Zusammenfassung Konzeptpapier Prüfinstitut
Mit der fortschreitenden Digitalisierung nehmen nicht nur zahlreiche Annehmlichkeiten zu, es entstehen auch neuen Risiken, unter anderem mit Hinblick auf die Souveränität der Schweizer Gesellschaft und die informationelle Selbstbestimmung jedes einzelnen Bürgers. Insbesondere wachsen kritische Abhängigkeiten zur Informationstechnologie hinsichtlich des Einsatzes von Hard- und Software sowie IT-nahen Dienstleistungen. Wird berücksichtigt, dass durchschnittlich zwischen 1 und 100 Schwachstellen in 2000 Zeilen Programmcode enthalten sind, so führt der steigende Vernetzungsgrad von IT-Komponenten unweigerlich dazu, dass Angreifer aus der Ferne eine reale Bedrohung mit teils erheblichem Schadpotenzial für die Gesellschaft darstellen.
Umso wichtiger wird es in Zukunft sein, ein aussagekräftiges Lagebild zur tatsächlichen Bedrohung ausgehend von Schwachstellen in unzureichend gesicherten IT-Komponenten und Diensten zu entwickeln. Es ist aus Sicht der gesellschaftlichen, wirtschaftlichen und geopolitischen Stabilität der Schweiz inakzeptabel, dass Einkäufer und Betreiber von kritischen Komponenten keine hinreichende Möglichkeit haben, die Qualität hinsichtlich der Cybersicherheit der einzusetzenden Produkte durch eine offiziell mandatierte Institution zu evaluieren.