26.3830 · Motion · 2026-06-18
Departement für Verteidigung, Bevölkerungsschutz und Sport
Eingereicht
Wortlaut
Der Bundesrat wird beauftragt, die Vorgaben für Beschaffung, Erneuerung und Weiterentwicklung von IKT-Leistungen des Bundes so anzupassen, dass kryptografisch relevante Systeme schrittweise auf Krypto-Agilität und Post-Quantum-Migrationsfähigkeit ausgerichtet werden.
Der Bundesrat stellt insbesondere sicher, dass:
bei Neubeschaffungen und wesentlichen Erneuerungen von IKT-Systemen mit erhöhtem Schutzbedarf Anforderungen an Krypto-Agilität, dokumentierte kryptografische Abhängigkeiten und die spätere Unterstützung standardisierter quantensicherer Verfahren vorgesehen werden;
für besonders schützenswerte und langfristig vertrauliche Daten sowie für sicherheitskritische Infrastrukturen des Bundes eine priorisierte Migration zu quantensicheren oder hybriden kryptografischen Verfahren vorbereitet wird;
Anbieter bei relevanten Beschaffungen transparent darlegen müssen, welche kryptografischen Verfahren, Bibliotheken, Protokolle, Zertifikats- und Schlüsselmanagement-Komponenten eingesetzt werden und wie diese aktualisiert oder ersetzt werden können;
Ausnahmen möglich bleiben, wenn Marktreife, Interoperabilität oder Verhältnismässigkeit dies erfordern, jedoch befristet, begründet und mit Risikobewertung sowie geeigneten Kompensationsmassnahmen verbunden sind;
die Umsetzung an international anerkannten Standards und Empfehlungen ausgerichtet wird und die zuständigen Bundesstellen periodisch über Fortschritt, Risiken und Handlungsbedarf berichten.
Begründung
Der Bund beschafft und betreibt IKT-Systeme, die über viele Jahre im Einsatz bleiben. Was heute neu beschafft wird, prägt die Sicherheitsarchitektur von morgen. Werden kryptografische Abhängigkeiten und Migrationsfähigkeit nicht bereits bei Neubeschaffungen berücksichtigt, entstehen neue technische Schulden und spätere Umstellungen werden teurer und riskanter.
Es braucht keine überstürzte Ablösung bestehender Systeme und keine flächendeckende Sofortumstellung, sondern vielmehr ein pragmatisches Vorgehen: risikoorientiert, standardbasiert, technologieneutral und mit Übergangslösungen dort, wo sie sinnvoll sind. Im Zentrum stehen Krypto-Agilität, Transparenz über kryptografische Abhängigkeiten und die Fähigkeit, besonders schützenswerte Daten rechtzeitig auf quantensichere Verfahren zu migrieren.