Der Bundesrat hat vor einem Jahr zur Interpellation 23.3689 bezüglich quantensicherer Systeme beim Bund Stellung genommen.
In Anbetracht der globalen Entwicklungen auf diesem Gebiet ergeben sich folgende Fragen:
- Welche konkreten Schritte hat der Bundesrat unternommen, um klare Richtlinien und Zeitpläne für Schweizer IT-Unternehmen zu entwickeln, die den Status „vertrauenswürdiger Anbieter“ im Bereich quantensicherer Algorithmen anstreben?
- Inwiefern wurde eine Strategie erarbeitet, um das vorhandene Schweizer Know-how in Kryptografie (insbesondere von Institutionen wie IBM Rüschlikon) gezielt für die Stärkung der nationalen Cybersicherheit zu nutzen?
- Welche Massnahmen wurden ergriffen, um die Entwicklung und Implementierung neuer quantensicherer Verschlüsselungsstandards in der Schweiz zu beschleunigen? Wie stellt der Bundesrat sicher, dass die Schweiz mit den globalen Entwicklungen Schritt hält?
- Wie bewertet der Bundesrat den Fortschritt der Schweiz im Bereich der Quantentechnologie im internationalen Vergleich, insbesondere angesichts der Entwicklungen in den USA und China?
Grund des Vorstosses:
Die USA haben bereits klare Regeln für IT-Unternehmen erlassen, die den Status vertrauenswürdiger Anbieter behalten wollen, einschliesslich Fristen für die Einführung neuer quantensicherer Algorithmen.
China hat seinerseits bereits neue quantensichere Verschlüsselungsstandards festgelegt und betrachtet Quantencomputer als Schlüsseltechnologie in seinem Bestreben, den Westen technologisch zu überholen. Angesichts dieser globalen Entwicklungen ist es dringend erforderlich, dass die Schweiz ihre Vorbereitungen auf die Quantencomputer-Ära intensiviert.
Die NZZ berichtete im August ausführlich über diese Thematik (https://shorturl.at/sE0MT).
Antwort des Bundesrates:
Zu 1) Es gibt in der Schweiz keinen vom Bund verliehener Status «vertrauenswürdige Anbieter». Entsprechend kann der Bund auch keine Vorgaben dazu machen, welche Anforderungen für einen solchen Status zu erfüllen sind.
Zu 2) Der Bund tauscht sich regelmässig mit Expertinnen und Experten zu Fragen der Cybersicherheit aus und tut dies auch spezifisch zum Thema der Quantencomputer-resistenten Verschlüsselung. Die Zusammenarbeit erfolgt bedarfsgesteuert. Eine eigene Strategie wurde dafür nicht entwickelt.
Zu 3) Internationale Standardisierungsgremien haben Algorithmen identifiziert, welche für eine Quantencomputer-resistente Verschlüsselung geeignet sind. Mitte August 2024 hat das amerikanische «National Institute of Standards and Technology» (NIST) für das Schlüsseltransportverfahren ML-KEM und die beiden Signaturverfahren ML-DSA und SLH-DSA drei entsprechende Standards (FIPS 203, FIPS 204 und FIPS 205) veröffentlicht. Insgesamt sind aber weitere Standardisierungsarbeiten notwendig, bevor verbindliche Richtlinien und Zeitpläne eingeführt werden könnten. Parallel zu diesen Arbeiten müssen Behörden und Unternehmen überprüfen, welche Risiken für sie bestehen, welche Verschlüsselungstechnologien sie heute einsetzen und wo eine Umstellung auf quantensichere Algorithmen nötig ist. Das Bundesamt für Cybersicherheit hilft, Unternehmen und Behörden für das Thema zu sensibilisieren und hat Empfehlungen aus technischer Sicht veröffentlicht. Für vertiefte Analysen und für die Umsetzung von technischen Massnahmen steht in der Schweiz ein gutes Angebot von privaten Beratungsdienstleistern zur Verfügung. Zudem integrieren internationale Anbieter von Softwarelösungen quantensichere Lösungen in ihre Produkte, wodurch die Verbreitung solcher Lösungen stark zunehmen wird. Der Bundesrat sieht deshalb keinen Grund, weshalb die Schweiz mit internationalen Entwicklungen nicht Schritt halten könnte und erkennt keinen Bedarf für zusätzliche Massnahmen durch den Bund.
Zu 4) In seiner Antwort auf die Ip. 23.3614 Schneider-Schneiter hat der Bundesrat aufgezeigt, dass die Schweiz dank zahlreichen Initiativen an den Hochschulen im Bereich der Quantentechnologien im internationalen Vergleich gut aufgestellt ist.