Navigation auf uzh.ch
Über drei Jahre lang haben sich Forschende der Digital Society Initiative (DSI) der Universität Zürich und der Universität Lausanne mit den ethischen und rechtlichen Aspekten von Cybersicherheit auseinandergesetzt und dabei Erkenntnisse und Empfehlungen entwickelt.
Die Cybersicherheit ist geprägt vom rasanten technologischen Fortschritt. Ständig entstehen neue Sicherheitslücken, welche technische Schutzmassnahmen nötig machen. Die Geschwindigkeit dieser Entwicklung überfordert viele Menschen und verhindert, dass sie informierte Entscheide über ihr Nutzungsverhalten treffen. Auch der Rechtsstaat wird durch diesen technologischen Wandel herausgefordert, da demokratisch abgestützte Gesetzgebungsverfahren mit der Geschwindigkeit der technologischen Entwicklung nicht immer Schritt halten können. Dies führt zu Governance- und Gesetzeslücken, die eine effektive und demokratisch abgestützte Cybersicherheit erschweren.
Im Projekt «Schaffung eines ethischen und rechtlichen Governance-Rahmens für vertrauenswürdige Cybersicherheit in der Schweiz» haben Forschende der DSI und der Universität Lausanne im Rahmen des Nationalen Forschungsprogramms 77 «Digitale Transformation» Erkenntnisse und Empfehlungen zu nicht-technischen Aspekten der Cybersicherheit entwickelt.
Das Projekt verfolgte drei Ziele:
Das Projekt erarbeitete eine Übersicht über die Rechtslage im Bereich Cybersicherheit in der Schweiz in der Form von zwei Dissertationen und mehreren Publikationen. Dabei wurden erhebliche rechtliche Lücken identifiziert. Die daraus resultierenden Empfehlungen betreffen Vorschläge zur Anpassung des rechtlichen Rahmens, insbesondere des Informationssicherheitsgesetzes und seiner Verordnung.
In Interviews und Umfragen unter Cybersicherheits-Fachleuten wiederum wurden unter anderem konkrete Praktiken des Inforationsaustausches, Erwartungen an den Gesetzgeber und an das neue Bundesamt für Cybersicherheit ermittelt und in mehreren Publikationen (auch solche in allgemeinen Medien) veröffentlicht. Dabei zeigte sich insbesondere, dass für Prävention mehr Regulierung erwartet wird, während für operative Massnahmen zur Bewältigung von Cybersicherheits-Vorfällen ein grösserer rechtlicher Spielraum bestehen sollte, insbesondere für kritischen Infrastrukturen. In einer noch laufenden Umfrage (Stand: Juni 2024) werden konkrete Determinanten der Entscheidungsfindung während der Bewältigung von Vorfällen ermittelt. Ergebnisse der rechtlichen und empirischen Analysen sind im Projektverlauf in Vernehmlassungen zur Cybersicherheits-Strategie der Schweiz, zur neuen Meldepflicht für Cybersicherheitsvorfälle und betreffend Massnahmen für einen besseren Schutz gegen Ransomware-Angriffe eingeflossen.
In mehreren Veranstaltungen zuhanden von nationalen und kantonalen Parlamenten, der Forschung und der Wirtschaft wurde der Gesetzgebungsbedarf spezifiziert. Insbesondere sollen gemäss dem Projekt folgende Punkte angegangen werden:
Des Weiteren wurden Guidelines für die Schaffung einer werteorientierten Cybersicherheits-Kultur erarbeitet, die sich insbesondere an CERTs (Computer Emergency Response Teams) richtet. Damit soll gewährleistet werden, dass ethische und rechtliche Unsicherheiten früh genug thematisiert werden, damit diese im Fall von Cybersicherheits-Vorfällen, die rasches Entscheiden verlangen, den Entscheidungsprozess nicht behindern.
Forschungen im Bereich Cybersicherheit werden an der DSI weiterlaufen. Aktuell beherbergt die DSI die DIZH-Struktur CYREN ZH, welche Forschung und Bildung im Bereich Cybersicherheit an der UZH und ZHAW fördern und zum Aufbau eines Freiwilligen-Netzwerks im Bereich Cybersicherheit beitragen will.
Beteiligte Forschende
Projekt Advisory Board
Finanzierung
Schweizerischer Nationalfonds, Nationales Forschungsprogramm 77 «digitale Transformation».