Gastbeitrag
30.11.2020, 07:55 Uhr
Wir brauchen eine unabhängige Prüfstelle
Einkäufer und Betreiber kritischer Technikkomponenten haben heute keine Möglichkeit, die Qualität einzusetzender Produkte hinsichtlich der Cybersicherheit durch eine offizielle Institution zu evaluieren. Es ist höchste Zeit, das zu ändern. Erste Konzepte liegen bereit.
Eine «Cyber-Empa» könnte Anwender beim Einkauf von wirklich sicheren IT-Lösungen unterstützen
(Quelle: Shutterstock/Andrea Danti)
Die fortschreitende Digitalisierung hat nicht nur positive Seiten, es entstehen auch laufend neue Risiken. Insbesondere wachsen die kritischen Abhängigkeiten in der Informationstechnologie hinsichtlich des Einsatzes von Hard- und Software sowie IT-nahen Dienstleistungen. Der steigende Vernetzungsgrad von IT-Komponenten führt unweigerlich dazu, dass Angreifer aus der Ferne eine reale Bedrohung mit teils erheblichem Schadenspotenzial für unsere Wirtschaft und Gesellschaft darstellen.
Undurchsichtige Lieferketten
In nahezu jedem Winkel unseres wirtschaftlichen und gesellschaftlichen Lebens hat sich Software ausgebreitet: Milliarden von vernetzten Geräten befinden sich über das Internet im ständigen Austausch, Kampfflugzeuge haben mehr Programmcode als Computer-Betriebssysteme und nahezu alle Organisationen weltweit verlassen sich auf Software, um ihre Kernprozesse zu regeln. Software steuert den Betrieb komplexer Stromerzeuger, medizinischer Komponenten wie Herzschrittmacher und Insulinpumpen sowie sicherheitskritischer Komponenten wie beispielsweise Bremspedale und Lichtsignale.
Software besteht heute aus einer Vielzahl von Komponenten mit teils unbekannten Quellen und wird häufig in sehr kurzen Abständen aktualisiert. Mit jeder Aktualisierung besteht das Risiko, dass bekannte und neue Schwachstellen in Umlauf gebracht werden. Denn jede Software hat Fehler. Zwar sind nicht alle Fehler bösartigen Ursprungs, jedoch können viele davon von Kriminellen missbraucht werden. Mit der zunehmenden Vernetzung operieren diese scheinbar unbemerkt aus der Ferne, wodurch ernste Gefahren für Wirtschaft und Gesellschaft drohen. Umso wichtiger wird es in Zukunft sein, ein aussagekräftiges Lagebild zur tatsächlichen Bedrohung zu entwickeln, das von Schwachstellen in unzureichend gesicherten IT-Komponenten und Diensten ausgeht. Dabei geht es nicht um die Zertifizierung zugunsten der Produkthersteller, sondern um eine unabhängige Identifikation von Schwachstellen für Betreiber und Anwender.
“Ein Prüfinstitut für Cybersecurity wäre ein grosser Vorteil für den Wirtschaftsstandort Schweiz„
Raphael Reischuk
Es ist aus Sicht der geopolitischen, gesellschaftlichen und wirtschaftlichen Stabilität der Schweiz untragbar, dass Einkäufer und Betreiber von kritischen Komponenten keine Möglichkeit haben, die Qualität der einzusetzenden Produkte hinsichtlich der Cybersicherheit durch eine offiziell mandatierte Institution zu evaluieren.
Fehlende rechtliche Grundlage
Abgesehen vom Datenschutz gibt es im Bereich der Cybersicherheit kaum verbindliche und rechtsgültige Normen, welche die Sicherheit und Integrität von Produkten gesetzlich regeln. Anders ist es in kritischen Industriesektoren wie der Medizintechnik, wo Qualitätsprüfungen durch unabhängige Stellen fester Bestandteil der Produktzulassung sind. Der Bedarf für unabhängige und effektive Prüfungen digitaler Produkte dürfte künftig sowohl in der Industrie als auch bei Behörden, der Polizei und der Armee steigen.
Der Blick über die Landesgrenzen zeigt, dass in anderen Ländern bereits gesetzliche Regelungen zur Cybersicherheitsüberprüfung erarbeitet werden. Insbesondere in der Europäischen Union wird im Zuge des sogenannten «Cybersecurity Acts» offen über die Prüfung und Zertifizierung von IT-Komponenten und -Systemen debattiert.
Konzeptpapier im Kanton Zug
Auf Initiative des Kantons Zug hat nun eine Expertengruppe mit Fachleuten aus Politik, Verwaltung, Wirtschaft und Wissenschaft ein Konzeptpapier für die Schaffung eines Prüfinstituts für vernetzte Geräte erarbeitet. Diese Organisation soll eine nationale Ausrichtung und – über die Zeit – eine internationale Ausstrahlung erreichen. Sie soll den Prüfbedarf innerhalb der Schweiz eruieren und anhand konkreter Stichproben befriedigen, insbesondere, um dem Problem des Prüfstandmodus zu begegnen.
“Der Bedarf an unabhängigen und effektiven Prüfungen digitaler Produkte steigt„
Raphael Reischuk
Weiter soll die Organisation als organisatorische und fachliche Verhandlungspartnerin für zukünftige bilaterale Abkommen mit dem Ausland auftreten. Das Zuger Konzeptpapier zeigt auf, wie eine solche Organisation eingerichtet und betrieben werden könnte; es werden das organisatorische und regulatorische Umfeld in der Schweiz diskutiert und die entsprechenden Prüforganisationen in verschiedenen Ländern skizziert. Die Expertengruppe ging zudem den Fragen nach, wer mögliche Kunden eines Prüfinstituts sind und welche Produkte wie geprüft werden sollen. So ging die Expertengruppe unter anderem den folgenden Fragen nach:
- Welche Gründe sprechen für die Prüfung von cyberphysischen Komponenten?
- Was sind die Erwartungen potenzieller Auftraggeber und welchen Mehrwert kann ein Prüfinstitut leisten?
- Wer lässt prüfen beziehungsweise sollte prüfen lassen?
- Was soll geprüft werden?
- Wie soll geprüft werden?
- Wie hoch ist der zu erwartende Prüfbedarf?
- Was unterscheidet ein nationales Prüfinstitut von den zahlreichen privatwirtschaftlichen Anbietern?
- Inwieweit lassen sich die Hochschulen einbeziehen?
- Wie operieren Prüfinstitute im Ausland?
- Was ist die ideale Organisationsform für ein Schweizer Prüfinstitut?
Cyber-Empa für den Standort Schweiz
Um den tatsächlichen Prüfbedarf und die Erwartungen an ein nationales Prüfinstitut zu erfassen, ist im Oktober dieses Jahres eine Umfrage mit repräsentativen Unternehmen durchgeführt worden. In Kooperation mit dem Nationalen Zentrum für Cybersicherheit (NCSC) und dem Dachverband ICTswitzerland wurden die Bedürfnisse der Wirtschaft erhoben und die vorliegenden Ergebnisse der Expertengruppe verfeinert. Auf Basis der Ergebnisse werden im Anschluss Pilotkunden und Testobjekte identifiziert, die ersten Prüfungen unterzogen werden.
Das Zuger Konzeptpapier zeigt, wie ein nationales Prüfinstitut für vernetzte Geräte grundsätzlich aufgesetzt werden könnte. Eine solche «Cyber-Empa» wäre für den Wirtschaftsstandort Schweiz ein grosser Vorteil, indem mehr Vertrauen geschaffen wird zwischen den beteiligten Akteuren und die Souveränität der Schweizer Gesellschaft gestärkt wird. In einer immer stärker vernetzten Welt wird Vertrauen zum höchsten Gut, das wir haben.
Der Autor
Raphael Reischuk ist Head of Cyber Security Services bei Zühlke sowie Vizepräsident der Cyber-Security-Kommission von ICTswitzerland und Mitglied des Cyber-Security-Beirats der Schweizer Akademie der Technischen Wissenschaften (SATW).
www.zuehlke.com
www.zuehlke.com