Navigation auf uzh.ch

Suche

Digital Society Initiative

Governance-Rahmen Cybersicherheit

Über drei Jahre lang haben sich Forschende der Digital Society Initiative (DSI) der Universität Zürich und der Universität Lausanne mit den ethischen und rechtlichen Aspekten von Cybersicherheit auseinandergesetzt und dabei Erkenntnisse und Empfehlungen entwickelt.

 

Die Cybersicherheit ist geprägt vom rasanten technologischen Fortschritt. Ständig entstehen neue Sicherheitslücken, welche technische Schutzmassnahmen nötig machen. Die Geschwindigkeit dieser Entwicklung überfordert viele Menschen und verhindert, dass sie informierte Entscheide über ihr Nutzungsverhalten treffen. Auch der Rechtsstaat wird durch diesen technologischen Wandel herausgefordert, da demokratisch abgestützte Gesetzgebungsverfahren mit der Geschwindigkeit der technologischen Entwicklung nicht immer Schritt halten können. Dies führt zu Governance- und Gesetzeslücken, die eine effektive und demokratisch abgestützte Cybersicherheit erschweren.

Im Projekt «Schaffung eines ethischen und rechtlichen Governance-Rahmens für vertrauenswürdige Cybersicherheit in der Schweiz» haben Forschende der DSI und der Universität Lausanne im Rahmen des Nationalen Forschungsprogramms 77 «Digitale Transformation» Erkenntnisse und Empfehlungen zu nicht-technischen Aspekten der Cybersicherheit entwickelt.

Das Projekt verfolgte drei Ziele:

  1. Den Regulierungsbedarf im Bereich Cybersicherheit identifizieren, der sich aus dem Missverhältnis zwischen technologischer und gesetzgeberischer Geschwindigkeit ergibt.
  2. Mittels Umfragen bei Betreibern kritischer Infrastrukturen und bei Cybersicherheits-Fachleuten Daten zu erhalten, um die nationale Strategie für Cybersicherheit zu unterstützen.
  3. Basierend auf den Ergebnissen der ersten beiden Ziele einen Governance-Rahmen bestehend aus Empfehlungen für den Gesetzgeber und Ethik-Richtlinien für Fachleute zu schaffen.

Das Projekt erarbeitete eine Übersicht über die Rechtslage im Bereich Cybersicherheit in der Schweiz in der Form von zwei Dissertationen und mehreren Publikationen. Dabei wurden erhebliche rechtliche Lücken identifiziert. Die daraus resultierenden Empfehlungen betreffen Vorschläge zur Anpassung des rechtlichen Rahmens, insbesondere des Informationssicherheits­gesetzes und seiner Verordnung.

In Interviews und Umfragen unter Cybersicherheits-Fachleuten wiederum wurden unter anderem konkrete Praktiken des Inforationsaustausches, Erwartungen an den Gesetzgeber und an das neue Bundesamt für Cybersicherheit ermittelt und in mehreren Publikationen (auch solche in allgemeinen Medien) veröffentlicht. Dabei zeigte sich insbesondere, dass für Prävention mehr Regulierung erwartet wird, während für operative Massnahmen zur Bewältigung von Cybersicherheits-Vorfällen ein grösserer rechtlicher Spielraum bestehen sollte, insbesondere für kritischen Infrastrukturen. In einer noch laufenden Umfrage (Stand: Juni 2024) werden konkrete Determinanten der Entscheidungsfindung während der Bewältigung von Vorfällen ermittelt. Ergebnisse der rechtlichen und empirischen Analysen sind im Projektverlauf in Vernehmlassungen zur Cybersicherheits-Strategie der Schweiz, zur neuen Meldepflicht für Cybersicherheitsvorfälle und betreffend Massnahmen für einen besseren Schutz gegen Ransomware-Angriffe eingeflossen.

In mehreren Veranstaltungen zuhanden von nationalen und kantonalen Parlamenten, der Forschung und der Wirtschaft wurde der Gesetzgebungsbedarf spezifiziert. Insbesondere sollen gemäss dem Projekt folgende Punkte angegangen werden:

  1. Eine Schärfung der gesetzlichen Definition des Konzepts «kritische Infrastruktur» und eine Erweiterung des Anwendungsbereichs der Mindestanforderungen an die Cybersicherheit im Informationssicherheitsgesetz.
  2. Eine Verschärfung der bestehenden gesetzlichen Mindestanforderungen für Cybersicherheit.
  3. Die Einführung zusätzlicher gesetzlicher Anforderungen an IT-Dienste, insbesondere an digitale Sicherheitsdienste.

Des Weiteren wurden Guidelines für die Schaffung einer werteorientierten Cybersicherheits-Kultur erarbeitet, die sich insbesondere an CERTs (Computer Emergency Response Teams) richtet. Damit soll gewährleistet werden, dass ethische und rechtliche Unsicherheiten früh genug thematisiert werden, damit diese im Fall von Cybersicherheits-Vorfällen, die rasches Entscheiden verlangen, den Entscheidungsprozess nicht behindern.

Forschungen im Bereich Cybersicherheit werden an der DSI weiterlaufen. Aktuell beherbergt die DSI die DIZH-Struktur CYREN ZH, welche Forschung und Bildung im Bereich Cybersicherheit an der UZH und ZHAW fördern und zum Aufbau eines Freiwilligen-Netzwerks im Bereich Cybersicherheit beitragen will.

 

Beteiligte Forschende

  • Dr. Markus Christen (DSI; PI)
  • David-Olivier Jaquet-Chiffelle (Universität Lausanne; co-PI)
  • Sylvain Métille (Universität Lausanne; co-PI)
  • Reto Inversini (Swiss GovCERT)
  • Manuel Suter (NCSC)
  • Christophe Hauert (Universität Lausanne)
  • Melanie Knieps (UZH)
  • Pauline Meyer (Universität Lausanne)
  • Sara Pangrazzi (UZH)
  • Delphine Sarrasin (Universität Lausanne)


Projekt Advisory Board

  • Endre Bangerter (Fachhochschule Bern / Threatray)
  • Josep Domingo-Ferrer (Universität Rovira i Virgili, Katalonien)
  • Gloria González Fuster (Freie Universität Brüssel, Belgien)
  • Dominik Herrmann (Otto-Friedrich-Universität Bamberg, Deutschland)
  • Alexey Kirichenko (F-Secure, Finnland)
     

Finanzierung

Schweizerischer Nationalfonds, Nationales Forschungsprogramm 77 «digitale Transformation».