Mit Ethik und Recht das Vertrauen in die Cybersicherheit fördern

Die moderne Gesellschaft ist zunehmend abhängig von der Informationstechnologie. Daher ist Cybersicherheit wichtig. Der Ruf nach dem Aufbau von Fachwissen mündete in der «Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken» (NCS). Zu deren Kernprinzipien gehören a) ein risikobasierter Ansatz für Cybersicherheit, gemäss dem Risiken nicht vollständig vermieden, aber auf ein tragbares Minimum reduziert werden können, b) die dezentrale Umsetzung entsprechender Massnahmen, c) eine subsidiäre Rolle des Staates, d) die Förderung von Public-Private-Partnerships sowie e) eine aktive Kommunikation mit den Akteuren aus Zivilgesellschaft, Wirtschaft und Politik. Das zentrale Ziel unseres Projekts ist es, diese Schlüsselelemente des NCS durch Forschung zu unterstützen, die Daten, Erkenntnisse und Empfehlungen mit einem besonderen Schwerpunkt auf nicht-technischen Aspekten der Cybersicherheit liefert.

Die Cybersicherheit ist geprägt vom rasanten technologischen Fortschritt. Ständig entstehen neue Sicherheitslücken, welche technische Schutzmassnahmen nötig machen. Die Geschwindigkeit dieser Entwicklung überfordert viele Nutzer und verhindert, dass sie informierte Entscheide über ihr Nutzungsverhalten treffen. Auch der Rechtsstaat wird durch diesen technologischen Wandel herausgefordert, da demokratisch abgestützte Gesetzgebungsverfahren mit der Geschwindigkeit der technologischen Entwicklung nicht immer Schritt halten können. Dies führt zu Governance- und Gesetzeslücken, die eine effektive und demokratisch abgestützte Cybersicherheit erschweren.

Das Projekt hat drei Ziele: Erstens, den Regulierungsbedarf im Bereich Cybersicherheit identifizieren, der sich aus dem Missverhältnis zwischen technologischer und gesetzgeberischer Geschwindigkeit ergibt. Zweitens, mittels Umfragen bei Betreibern kritischer Infrastrukturen und bei Experten Daten erhalten, um die nationale Strategie für Cybersicherheit zu unterstützen. Drittens, einen Governance-Rahmen zu ethischen und rechtlichen Aspekten von Cybersicherheit für die Akteure in der Schweiz schaffen.

Das Projekt soll konkrete Vorschläge für das Parlament und die Verwaltung erarbeiten, wie die Schweizer Gesetzgebung den Herausforderungen im Bereich Cybersicherheit entgegentreten kann. Zudem sollen Richtlinien zum Umgang mit schwierigen Entscheidungen bei der Abwehr von Cyberangriffen durch Computer Emergency Response Teams, Risiko- und Compliance-Teams kritischer Infrastrukturen und Anbieter von Cybersicherheitslösungen geschaffen werden – beispielsweise wenn man priorisieren muss, welche Infrastruktur man zuerst schützt.

Creating an ethical and legal governance framework for trustworthy cybersecurity in Switzerland.