19.3135 · Postulat · 2019-03-18
Departement für Verteidigung, Bevölkerungsschutz und Sport
Erledigt
Wortlaut
Der zuverlässige Betrieb der Waffensysteme und Infrastruktur der Schweizer Armee ist entscheidend für die nationale Sicherheit. Die Armee beschafft Waffen- und Infrastruktursysteme bei verschiedenen nationalen und internationalen Lieferanten. Die Verfügbarkeit, Vertraulichkeit und Integrität der cyberphysischen Komponenten der Waffen- und Infrastruktursysteme werden zunehmend zur Achillesferse für die Einsatzbereitschaft und Durchhaltefähigkeit der Schweizer Bodentruppen und Luftstreitkräfte. Insbesondere die Integrität der digitalen Lieferobjekte (nichtdokumentierte Zugänge, implantierte Fehlfunktionen) bereitet Sorge.
Der Bundesrat wird beauftragt, zu prüfen und Bericht zu erstatten über die anwendbaren nationalen und internationalen Standards (z. B. Nist Cyber Security Framework, ISO, Common Criteria, Nist 800-161, EU4, EU5, Fips) zum Vendor Risk Management und zur Produktesicherheit der technischen, insbesondere der vernetzten cyberphysischen Komponenten der Armee. Ein Fokus des Berichtes sollte auf der sicherheitsrelevanten Prüfung bei Beschaffungen liegen. Es gilt abzuklären, ob die aktuellen Vorgaben (inkl. WTO) ausreichen, um den erhöhten Sicherheitsbedürfnissen aufgrund von neuen Cyberbedrohungen gerecht zu werden. In diesem Zusammenhang stellt sich schlussendlich auch die Frage, ob die Schweizer Armee, inklusive ihrer sicherheitspolitischen Partner, unter den gegebenen Umständen (z. B. unbekannte Quellcodes bei Produkten von ausländischen Anbietern) überhaupt in der Lage ist, die Souveränität der Schweiz zu wahren.
Basierend auf den Analysen ist die Einschätzung des Bundesrates gefragt, ob die heutigen Massnahmen genügen, um die Risiken zu erfassen, zu messen und sie auf ein akzeptables Mass zu reduzieren.
Antrag des Bundesrates
Der Bundesrat beantragt die Annahme des Postulates.
Stellungnahme des Bundesrates
Der Bundesrat ist sich der im Postulat adressierten Risiken bei Informations- und Kommunikationstechnikbeschaffungen bewusst. Entsprechend sieht er verschiedene Massnahmen zur Risikominderung vor. Unter anderem werden sowohl zivile als auch militärische Informations- und Kommunikationstechnikbeschaffungen gemäss Prüfprozess der Informatiksteuerungsbehörde einzeln auf Schwachstellen geprüft.
Im Sinne des vorliegenden Postulates kann jedoch geprüft werden, ob die heutigen Instrumente zur sicherheitsrelevanten Prüfung bestimmter Beschaffungen angesichts der zugenommenen Cyberrisiken voll ausgeschöpft werden oder ob allenfalls Handlungsbedarf für weiter gehende Massnahmen oder Standards besteht.
Der Bundesrat beantragt die Annahme des Postulates.