Mit Ethik und Recht das Vertrauen in die Cybersicherheit fördern

Modern society is increasingly dependent on information technology, which explains the importance of cybersecurity. The call for the development of expertise has led to the «National strategy for Switzerland’s protection against cyber risks» (NCS). Its core principles include a) a risk-based approach to cybersecurity, according to which risks cannot be completely avoided but can be reduced to an acceptable minimum, b) a decentralised implementation of appropriate measures, c) a subsidiary role of the state, d) the promotion of public-private partnerships, and e) active communication with civil society, the private sector and policymakers. The central aim of the project was to support these key elements of the NCS through research that provides data, insights and recommendations, with a special focus on non-technical aspects of cybersecurity.

Die Cybersicherheit ist geprägt vom rasanten technologischen Fortschritt. Ständig entstehen neue Sicherheitslücken, welche technische Schutzmassnahmen nötig machen. Die Geschwindigkeit dieser Entwicklung überfordert viele Nutzer:innen und verhindert, dass sie informierte Entscheide über ihr Nutzungsverhalten treffen. Auch der Rechtsstaat wird durch diesen technologischen Wandel herausgefordert, da demokratisch abgestützte Gesetzgebungsverfahren mit der Geschwindigkeit der technologischen Entwicklung nicht immer Schritt halten können. Dies führt zu Governance- und Gesetzeslücken, die eine effektive und demokratisch abgestützte Cybersicherheit erschweren.

Das Projekt verfolgte drei Ziele: Erstens, den Regulierungsbedarf im Bereich Cybersicherheit identifizieren, der sich aus dem Missverhältnis zwischen technologischer und gesetzgeberischer Geschwindigkeit ergibt. Zweitens, mittels Umfragen bei Betreibern kritischer Infrastrukturen und bei Cybersicherheits-Fachleuten Daten zu erhalten, um die nationale Strategie für Cybersicherheit zu unterstützen. Drittens, basierend auf den Ergebnissen der ersten beiden Ziele einen Governance-Rahmen für Fachleute – bestehend aus Empfehlungen für den Gesetzgeber und Ethik-Richtlinien – zu schaffen.

Das Forschungsteam spezifizierte den Gesetzgebungsbedarf in mehreren Veranstaltungen zuhanden von nationalem und kantonalen Parlamenten, der Wissenschaftsgemeinschaft und der Wirtschaft. Insbesondere wurden folgende Punkte angegangen: Erstens eine Schärfung der gesetzlichen Definition des Konzepts «kritische Infrastruktur» und eine Erweiterung des Anwendungsbereichs der Mindesanforderungen an die Cybersicherheit im Informationssicherheitsgesetz. Zweitens sollen bestehende Mindestanforderungen geschärft werden. Drittens sollen zusätzliche gesetzliche Anforderungen an IT-Dienste, insbesondere an digitale Sicherheitsdienste, einegführt werden. Ausserdem wurden Guidelines für die Schaffung einer werteorientierten Cybersicherheits-Kultur erarbeitet. Damit soll gewährleistet werden, dass ethische und rechliche Unsicherheiten früh genug thematisiert werden, damit der Entscheidungsprozess im Fall von Vorfällen nicht behindert wird.

Drei Hauptbotschaften

1. Das staatliche Engagement für die Cybersicherheit kritischer Infrastrukturen sollte sich auf drei Aspekte konzentrieren: 1) Die Gesetzgebung zur Cybersicherheit sollte einen stärkeren Schwerpunkt auf Präventivmassnahmen legen, während Soft Law kritische Infrastrukturen bei der Reaktion auf Cybervorfälle unterstützen kann. 2) Eine Zusammenarbeit mit den Behörden ist sinnvoll, diese darf jedoch die Autonomie der kritischen Infrastrukturen nicht beeinträchtigen. 3) Der Informationsaustausch sollte sowohl auf technischer als auch auf Management-Ebene durch geeignete Rechtsvorschriften unterstützt werden.
2. Für kritische Infrastrukturen sollten im Informationssicherheitsgesetz verschärfte Mindestanforderungen an die Cybersicherheit gelten. Weiter sind in diesem Gesetz der Begriff der kritischen Infrastrukturen zu klären und zusätzliche Anforderungen an IT-Dienste zu stellen.
3. Die Stellen, die bei Cybervorfällen zuerst kontaktiert werden, sollten durch vorbereitende Schritte eine wertorientierte Cybersicherheitskultur entwickeln. Dazu gehören offene Teamdiskussionen im Rahmen der gesetzlichen Vorschriften, insbesondere zur Frage, wie praktische Handlungen mit persönlichen und gesellschaftlichen Werten in Einklang stehen. Dies soll zu einer wirksamen Bewältigung von Cybervorfällen beitragen.

Creating an ethical and legal governance framework for trustworthy cybersecurity in Switzerland.

Dr. Dr. Markus Christen, UZH Digital Society Initiative, University of Zurich