Nach dem Willen des Ständerates müssen IT-Unternehmen vor der Auslieferung von Geräten und Anwendungen künftig eingehendere Sicherheitsprüfungen vornehmen. Der Bundesrat zeigt sich unter Vorbehalten bereit, die dafür nötigen gesetzlichen Grundlagen zu schaffen.
In einer von Ständerat Josef Dittli (FDP) eingereichten Motion heisst es, in der Schweiz würden «viele dringend notwendige Prüfungen der Cybersicherheit von vernetzten Infrastrukturen, Geräten und Anwendungen nicht durchgeführt.» Solche Prüfungen seien jedoch unabdingbar für den Schutz der Gesellschaft und die Funktionsfähigkeit von Wirtschaft und Behörden – und IT-Unternehmen müssten deshalb dazu verpflichtet werden. Der Ständerat hat die Motion mit dem Titel "Durchführung dringend notwendiger Cybersicherheitsprüfungen" vor wenigen Tagen einstimmig angenommen.
In der Begründung der Motion heisst es weiter, im Bereich der digitalen Produkte und Infrastrukturen existierten derzeit weder Gesetze noch verbindliche Standards, verbindliche flächendeckende Mindestanforderungen oder eine gesetzlich verankerte Produkthaftung für Software. Dadurch gelangten zahlreiche unsichere Produkte und Anwendungen ungeprüft auf den Markt, die sich von international agierenden Cyberkriminellen und staatlichen Akteuren ausnutzen lassen.
Bundesrat dafür, Wirtschaft dagegen
Der Bundesrat beantragt eine Annahme der Motion, die nach der Annahme im Ständerat aktuell von der vorberatenden Sicherheitskommission des Nationalrates behandelt wird. Allerdings hält er fest, die Finanzierung allfälliger daraus resultierender Bundesaufgaben müsse vollständig durch die Unternehmen sichergestellt werden, etwa über die Erhebung von Gebühren. Zudem sieht er «eingehenden» Analysebedarf hinsichtlich der für die Umsetzung der Motion nötigen Bundeskompetenzen.
Kritisiert wird die Motion vom Wirtschaftsverband für die digitale Schweiz Swico, der sie ablehnt. In seiner Stellungnahme schreibt der Verband, die Motion sei so allgemein formuliert, dass praktisch alle IT-Produkte in der Schweiz betroffen wären. Auch der Begriff «Lücken» werde nicht näher spezifiziert. Diese Begriffe müssten
sinnvoll definiert und der Test-Umfang entsprechend eingegrenzt werden.
Cybersicherheit höre zudem nicht nicht an der Landesgrenze auf, sondern
sei ein globales Thema und deshalb nicht mit isolierten Massnahmen zu erzielen. Bezüglich Testpflichten sei eine enge Abstimmung bzw. Harmonisierung mit anerkannten internationalen Standards, wie dem Cyber Resilience Act der EU,
notwendig. Der Wirtschaft dürften allerdings keine über den Test-Aspekt hinausgehende Pflichten auferlegt werden.
Mit Endpoint Security die Cybersicherheit fördern
Gesetzliche Prüfungspflichten mögen ein richtiger Schritt sein, um die IT-Sicherheit generell zu erhöhen. Ebenso wichtig ist jedoch, dass private Nutzende und Unternehmen Verantwortung übernehmen und ihre Geräte und IT-Infrastrukturen angemessen schützen. Dazu eignet sich eine Endpoint Security-Lösung, wie Bitdefender ideal, mit der sich Bedrohungen aus dem Cyberspace unabhängig von den Herstellern der genutzten Geräte effektiv und kostengünstig abwehren lassen.