnen nur das Recht dazu, dies zu tun. Auf eine Pflicht zur Blockierung wurde bewusst verzichtet. Die Anbieterinnen sollen weiterhin selber beurteilen können, in welchen Fällen eine Blockierung nötig ist. Es wird ihnen damit die Freiheit gelassen, die Sicherheit der von ihnen angebote nen Dienstleistungen mit den für sie geeignetsten Mitteln zu gewährleisten. Die Alternative dazu wäre, dass
29 Der prominenteste Fall ist das Mirai-Botnet, welches auf dem Höhepunkt 2016 bis zu 500'000 kompromittierte IoT-Geräte umfasste und für sehr mächtige DDoS-Angriffe verwendet wurde. Eine generelle Übersicht zur Rolle von IoT bei DDoS-Angriffen bietet Vingau, Khoury und Hallé (2019): 10 Years of IoT Malware: A Feature-Based Taxonomy von https://ieeex plore.ieee.org/abstract/document/8859496. 30 Bundesrat (2020): Sicherheitsstandards für Internet-of-Things-Geräte (IoT) von https://www.efd.admin.ch/dam/efd/de/doku mente/home/dokumentation/berichte/internet-things.pdf.download.pdf/29042020%20Bericht%20IoT-d.pdf. 31 Iana (2021): Number Resources von https://www.iana.org/numbers. 6
die Blockierung vorgeschrieben wird oder durch Behörden angeordnet werden kann. Ebenfalls verzichtet wurde auf die Einführung einer Pflicht der Anbieterinnen für den Schutz ihrer Kundinnen von DDoS-Angrif fen.32 Dafür müssten die Anbieterinnen fähig sein, ein Vielfaches des üblichen Internetverkehrs auffangen zu können. Die dazu nötigen Instrumente sind relativ teuer. Zudem wird ein Schutz vor DDoS-Angriffen bereits heute auf dem Markt angeboten und kann von den Kundinnen erworben werden. Es ist deshalb nicht nötig, den Anbieterinnen vorzuschreiben alle ihre Kundinnen und Kunden vor solchen Angriffen zu schützen.
2 Grundzüge der Vorlage
2.1 Vorgeschlagene Regelung Die vorgeschlagene Regelung sieht eine Änderung von Artikel 96 FDV vor, um die Zusammenarbeit zwi schen dem BAKOM und der nationalen Alarmzentrale beim Empfang und bei der Bearbeitung von Meldun gen über Störungen im Betrieb von Fernmeldenetzen und -diensten zu institutionalisieren. Weitere neue Bestimmungen umfassen Massnahmen zur Bekämpfung der unbefugten Manipulation von Fernmeldeanla gen durch fernmeldetechnische Übertragungen und zur Gewährleistung der Sicherheit von Mobilfunknetzen der fünften Generation.
2.2 Umsetzungsfragen
2.2.1 Netzwerksicherheit von 5G-Mobilfunknetzen
Die Vorlage beschränkt sich in grossen Teilen auf Massnahmen, welche auch in anderen Ländern, insbe sondere der EU, implementiert werden33. Zudem beruhen sie teilweise auf internationalen Standards (z. B. 3GPP), an welchen auch die Mobilfunkindustrie mitwirkt34. Bezüglich der Audits nach Art. 96g sollen insbe sondere die Einhaltung anerkannter Normen geprüft werden, wofür ebenfalls etablierte Prozesse bestehen.
2.2.2 Unbefugte Manipulation von Fernmeldeanlagen
Bei der Pflicht, IP-Pakete mit gefälschter Quell-IP-Adresse zu filtern (Massnahme 1) handelt es sich gemäss den Ausführungen unter Ziff. 1.2.2.1 um erprobte Verfahren, für welche die IAP bei Bedarf auf öffentlich ver fügbare Umsetzungshilfen zurückgreifen können. Bei der Pflicht zur korrekten Konfiguration und Wartung von CPE (Massnahme 2) dürfte es in den meisten Fällen möglich sein, auf bestehende Lieferantenbeziehun gen zurückzugreifen und diese nötigenfalls anzupassen. Für die Pflicht der IAP zur Information der Kunden gemäss Massnahme 3 kann von etablierten Kommunikationswegen zum Kunden ausgegangen werden. Bei Massnahme 4 muss eine IAP erst aktiv werden, wenn sie z. B. vom NCSC kontaktiert wird und erhält zur Einleitung der Abwehrmassnahmen eine angemessene Frist.
3 Kommentar zu den einzelnen Bestimmungen
Artikel 96 und folgende sind nach ihrem persönlichen Geltungsbereich in drei Abschnitte unterteilt. Der 3. Abschnitt (Störungsmeldung) betrifft wie bereits heute sämtliche Anbieterinnen von Fernmeldediensten. Die Bestimmungen zur unbefugten Manipulation von Fernmeldeanlagen (4. Abschnitt) gelten für alle Anbie terinnen von Internetzugängen. Der Kreis der Akteure, die vom 5. Abschnitt betroffen sind, beschränkt sich auf die Mobilfunkkonzessionärinnen, das heisst Salt, Sunrise UPC und Swisscom. Was den sachlichen Gel tungsbereich anbelangt, gelten die Bestimmungen des 5. Abschnitts zudem nur für Mobilfunknetze der fünf ten Generation (vgl. Art. 96d).
32 Dies im Gegensatz etwa zu den Massnahmen 1 und 2, mit welchen nicht spezifisch die Kundinnen eines IAP, sondern allgemein die Adressaten des von den Kundinnen eines IAP generierten Internetverkehrs vor DDoS-Angriffen geschützt werden sollen. 33 NIS Cooperation Group (2020): Report on Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity von https://digital-strategy.ec.europa.eu/en/library/report-member-states-progress-implementing-eu-toolbox-5g-cybersecurity. 34 3GPP (2021): Partners von https://www.3gpp.org/about-3gpp/partners. 7
3. Abschnitt Störungsmeldung (Art. 96)
Die Pflicht der FDA, dem BAKOM Störungen im Betrieb der Netze zu melden, wurde am 1. April 2007 im Ar tikel 96 FDV eingeführt. Die Einzelheiten der Meldung von Störungen werden in den technischen und admi nistrativen Vorschriften des BAKOM betreffend die Meldung von Netzstörungen (SR 784.101.113/1.8) gere gelt. Störungen werden dem BAKOM mittels Webformular oder e-Mail gemeldet. Es gibt auch eine Reservelö sung per Telefon. Die Meldungen werden während der Bürozeiten bearbeitet und an die mitinteressierten Stellen verteilt. Um die Bearbeitung und Verteilung der eingegangenen Störungsmeldungen zu verbessern, ist es vorgese hen, in Zukunft mit der Nationalen Alarmzentrale (NAZ) zusammenzuarbeiten. Der Empfang solcher Meldun gen ist eine Kernaufgabe der NAZ. Sie hat dafür eine sichere Informatikinfrastruktur und einen 24-Stunden- Betrieb. Die NAZ wird die Störungsmeldungen in Echtzeit bearbeiten und verteilen können. Damit steigt der Nutzen der Meldungen insbesondere hinsichtlich Krisenbewältigung. Zum Teil stellen FDA Störungsmeldungen heute nicht nur dem BAKOM zu, sondern auch der NAZ. Durch die vorgesehene Zusammenarbeit zwischen dem BAKOM und der NAZ wird diese Doppelspurigkeit beseitigt und das Meldewesen vereinfacht. Zur Umsetzung der vorstehenden Ausführungen wird Artikel 96 FDV dahingehend ergänzt, dass entspre chende Störungen der NAZ zu melden sind. Das BAKOM seinerseits wird von der NAZ über die gemeldeten Störungen informiert. Im Weiteren wurde der wichtigste Grund für die Pflicht zur Meldung einer Störung (po tenzielle Betroffenheit von mindestens 30'000 Kundinnen und Kunden) aus den technischen und administra tiven Vorschriften in die FDV verschoben.
4. Abschnitt Unbefugte Manipulation von Fernmeldeanlagen
Einleitend sei an dieser Stelle festgehalten, dass die Bestimmungen dieses Abschnitts einzig für Anbieterin nen von Internetzugängen gelten, da erfahrungsgemäss nur diese von unbefugten Manipulation von Fern meldeanlagen betroffen sind.
Art. 96a Sicherheitsmassnahmen
Absatz 1 der vorliegenden Bestimmungen regelt die Bekämpfung von Angriffen auf die Verfügbarkeit von Internetdiensten durch eine Vielzahl von Anfragen (bekannt als «Distributed Denial of Service»-Angriffe, DDoS). Dieser Fall wird in der Botschaft zur Revision des FMG auch explizit erwähnt. Ein wichtiger Bestand teil im Kampf gegen DDoS ist die Verhinderung der Nutzung gefälschter IP-Adressen durch die Angreifer («Spoofing). Dadurch werden ausgehende DDoS-Angriffe, welche auf IP-Spoofing basieren, verunmöglicht. Zu diesem Zweck werden die Anbieterinnen von Internetzugängen verpflichtet, vernünftige technische Mög lichkeiten zu nutzen, mit denen aus ihrem Netzwerk stammende IP-Pakete mit gefälschter Quell-IP-Adresse gefiltert werden können. Zur Einrichtung solcher Ingress-Filter müssen die Anbieterinnen eine aktuelle Liste der berechtigten Netze führen. Eine solche Liste lässt sich automatisch aus der Routingtabelle generieren. Die nötigen technischen Schritte beschreibt die Internet Engineering Task Force (IETF) in den «Best Current Practices» BCP38 für single-homed networks (Netzwerke, bei welchen jedes Gerät über eine IP-Adresse verfügt) und BCP84 für «multi-homed networks» (Netzwerke, bei welchen ein Gerät über mehrere IP- Adressen verfügt). Die Anbieterinnen von Internetzugängen stellen ihren Kundinnen und Kunden häufig Geräte zur Verfügung (sogenanntes «Customer Premises Equipment», CPE). Diese spielen wegen ihrer sehr grossen Verbreitung bei der Bekämpfung von Cybervorfällen eine wichtige Rolle. Absatz 2 legt deshalb fest, dass die Sicherheits eigenschaften aller Fernmeldeanlagen, die den Kundinnen und Kunden zur Verfügung gestellt werden, ge mäss den anerkannten Regeln der Technik zu konfigurieren und zeitnah zu aktualisieren sind, sofern die entsprechenden Anbieterinnen weiterhin die Kontrolle über diese Anlagen ausüben. Dies schliesst die Mög lichkeit ein, Sicherheitslücken in solchen Geräten mittels pdates zu schliessen. Um die Risikoexposition bei solchen Geräten möglichst gering zu halten, wird das BAKOM technische und administrative Vorschriften erlassen. Die werden insbesondere folgende Grundsätze berücksichtigen müssen: − Für den Zugriff auf CPE dürfen keine Standardzugangsdaten (Benutzername, Passwort) verwendet werden. Die Zugangsdaten müssen individuell pro Gerät vergeben werden. Falls dies technisch
8
nicht möglich ist, muss bei der Inbetriebnahme des Geräts einen Wechsel der Zugangsdaten er zwungen werden. − Nicht benötigte Dienste auf dem CPE müssen deaktiviert sein. − Ausgehender SMTP Traffic auf Port 25 muss standardmässig bei allen Kundenanschlüssen im Pri vatkundenbereich («Residential»-Anschlüsse, in der Regel dynamische IP-Adressen) gesperrt sein. Bei spezifischem Bedarf oder auf berechtigten Kundenwunsch ist eine Freischaltung denkbar. − Im Auslieferungszustand eines CPE dürfen keine vom Internet her frei erreichbaren Ports offen sein. Für den Betrieb des CPE nötige offene Ports müssen durch technische Massnahmen (z.B. IP- Restriction) abgesichert werden. − Die für die Fernwartung durch die Anbieterin verwendeten Ports müssen möglichst weit einge schränkt werden (z.B. auf ein von der Anbieterin dafür verwendetes IP-Adress-Segment). − Das für den Fernwartungszugriff verwendete Protokoll muss mit einer zeitgemässen Verschlüsse lungstechnologie geschützt sein. − CPE müssen zeitnah mit vom Hersteller als kritisch eingestuften Sicherheitsupdates versorgt wer den. Werden die CPE vom Hersteller als «End of Life» klassifiziert, müssen sie ausgetauscht wer den. Wenn Fernmeldeanlagen mit Malware infiziert sind, können sie weitere Fernmeldeanlagen, mit denen sie eine Verbindung aufbauen können, gefährden. Über die Verbindung kann die Malware weiterverbreitet wer den, oder sie kann für andere schädliche Aktivitäten verwendet werden, beispielsweise den Versand von Spam, Phishing oder die Teilnahme an einer DDoS-Attacke. Aus diesem Grund ist es notwendig, in Absatz 3 Massnahmen gegen infizierte oder verwundbare Fernmeldeanlagen vorzusehen. Verschiedene Massnah men sind vorstellbar. Bei schädlichen Aktivitäten kann der Internetanschluss gesperrt oder eingeschränkt werden, um die Aktivität zu unterbrechen. Eine Sperrung kann auch dann eingesetzt werden, wenn ein ver wundbares Gerät über längere Zeit betrieben wird. Dies dient oft nicht nur dem Schutz der anderen Teilneh mer, sondern auch dem Schutz der betroffenen Person/Firma (Stichwort Ransomware Angriffe). Infizierte Geräte können sonst in einen Sandbox Modus («Walled Garden») versetzt werden, wobei der Internetan schluss zur Fernmeldedienstanbieterin aufrecht bleibt aber die Verbindung zum Internet stark eingeschränkt oder gesperrt wird. Damit stellt die Fernmeldeanlage keine Gefahr mehr für andere dar. Wenn schädliche Aktivitäten in Verbindung mit bestimmten Adressierungselementen (IP-Adressen oder Domain-Namen) ste hen, können diese für Kundenzugriffe gesperrt werden. Weil Nutzer von Sperrungen und Einschränkungen des Internetanschlusses stark getroffen werden, ist ihre zeitnahe Information durch die Anbieterinnen von Internetzugängen zwingend. Diese sollen die Nutzer daher transparent über die ihrerseits getroffenen Massnahmen informieren. Die zur Sperrung oder Nutzungseinschränkung nach der vorliegenden Bestimmung berechtigten Anbieterin nen werden auf die entsprechenden Massnahmen verzichten oder sich zumindest mit dem Dienst Überwa chung Post- und Fernmeldeverkehr ÜPF in Verbindung setzen müssen, wenn sie wissen, dass der entspre chende Internetzugang oder das entsprechende Adressierungselement Gegenstand einer Überwachungsanordnung ist. Dies dürfte bereits aus Artikel 26 Absatz 2 Buchstabe a des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF; SR 780.1) sowie Artikel 29 Absatz 2 und 3 der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF; SR 780.11) hervor gehen.
Art. 96b Meldestelle
Artikel 96b sieht vor, dass die Anbieterinnen von Internetzugängen eine spezialisierte Stelle zur Meldung un befugter Manipulationen von Fernmeldeanlagen durch fernmeldetechnische Übertragungen (sogenanntes «Abuse Desk») betreiben, der Manipulationen von Fernmeldeanlagen gemeldet werden können. Den Anbie terinnen steht es frei, dieses «Abuse Desk» selber zu betreiben oder Dritte damit zu beauftragen. Das «A buse Desk» kann nach den Bedürfnissen der Anbieterinnen ausgestaltet werden. Es ist jedoch sicherzustel len, dass innert angemessener Frist geeignete Abwehrmassnahmen eingeleitet werden können. Im Übrigen sind grundsätzlich folgende technischen und administrativen Anforderungen zu erfüllen: − Bei der zuständigen «Regional Internet Registry» (RIR) ist grundsätzlich für jeden «Network Range» (IP-Adressblöcke) ein Kontakt (E-Mail-Adresse) zu hinterlegen («abuse-c»). Geschieht dies nicht, müssen die Anbieterinnen einen generellen Kontakt für technische Fragen («tech-c») hinterlegen. Sie müssen sicherstellen, dass dieser Kontakt die Funktion des «Abuse Desks» wahrnehmen kann.
9
− Die Anbieterinnen stellen sicher, dass Meldungen über Manipulationen über die hinterlegte Adresse gemeldet werden können und innerhalb der gesetzten Fristen auf die Meldung reagiert werden kann. − Da Meldungen über Manipulationen oft Muster erhalten, die von Spamfilter aussortiert werden, müssten allfällige Filter sehr sorgfältig konfiguriert sein und es muss sichergestellt sein, dass die Nachricht in jedem Fall bearbeitet wird. Sollte sich der Rechtsbegriff «innert angemessener Frist» als zu offen erweisen, könnte das BAKOM diesen in den technischen und administrativen Vorschriften allenfalls präzisieren, indem es z. B. eine konkrete Dauer vorsieht und/oder je nach Kategorie der meldenden Personen unterschiedliche Regelungen trifft.
Art. 96c Vollzug
Das BAKOM vollzieht die vorliegende Bestimmung und erlässt die entsprechenden technischen und admi nistrativen Vorschriften. Dabei wird es vom NCSC mit der notwendigen fachlichen Expertise unterstützt.
5. Abschnitt Sicherheit von Netzen und Diensten, die von Mobilfunkkonzessionärinnen betrieben werden
Art. 96d Geltung
Alle Bestimmungen zu den Sicherheitsfunktionen gelten sowohl für eigenständige (Standalone gemäss 3GPP TS 33.501) als auch für nicht eigenständige (Non Standalone) 5G-Netze. Die derzeitigen 5G-Netze verfügen nämlich über kein 5G-Kernnetz, sondern sind nicht eigenständige 5G-Netze mit 5G-Funkstationen, die auf der bestehenden Infrastruktur von 4G-Netzen und nicht auf einer reinen 5G-Infrastruktur betrieben werden (5G Standalone). Die vom 3GPP (3rd Generation Partnership Project) standardisierten Sicherheitsfunktionen für 5G in den Be reichen Verschlüsselung des Datenverkehrs, Netzzugang und Authentifizierung (TS 33.501) bauen auf der Sicherheit von 4G-Netzen auf, was bedeutet, dass viele 5G-Sicherheitsfunktionen identisch mit jenen des 4G-Standards sind. Die bei 5G neu hinzugekommenen Sicherheitsfunktionen (z. B. Spoofing-Schutz des Kernnetzes betreffend Roaming-Frauds, Schutz vor Webtracking, SIM-lose Authentifizierung von IoT-Geräten) setzen das Vorhan densein eines 5G-Kernnetzes voraus (logische Funktionen zur Verwaltung der neuen Zugänge und zur Kon trolle von 5G-Funkstationen). Folglich können die in der Norm TS 33.501 spezifizierten Sicherheitsfunktio nen, die über 4G hinausgehen, technisch nicht vor der Einführung von 5G Standalone umgesetzt werden.
Art. 96e Sicherheitsmanagement
Die 5G-Mobilfunkinfrastruktur und die von ihr erzeugten und verarbeiteten Informationen sind wichtige Res sourcen, die umsichtig verwaltet werden müssen, um die Zuverlässigkeit und die Verfügbarkeit der Dienste zu gewährleisten. Absatz 1 verlangt von den Mobilfunkkonzessionärinnen künftig die Entwicklung, Umsetzung und kontinuierli che Überprüfung eines Managementsystems für die Informationssicherheit (Information Security Manage ment System, ISMS), wie dies von den meisten von ihnen bereits heute praktiziert wird. Die Umsetzung eines ISMS erfordert eine Planungsphase, in der die potenziellen Risiken der betreffenden Organisation ermittelt und evaluiert werden. Diese erste Phase ermöglicht es, eine Sicherheitspolitik unter Einbezug der zu beachtenden Risiken zu definieren und danach die Zielsetzungen im Sicherheitsbereich ebenso wie den zu sichernden Bereich zu beschreiben. Auf dieser Grundlage legt die Organisation schliess lich die Kontrollen fest, die ihrer Sicherheitspolitik und den Risiken, vor denen sie sich schützen will, entspre chen. Für den Bereich der Informations- und Kommunikationstechnologie wurden bereits ISMS in der Form von Normen entwickelt. Dazu zählt insbesondere die Normenreihe ISO/IEC 2700x (ISO/IEC 27001:2005 Infor mation technology – Security techniques – Information security management systems – Requirements; ISO/IEC 27002:2005 Information technology – Code of practice for Information Security Management; ISO/IEC 27011:2008 Information technology – Security techniques – Information security management gui delines for telecommunications organizations based on ISO/IEC 27002), auf die gemäss Absatz 3 dieses Artikels in den technischen und administrativen Vorschriften verwiesen werden soll. Diese Normen betreffen vor allem Aspekte der physischen Sicherheit, der Zugangsverwaltung und der Soft waresicherheit. Das betriebliche Kontinuitätsmanagement und das Management von Sicherheitsvorfällen
10
sind zwar in der Regel ebenfalls in den ISMS enthalten, wie bei jenen, die in den Normen ISO/IEC 2700x beschrieben werden. Sie werden jedoch in Absatz 2 explizit erwähnt, weil es sich dabei um Elemente han delt, die bei der Erbringung von Dienstleistungen für die Allgemeinheit zwingend berücksichtigt werden müs sen. Um die Anforderungen an das Kontinuitätsmanagement und das Management von Sicherheitsvorfällen zu präzisieren, ist vorgesehen, in den technischen und administrativen Vorschriften auf die Norm ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements zu verwei sen. Ein ISMS richtet sich an Unternehmensleitungen, die für die Sicherheit verantwortlichen Mitarbeitenden und externe Evaluationsstellen. Eine unabhängige Evaluation durch eine akkreditierte Zertifizierungsstelle kann zu einer anerkannten Zertifizierung führen, die belegt, dass das betreffende Unternehmen das Sicherheits management beherrscht. Es ist derzeit nicht geplant, von Mobilfunkkonzessionärinnen eine solche Zertifizie rung zu fordern. Das BAKOM kann jedoch im Rahmen seiner Aufsichtsaufgaben von der Konzessionärin In formationen über die Umsetzung des ISMS verlangen (vgl. Art. 96g). Die Ausarbeitung eines ISMS wird von den Zielen, Bedürfnissen, Anforderungen und Risiken im Zusammen hang mit der Tätigkeit der betreffenden Organisation beeinflusst. Es hängt im Übrigen von den eingesetzten Technologien, der Kundschaft sowie der Grösse und Struktur der Organisation ab. Jegliche Veränderung dieser Kriterien muss eine Anpassung des Sicherheitsmanagementsystems nach sich ziehen. Der Aufwand für die Umsetzung eines ISMS hängt somit direkt mit der Organisation und den angebotenen Diensten zu sammen.
Art. 96f Betrieb sicherheitskritischer Fernmeldeanlagen
Die Mobilfunkkonzessionärinnen müssen sicherstellen, dass die von ihnen betriebenen sicherheitskritischen Fernmeldeanlagen nach anerkannten Sicherheitsnormen zertifiziert sind. Das BAKOM definiert die sicher heitskritischen Fernmeldeanlagen, bei Bedarf in Zusammenarbeit mit der Branche. Die Liste der sicherheits- kritischen Anlagen wird in den entsprechenden technischen und administrativen Vorschriften aufgeführt. Auf europäischer Ebene und im Auftrag der Europäischen Kommission wird die ENISA (EU-Agentur für Cy bersicherheit) ein neues Zertifizierungssystem für die Cybersicherheit von 5G-Netzen ausarbeiten. Diese Etappe schliesst an den Massnahmenkatalog der Europäischen Union für die Sicherheit von 5G-Netzen (5G- Toolbox) an und dürfte die Cybersicherheit von 5G-Netzen verbessern, da sie zur Eliminierung gewisser Ri siken beiträgt. Das neue System wird sich auf bereits bestehende Bestimmungen und Systeme zur Zertifizierung der Cy bersicherheit sowie auf Erfahrungen der ENISA abstützen, welche die Agentur seit Beginn ihrer Arbeiten im Bereich der Zertifizierung der Cybersicherheit gesammelt hat. Das Programm ist aktuell noch nicht abge schlossen, und im Frühsommer 2021 wurde ein Aufruf zur Interessensbekundung für Sachverständige lan ciert. Sobald dieses Zertifizierungssystem für 5G eingeführt ist, wird das BAKOM die Möglichkeiten für seine Nutzung prüfen. Es gibt jedoch bereits andere anerkannte Normen in diesem Bereich, wie beispielsweise das NESAS (Net work Equipment Security Assurance Scheme35) der GSMA. GSMA NESAS ist eine freiwillige Initiative der Mobilfunkbranche zur Einführung eines Programms, mit dem die Sicherheit von Mobilnetzanlagen und -infra strukturen kontinuierlich verbessert werden soll. Diese Norm betrifft Geräte, die vom 3GPP definierte Funkti onen unterstützen und die von Mobilfunkbetreiberinnen in ihren Netzen eingesetzt werden. Die GSMA entwi ckelt weltweit anerkannte Sicherheitsstandards und Zertifizierungen, an denen sich die gesamte Telekommunikationsbranche beteiligt. Letztere setzt grosses Vertrauen in diese Spezifikationen, was ge währleistet, dass der technische Fortschritt nicht gebremst wird. Es ist darauf hinzuweisen, dass NESAS we der den Versand und die Bereitstellung von Netzausrüstung noch die Konfiguration und den Betrieb von Netzausrüstung in Mobilfunknetzen abdeckt. Die GSMA hat die Sicherheitsanforderungen und -prozesse für NESAS in Zusammenarbeit mit 3GPP, Be treiberinnen und Geräteherstellerinnen entwickelt. Die Organisation führt eine aktuelle Liste von Geräteher stellerinnen, die am Programm beteiligt sind und deren Entwicklungs- und Life-Cycle-Prozesse sowie Netz werkprodukte einer Sicherheitsbeurteilung unterzogen worden sind. Die aktuelle Version der GSMA NESAS definiert die Elemente, die für die Entwicklung eines Zertifizierungs systems erforderlich sind:
35 https://www.gsma.com/security/network-equipment-security-assurance-scheme/. 11
- Ernennung einer Audit-Organisation - Akkreditierung von Prüfstellen - Sicherheitsanforderungen im Zusammenhang mit den Prozessen des Lieferanten und den Netz werkprodukten sowie Methoden zur Evaluation der Prozesse des Lieferanten und der Produkte. Gewisse Anbieterinnen von Mobilnetzausrüstung (vor allem aus China) haben die Entwicklungs- und Life- Cycle-Prozesse einiger ihrer Produkte von unabhängiger Seite bewerten und prüfen lassen («GSMA NESAS»-zertifizierte Prüfstellen), um die Integration der Sicherheit in ihre Design-, Entwicklungs-, Implemen tierungs- und Wartungsprozesse nachzuweisen (z. B. für die «5G gNodeB»-Produktelinien [Basisstationen]). Trotz zunehmender Möglichkeiten der Virtualisierung der Mobilfunknetze stellt die Präsenz von Infrastruktu ren und Anlagen vor Ort oder in Ländern mit vergleichbaren Sicherheitsmassnahmen nach wie vor einen Si cherheitsvorteil dar. In diesem Sinne sieht Absatz 2 der vorliegenden Bestimmung vor, dass Netzwerk- und Sicherheitsbetriebszentren der Mobilfunkkonzessionärinnen in der Schweiz, im Europäischen Wirtschafts raum oder im Vereinigten Königreich zu betreiben sind. Gemäss Art. XIVbis Absatz 1 Buchstabe b von Anhang 1B des Abkommens zur Errichtung der Welthandels organisation (General Agreement on Trade in Services; GATS) hindern dessen Bestimmungen ein Mitglied nicht daran, Massnahmen zu treffen, die nach seiner Auffassung zum Schutz seiner wesentlichen Sicher heitsinteressen notwendig sind. Ein Teil der Lehre vertritt die Auffassung, dass auch Cybersicherheit in den Anwendungsbereich dieser Bestimmung fallen könnte. Davon scheint auch die Europäische Union auszugehen, geht aus dem Bericht der «NIS Cooperation Group» (Vertreter/-innen der EU-Mitgliedstaaten/EU-Kommission/ENISA) über die Fortschritte bei der Um setzung der EU-Toolbox für 5G-Cybersicherheit doch hervor, dass 16 von 26 im Bericht berücksichtigte EU- Mitgliedstaaten bereits sichergestellt haben oder bis 2021 sicherstellen werden, dass die Mobilfunkbetreibe rinnen ihre Network Operations Centres und Security Operations Centres vor Ort, innerhalb des Landes und/oder innerhalb der EU betreiben (Report on Member States’ progress in implementing the EU Toolbox on 5G Cybersecurity | Shaping Europe’s digital future; Veröffentlichung 24. Juli 2020; letztes Update: 8. März 2021). Die erwähnte Toolbox stellt im Übrigen auch weitergehende Eingriffe, wie z. B. den gänzlichen Ausschluss bestimmter Akteure von Aktivitäten auf dem Territorium der Mitgliedstaaten, zur Auswahl und geht offen sichtlich davon aus, dass auch diese durch das Recht der Welthandelsorganisation gedeckt wären.
Art. 96g Anwendbare Vorschriften und Aufsicht
Da Artikel 96e und 96f auf die anerkannten Sicherheitsnormen verweisen, obliegt es dem BAKOM, in seinen technischen und administrativen Vorschriften die Normen zu bezeichnen, die verbindlich anzuwenden sind (Abs. 1). Die Einhaltung dieser Normen kann von der betroffenen Anbieterin durch ein Zertifikat einer zustän digen Stelle gemäss dem schweizerischen Akkreditierungssystem (vgl. Verordnung vom 17. Juni 1996 über das schweizerische Akkreditierungssystem und die Bezeichnung von Prüf-, Konformitäts-, Anmelde- und Zu lassungsstellen; SR 946.512) oder einem anderen Zertifizierungssystem (GSMA NESAS, Europäische Cy bersicherheitssysteme36) nachgewiesen werden. Wurde das Sicherheitsmanagementsystem nicht auf freiwil liger Basis zertifiziert (Art. 96e) oder werden sicherheitskritische Fernmeldeanlagen betrieben, die nicht nach anerkannten Sicherheitsnormen zertifiziert sind (Art. 96f), kann eine Mobilfunkkonzessionärin im Rahmen der Aufsicht dazu verpflichtet werden, sich auf eigene Kosten bei einer qualifizierten Stelle einem Audit zu unterziehen oder ihre Fernmeldeanlagen prüfen zu lassen und dem BAKOM die Ergebnisse dieses Audits oder dieser Prüfung vorzulegen (Abs. 2). Eine solche Massnahme kann jedoch nur im Rahmen von Artikel 58 Absatz 2 FMG ergriffen werden, wenn der Verdacht besteht, dass die Konzessionärin die Anforderungen von Art. 96e und 96f nicht einhält und das BAKOM nicht in der Lage ist, den entsprechenden Sachverhalt selbst festzustellen. Sie ist jedoch dann ausgeschlossen, wenn kein solcher Verdacht besteht, insbesondere im Rahmen der generellen Überwachung im Sinne von Artikel 58 Absatz 1 FMG (Aufsichtskampagnen). Es muss auch sichergestellt werden, dass die qualifizierte Stelle die Informationen, zu denen sie Zugang hat, vertraulich behandelt, insbesondere solche, die sich auf eine mögliche Überwachungsmassnahme im Sinne des BÜPF beziehen. Bei Telekommunikationsanlagen wird das BAKOM die grundlegenden fernmeldetechnischen Anforderungen,
36 Vgl. Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikations technik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), ABl. L 151/15. 12
die der Bundessrat in Artikel 96f festgelegt hat, gemäss Artikel 31 Absatz 2 Buchstabe b FMG konkretisie ren. Dabei ist es für die Notifikationen im Rahmen der Welthandelsorganisation (WTO) und der Europäi schen Freihandelsassoziation (EFTA) zuständig. Im Weiteren sind die einschlägigen Bestimmungen der Ver ordnung vom 25. November 2015 über Fernmeldeanlagen (FAV; SR 784.101.2) anwendbar. Insbesondere gilt Artikel 17 FAV für die Akkreditierung, Anerkennung oder Zulassung von Prüf- und Konformitätsbewer tungsstellen. Wird eine bezeichnete technische Norm geändert, so muss das BAKOM festlegen, ab welchem Zeitpunkt die Vermutung der Konformität für konforme Funkanlagen nach der vorangehenden Fassung da hinfällt (vgl. Art. 8 Abs. 2 FAV).
4 Auswirkungen
4.1 Auswirkungen auf den Bund
4.1.1 Netzwerksicherheit von 5G-Mobilfunknetzen
Auswirkungen in finanzieller, personeller und anderer Hinsicht auf den Bund wurden geprüft und sind in ei ner ersten Phase nicht in relevantem Ausmass zu erwarten. Die Umsetzung und Kostentragung hat zu nächst vorab durch die Unternehmen zu erfolgen. Für das BAKOM resultiert im Bereich der Normierung und der Aufsicht im Zusammenhang mit Sicherheitsbestrebungen zu 5G Mobilfunknetzen dennoch ein zusätzli cher Aufwand, der gegenwärtig schwer zu beziffern ist. In einer ersten Phase sollen denn auch die zusätzli chen Aufgaben im Bereich der Standardisierung und der Aufsicht in die bestehenden Arbeitsprozesse des BAKOM integriert werden. Die weitere Entwicklung ist diesbezüglich jedoch aufmerksam zu verfolgen.
4.1.2 Unbefugte Manipulation von Fernmeldeanlagen
Auswirkungen in finanzieller, personeller und anderer Hinsicht auf den Bund wurden geprüft und sind für den Bund insgesamt nicht in relevantem Ausmass zu erwarten. Das NCSC informiert bereits heute die Anbiete rinnen über mögliche Cyberangriffe in oder aus ihrem Netz, da dies für die Cybersicherheit der Schweiz von grosser Bedeutung ist. Die in der Verordnung beschriebene Aufgabe des NCSC kann daher mit den beste henden Ressourcen ausgeführt werden. Beim BAKOM führen die neuen Aufgaben im Bereich Cyber-Sicher heit und der gemeinsame Vollzug mit dem NCSC zu einem zusätzlichen Bedarf von ein bis zwei Stellen. Da für verfügt das NCSC über einen Stellenpool. Das BAKOM hatte bereits in der Vergangenheit Bedarf geltend gemacht, wurde aber bisher nicht berücksichtigt. Mit den vorliegenden Bestimmungen ist der Bedarf nun ausreichend konkret. In der Gesamtsicht ergeben sich für den Bund keine relevanten Auswirkungen, da der Stellenpool bereits besteht.
4.2 Auswirkungen auf die Volkswirtschaft
4.2.1 Netzwerksicherheit von 5G-Mobilfunknetzen
Mit den vorgeschlagenen vier Massnahmen zur 5G-Sicherheit werden kostenseitig die drei in der Schweiz tätigen Mobilfunkkonzessionärinnen (MNO) adressiert. Im Zeitraum zwischen Ende März und Mitte Mai 2021 hat das BAKOM bei den drei MNO eine Umfrage zu den von ihnen ergriffenen und geplanten technischen Massnahmen aus der 5G-Toolbox sowie deren Kosten durchgeführt. Die Umfrage hat gezeigt, dass die Anbieterinnen bei ihren Informations-Sicherheits-Management-Systemen (ISMS) grossen Wert auf die ISO Norm 27001 legen. Auf diese und vergleichbare Normen sollen sich auch die konkretisierten Anforderungen in den technischen und administrativen Vorschriften beziehen. Für die MNO ist daher gegenüber dem Status Quo nicht mit grossen Änderungen und Kosten zu rechnen. Aus den Eingaben lässt sich auch ableiten, dass die MNO eine Zertifizierung von Netzelementen grundsätz lich unterstützen und von ihren Lieferanten auch gewisse Sicherheitsanforderungen verlangen. Internatio nale Normen werden von ihnen in den Vordergrund gestellt, allen voran die GSMA NESAS. Es ist zu erwar ten, dass mit einer Regelung in diesem Bereich nicht mit signifikanten zusätzlichen Kosten zu rechnen ist. Die Pflicht Network Operation Centers (NOC) und Security Operation Centers (SOC) in der Schweiz, dem europäischen Wirtschaftsraum oder dem UK zu betreiben wird grundsätzlich bereits erfüllt.
13
Die MNO haben die von ihnen ergriffenen Massnahmen in unterschiedlichem Detailgrad beschrieben. Zu den konkreten mit den Massnahmen verbundenen Kosten haben sie grösstenteils keine oder nur wenige An gaben gemacht. Entsprechend können auch nur qualitative Aussagen zu Kosten vorgenommen werden. Weiter können den MNO durch allfällige Verpflichtungen zur Auditierung Kosten entstehen. Insbesondere bei einer hohen Konformität mit den relevanten Standards ist jedoch nicht von einem hohen Auditierungs rhythmus auszugehen, da eine Verpflichtung zur Auditierung auf Kosten der jeweiligen MNO nur im Rahmen von Art. 58 Abs. 2 FMG ergriffen werden darf, wenn der Verdacht besteht, dass eine Konzessionärin die An forderungen von Art. 96e oder 96f nicht einhält und das BAKOM nicht in der Lage ist, die entsprechenden Tatsachen selbst festzustellen. Die Kosten eines einzelnen Audits sind dabei abhängig vom konkreten Um fang der Prüfung. Schätzungsweise liegen sie in den meisten Fällen im fünfstelligen Bereich.37 Der Nutzen für die Volkswirtschaft ergibt sich aus der Vermeidung von Kosten, welche den Haushalten, Un ternehmen und weiteren gesellschaftlichen Gruppen im Falle von Risikoeintritten im Zusammenhang mit der Sicherheit von 5G-Netzen entstehen können. So haben Ausfälle in der Mobilfunkversorgung potenziell be deutende Auswirkungen. Mobilfunk an38 sich spielt bei Internetnutzerinnen und -nutzern39 sowie bei den Un ternehmen40 eine immer grössere Rolle. Das BABS rechnet im Gefährdungsdossier «Ausfall Mobilfunk» bei einem dreitägigen Totalausfall eines grossen Mobilfunkproviders mit aggregierten Schäden in einem Bereich um rund neun Milliarden Franken. Ein solcher sehr unwahrscheinlicher41, aber aufgrund der genannten Schadenssumme dennoch relevanter Ausfall eines Netzes ist jedoch nur eine mögliche Auswirkung. Sicher heitslücken in Betrieb und Infrastruktur von 5G-Mobilfunknetzen können verschiedenste Arten von Cyber- Angriffen auf die über 5G bedienten Anwendungen und Daten erleichtern, etwa Datendiebstahl und Erpres sung. Eine relativ aktuelle Studie zu kleinen und mittleren Unternehmen (KMU) zeigt, dass ein Viertel der befragten Schweizer KMU bereits Opfer eines Cyber-Angriffs wurden und zu rund einem Drittel finanzielle Schäden sowie in kleinerem Ausmass Kundendatenverlust und/oder einen Reputationsschaden erlitten42. Eine Studie aus Österreich zeigt, dass selbst in der wirtschaftlich schwierigen Pandemiezeit beinahe drei Viertel der befragten Unternehmen ihr Budget für Cyber-Sicherheit erhöht haben.43 Wie beschrieben sind diese potenziellen nutzenseitigen Auswirkungen auf die Volkswirtschaft jedoch indi rekt. Die Wahrscheinlichkeit z. B. eines Ausfalls lässt sich zudem kaum auf einzelne Sicherheitsmassnah men herunterbrechen. Weiter ist das Schadenspotenzial von Cyber-Risiken an sich nur schwer messbar44. Entsprechend lässt sich der spezifische Nutzen aus den vorgeschlagenen Massnahmen nicht quantifizieren.
4.2.2 Unbefugte Manipulation von Fernmeldeanlagen
Der Nutzen für die Volkswirtschaft ergibt sich aus der Vermeidung von Kosten, welche den Haushalten, Un ternehmen und weiteren gesellschaftlichen Gruppen aus Cyber-Angriffen entstehen können. Die unter den Ziff. 1.1.2 und 1.2.2 bzw. den ersten zwei RFA-Prüfpunkten beschriebenen volkswirtschaftlichen Kosten von Cyberangriffen sind hoch und stiegen über die letzten Jahre stark an. Sie lassen sich schwer berechnen, da
37 Basis für diese Schätzung bilden Richtwerte, welche von der Offert-Plattform gryps.ch für KMU mit 60 Mitarbeitenden ausgewiesen werden (GRYPS ]2021]: ISO Zertifizierung Kosten von https://www.gryps.ch/produkte/iso-9001-zertifizierung-178/kosten/). Für ein Erstzertifizierungsaudit wird bspw. ein Richtwert von 16'000 CHF veranschlagt. Nun sind einerseits die MNO deutlich grösser, wo mit für ein Audit mit deutlich höheren Kosten zu rechnen wäre. Andererseits ist der zu prüfende Umfang in der Regel deutlich gerin ger als bei einem Erstzertifizierungsaudit, wodurch sich die zu veranschlagenden Kosten für ein Audit wiederum reduzieren. Auf grund dieser gegenläufigen Effekte erscheint es wahrscheinlich, dass die resultierenden Kosten unter CHF 100'000 zu liegen kommen. 38 Wie unter Ziff. 1.1.1 beschrieben, wird Mobilfunk zunehmend über 5G geleistet. 39 Gemäss BfS (2020): Mobile Internetnutzung von https://www.bfs.admin.ch/bfs/de/home/statistiken/kultur-medien-informationsge sellschaft-sport/informationsgesellschaft/gesamtindikatoren/haushalte-bevoelkerung/mobile-internetnutzung.assetde tail.12307308.html griffen im Jahr 2019 84% der Schweizer Internetnutzerinnen und –nutzer im Alter zwischen 16 und 74 Jahren auf Mobiltelefone zurück. 40 Gemäss BfS (2019): IKT Infrastruktur in den Unternehmen von https://www.bfs.admin.ch/bfs/de/home/statistiken/kultur-medien- informationsgesellschaft-sport/informationsgesellschaft/gesamtindikatoren/unternehmen/ikt-infrastruktur.assetdetail.8486582.html nutzten im Jahr 2017 77% der Unternehmen mobile Breitbandanschlüsse. 41 Die Wahrscheinlichkeit eines solchen Ausfalls (Szenario 2 – gross) wird mit rund einmal in 30 Jahren angegeben. BABS (2020): Ausfall Mobilfunk von https://www.babs.admin.ch/de/aufgabenbabs/gefaehrdrisiken/natgefaehrdanalyse/gefaehrddossier.html. Die methodischen Grundlagen sind beschrieben in BABS (2020): Methode zur nationalen Risikoanalyse von https://www.babs.ad min.ch/de/aufgabenbabs/gefaehrdrisiken/natgefaehrdanalyse.html. 42 Peter et al. (2020): Digitalisierung, Home-Office und Cyber-Sicherheit in KMU von https://www.fhnw.ch/de/die-fhnw/hochschu len/hsw/media-newsroom/news/digitalisierung-home-office-und-cyber-sicherheit/media/digitalisierung-home-office-cyber-sicherheit- kmu-2020-12.pdf bzw. Schlussbericht von Gfs-zürich (2020): Homeoffice-Welle in Schweizer KMU: Chancen wahrgenommen – Cyberrisiken unterschätzt von https://gfs-zh.ch/homeoffice-welle-in-schweizer-kmuchancen-wahrgenommen-cyberrisiken-unter schaetzt/. 43 KPMG (2021): KPMG Studie: Cyberrisiken werden durch die Pandemie beschleunigt von https://home.kpmg/at/de/home/me dia/press-releases/2021/04/kpmg-studie-cyberrisiken-werden-durch-die-pandemie-beschleunigt.html. 44 Biener et al. (2015): Cyber Risk: Risikomanagement und Versicherbarkeit von https://www.kessler.ch/fileadmin/09_PDFs/Cy ber_Risk_Risikomanagement_und_Versicherbarkeit_de.pdf. 14
längst nicht alle Opfer eines Cyberangriffs diesen auch publik machen und es sehr schwierig ist, die indirek ten Kosten von Cyberangriffen (z. B. Reputationsschäden, Vertrauensverluste, Kundenunzufriedenheit) adä quat zu messen. Die Nutzeneffekte lassen sich zudem kaum auf einzelne Sicherheitsmassnahmen herunter brechen. Es ist jedoch unbestritten, dass die Schäden durch Cyberangriffe längst eine volkswirtschaftlich relevante Dimension erreicht haben. Massnahmen zur Reduktion dieser Kosten wirken sich daher unmittel bar positiv aus. Es wird generell davon ausgegangen, dass sich die Cybersicherheit immer stärker zu einem Wettbewerbs faktor bei der Digitalisierung entwickelt.45 Damit die Schweiz ihre Standortvorteile auch in der digitalen Wirt schaft nutzen kann, müssen auch auf regulatorischer Ebene die nötigen Voraussetzungen geschaffen wer den. Mindestanforderungen an die Anbieterinnen von Internetzugängen in Bezug auf die Sicherheit tragen dazu bei, dass das volkswirtschaftliche Potential der Digitalisierung genutzt werden kann. Während sich damit die vorgeschlagenen Massnahmen gesamtwirtschaftlich und gesellschaftspolitisch (vgl. Ziff. 4.3.2) positiv auswirken werden, sind sie für die IAP mit Kosten verbunden. Es ist nicht möglich, die Kos ten zu beziffern, da viele Faktoren, wie zum Beispiel das Ausmass der heute bereits umgesetzten Massnah men durch die Anbieterinnen oder die Reduktion der Kosten durch technische Entwicklungen, nur sehr schwer zu erheben sind. In diesem Abschnitt wird deshalb eine qualitative Einschätzung zu den Kosten ge macht und jeweils spezifisch darauf eingegangen, welche Auswirkungen insbesondere auf kleinere Anbiete rinnen zu erwarten sind. Zwar konzentrierten sich Stand 2019 gemessen an der Kundenzahl 86% der Markt anteile auf fünf grosse IAP. Gleichzeitig machen diese Unternehmen nur einen Bruchteil aller in der Schweiz tätigen IAP aus. Insgesamt sind rund 170 IAP in der Schweiz tätig. Davon haben ca. 60% zwischen 1 und 1’000 Internet-Kundinnen und Kunden, 25% der IAP haben zwischen 1’000 und 10’000 und 15% verfügen über mehr als 10'000 Kundinnen und Kunden.46
4.2.2.1 Kosten der Massnahme 1: Pflicht der Anbieterinnen, zur Filterung von IP-Paketen mit gefälschter Quell-IP-Adresse (Spoofing)
Die Einführung von Methoden zur Filterung von IP-Paketen mit gefälschter Quell-IP-Adresse führt zu einem technischen und administrativen Aufwand bei den Anbieterinnen. Sie müssen die Filter technisch implemen tieren und die berechtigten Netze identifizieren. Die Filter müssen zudem stets aktualisiert werden, damit keine legitimen IP-Pakete gefiltert werden. Da die Methodik der Ingress-Filterung jedoch bereits vor 20 Jah ren entwickelt wurde, ist die Umsetzung heute sehr viel einfacher geworden. Es gibt zahlreiche frei zugängli che Hilfsmittel und Guidelines dazu47 und technische Hindernisse für die Umsetzung der Filterung sind in den letzten Jahren stark gesunken. Bei der Beurteilung der Kosten ist wichtig festzuhalten, dass die Kosten für kleinere Anbieterinnen deutlich tiefer sind als für grössere Anbieterinnen.48 Die kleineren Anbieterinnen haben einen deutlich geringeren Auf wand bei der Feststellung, welche Netze berechtigt sind und werden auch beim Betrieb des Filters mit weni ger komplexen Anforderungen konfrontiert. Zudem sollen ausgehende Verbindungen mit gefälschten Adres sierungselementen nur dann verhindert werden, wenn dies für die IAP mit vertretbarem Aufwand technisch möglich ist.
4.2.2.2 Kosten der Massnahme 2: Pflicht der Anbieterinnen, die Sicherheit der von ihnen den Kunden zur Verfügung gestellten Geräte gemäss dem aktuellen Stand der Tech nik zu gewährleisten.
Die Massnahme 2 kann für die Anbieterinnen bei der Beschaffung und der Wartung von CPE zu höheren Preisen führen. Entscheidend sind die vertraglichen Vereinbarungen mit den Herstellern der CPE. Die tech nischen Anforderungen an die Geräte können von den Herstellern zu geringen Kosten erfüllt werden. Die Anbieterinnen müssen aber sicherstellen, dass die Hersteller vertraglich dazu verpflichtet werden. Sicher heitsmassnahmen bei der Fernwartung, das zeitnahe Einspielen von Sicherheitsupdates und der Ersatz der
45 Bundesamt für Sicherheit in der Informationstechnik (2016): Cyber-Sicherheit als Wettbewerbsvorteil in der Digitalisierung von https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Cyber- Sicherheit_als_Wettbewerbsvorteil.pdf?__blob=publicationFile&v=3. 46 BAKOM (2021 auf Basis von Zahlen aus der Fernmeldestatistik des Jahres 2019). Siehe auch Internet Service Provider von https://www.bakom.admin.ch/bakom/de/home/telekommunikation/zahlen-und-fakten/sammlung-statisticher-daten/internet-service- provider.html. 47 MANRS (2016-2021): Anti-Spoofing von https://www.manrs.org/isps/guide/antispoofing/. 48 Lone et al. (2020): SAVing the Internet: Explaining the Adoption of Source Address Validation by Internet Service Providers von https://weis2020.econinfosec.org/wp-content/uploads/sites/8/2020/06/weis20-final31.pdf. 15
CPE bei Ende der Lebensdauer liegt in der Verantwortung der Anbieterinnen. Die Hersteller stellen jedoch die nötigen Updates zur Verfügung, so dass der Aufwand für die Anbieterinnen üblicherweise gering ist. Das Risiko und der Wartungsaufwand für unsichere oder veraltete CPE-Geräte ist über längere Dauer sehr wahr scheinlich kostspieliger als eine korrekte Konfiguration und Wartung der Geräte. Auch die Massnahme 2 wird bei grösseren Anbieterinnen tendenziell zu höheren Kosten führen als bei klei neren Anbieterinnen. Letztere haben weniger CPE im Einsatz und können daher die sichere Konfiguration und Wartung mit geringerem Ressourcenaufwand sicherstellen. Zu beachten ist, dass Art. 96a Abs. 3 nur den Fall regelt, in dem die Geräte den Kunden durch die IAP zur Verfügung gestellt werden. Bezieht der Kunde sein Gerät über eine Drittanbieterin, fallen keine Regulie rungskosten an. Nach der Auslieferung der Geräte wiederum fallen allfällige Zusatzkosten bspw. beim Ein spielen von Sicherheitsupdates nur an, falls die IAP weiterhin die Kontrolle über die Geräte innehaben.
4.2.2.3 Massnahme 3: Recht, Internetzugänge oder Adressierungselemente, von denen eine Gefährdung von Fernmeldeanlagen ausgeht, zu sperren oder deren Nutzung einzu schränken sowie Pflicht zur Information der Kunden
Da die Sperrung oder Einschränkung des Internetanschlusses im Ermessen der Anbieterinnen bleibt, gene riert diese Massnahme nur dann Kosten, wenn sich die Anbieterinnen zur Sperrung oder Einschränkung ent scheiden. Auch in diesem Fall liegen die Kosten tief und sind im Interesse der Anbieterin. Bezüglich Informa tionspflicht entstehen der Anbieterin mindestens gleichwertige Kosten, wie wenn sie die Kunden nicht aktiv über eine Sperrung oder Einschränkung ihrer Anschlüsse informiert, weil davon auszugehen ist, dass in ei nem solchen Fall die Kunden ihre Anbieterin mit hoher Wahrscheinlichkeit von sich aus kontaktieren würden. Beim Kundendienst entsteht damit so oder so Aufwand.
4.2.2.4 Massnahme 4: Pflicht der Anbieterinnen, eine Meldestelle für die Meldung von Mani pulationen zu führen und auf Meldungen innerhalb einer angemessenen Frist mit ge eigneten Abwehrmassnahmen zu reagieren.
Die Pflicht, eine Meldestelle zu bezeichnen, welche eine Reaktion auf Meldungen in den gegebenen Fristen sicherstellt, führt bei Anbieterinnen, welche noch nicht über eine solche Meldestelle verfügen zu Kosten. Die geforderte Reaktionszeit innerhalb einer angemessenen Frist verhindert aber, dass die Anbieterinnen einen Pikettdienst über Nacht oder über das Wochenende aufrechterhalten müssen. Es kann zudem mit dem NCSC Rücksprache genommen werden, ob die Meldung des NCSC auch über andere Kanäle erfolgen kann, womit den Anbieterinnen ermöglicht wird, die Reaktionsfähigkeit innert angemessener Frist zu mög lichst geringen Kosten sicherzustellen. Den Kosten für die IAP steht ein hoher Nutzen beim Schutz der übri gen Anschlüsse gegenüber, da nur durch eine rasche Reaktion die Gefährdung der übrigen Anschlüsse re duziert werden kann. Die Kosten der Reaktion bzw. der Abwehrmassnahmen an sich sind schwierig zu beziffern, da sie in hohem Mass variieren je nach Anbieterin und vor allem je nach Gefährdung. Die mögli chen Gefährdungen und die angemessenen Abwehrmassnahmen der IAP darauf entwickeln sich zudem lau fend weiter.
4.3 Auswirkungen auf die Gesellschaft
4.3.1 Netzwerksicherheit von 5G-Mobilfunknetzen
Nutzenseitig lassen sich auch die Auswirkungen auf die Gesellschaft, insbesondere auf Gesundheit und Si cherheit, anführen. Etwa beschreibt das in Ziff. 4.2.1 (Auswirkungen auf die Volkswirtschaft) erwähnte Ge fährdungsdossier des BABS auch Todesfälle, Verletzte und Einschränkungen in der Tätigkeit von Blaulicht organisationen als mögliche Folgen eines Mobilfunkausfalls.
16
4.3.2 Unbefugte Manipulation von Fernmeldeanlagen
Die Digitalisierung hat grosse Auswirkungen auf die Gesellschaft, da sie den Alltag der Menschen direkt be trifft. Cybervorfälle verunsichern die Menschen bei der Nutzung digitaler Angebote. Es ist für das Vertrauen der Gesellschaft in die digitalen Technologien wichtig, dass diese einen Mindeststandard an Sicherheit erfül len. Wenn die Konsumentinnen beim IAP ein Gerät beziehen, sollten sie daher davon ausgehen können, dass dieses gemäss Massnahme 2 so konfiguriert ist, dass es gegenüber Cyberangriffen minimal geschützt ist.
4.4 Auswirkungen in weiteren überprüften Bereichen
4.4.1 Netzwerksicherheit von 5G-Mobilfunknetzen
Mögliche Auswirkungen sowohl auf Kantone und Gemeinden sowie auf urbane Zentren, Agglomerationen und Berggebiete, auf die Umwelt als auch andere Auswirkungen wurden geprüft. Es ist potenziell mit indirek ten, nutzenseitigen Auswirkungen in Folge sicherer 5G-Netze zu rechnen. Diese Auswirkungen sind jedoch unspezifisch und betreffen nicht bestimmte 5G-Anwendungen und –Nutzer. Deswegen wird für die genann ten Bereiche nicht einzeln auf die Auswirkungen eingegangen. Der erwartete allgemeine Nutzen ist unter den Ziff. 4.2.1 (Auswirkungen auf die Volkswirtschaft) und 4.3.1 (Auswirkungen auf die Gesellschaft) be schrieben.
4.4.2 Unbefugte Manipulation von Fernmeldeanlagen
Mögliche Auswirkungen sowohl auf Kantone und Gemeinden sowie auf urbane Zentren, Agglomerationen und Berggebiete, auf die Umwelt als auch andere Auswirkungen wurden geprüft. Es ist potenziell mit indirek ten, nutzenseitigen Auswirkungen in Folge eines erhöhten Schutzniveaus im Bereich der Cyber-Sicherheit zu rechnen. Diese Auswirkungen sind jedoch unspezifisch, weswegen für die genannten Bereiche nicht ein zeln auf die Auswirkungen eingegangen wird. Der erwartete allgemeine Nutzen ist unter den Ziff. 4.2.2 (Aus wirkungen auf die Volkswirtschaft) und 4.3.2 (Auswirkungen auf die Gesellschaft) beschrieben.
5 Rechtliche Aspekte
Mit den vorgeschlagenen Bestimmungen wird Artikel 48a FMG umgesetzt. Absatz 2 dieser Bestimmung überträgt dem Bundesrat weitreichende legislative Kompetenzen im Bereich der Sicherheit von Informatio nen und von Fernmeldeinfrastrukturen und -diensten. Gemäss Artikel 62 Absatz 2 FMG kann der Bundesrat dem BAKOM die Aufgabe übertragen, die notwendigen technischen und administrativen Vorschriften zu er lassen (siehe auch Art. 105 Abs. 1 FDV). Dabei muss das BAKOM die international geltenden Normen be rücksichtigen. Insbesondere entwickelt die Europäische Union ein Zertifizierungssystem für die Cybersicher heit von 5G-Netzen (vgl. Kommentar zu Art. 96g), das in Bezug auf die Artikel 96d bis 96g so weit wie möglich als Modell dienen sollte. Die in Artikel 96f Absatz 2 vorgesehene Standortplicht für Netzwerk- und Sicherheitsbetriebszentren ist mit Artikel XIVbis Absatz 1 Buchstabe b von Anhang 1B des Abkommens zur Errichtung der Welthandelsorgani sation (General Agreement on Trade in Services; GATS) kompatibel (vgl. Erläuterungen zu Art. 96f Abs. 2).
17
Abkürzungsverzeichnis
API Application Programming Interface BABS Bundesamt für Bevölkerungsschutz BAKOM Bundesamt für Kommunikation BCP Best Current Practices CPE Customer Premises Equipment DDoS Distributed Denial Of Service attack ENISA European Union Agency for Cybersecurity ETIS The Community for Telecom Professionals FDA Fernmeldedienstanbieter FDI Foreign Direct Investment FMG Fernmeldegesetz IAP Internet Access Provider IETF Internet Engineering Task Force IP Internet Protocol ISMS Managementsystem für die Informationssicherheit ISO International Organization for Standardization ITU International Telecommunication Union KMU Kleine und mittlere Unternehmen M3AAWG Messaging Malware Mobile Anti-Abuse Working Group MANRS Mutually Agreed Norms for Routing Security MNO Mobile Network Operator NAZ Nationale Alarmzentrale NCSC Nationales Zentrum für Cybersicherheit NOC Network Operation Center - Netzwerkbetriebszentrum RFA Regulierungsfolgenabschätzung RIR Regional Internet Registry SANS SysAdmin, Audit, Network, Security Institut SOC Security Operation Center - Sicherheitsbetriebszentrum SVV Schweizerischer Versicherungsverband
18