Open und Closed Source optimal kombiniert für die Cyber-Souveränität

Der Bund braucht agile IT-Strukturen, um mit dem schnellen technologischen Wandel Schritt zu halten. Inwiefern die clevere Kombination von Open und Closed Source Software eine Schlüsselrolle für die Cyber Security im Behördenumfeld spielt, erfahren Sie in diesem Blogpost.

Das Ziel ist klar: Die Schweiz soll vor Gefahren aus dem Netz geschützt sein. Und sie bleibt handlungsfähig, falls es trotzdem zu Vorfällen kommen sollte. Das hält der Bundesrat in seiner Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken fest.

Damit betreibt der Bund zeitgemässe Sicherheitspolitik. Denn längst wird die Selbstbestimmung von Wirtschaft und Bevölkerung nicht mehr nur in der physischen Welt bedroht, sondern auch im Cyberspace – einem kaum überschaubaren und weltweit durchlässigen Raum. Cyber-Souveränität ist das Gebot der Stunde.

Bund öffnet sich für Open Source

Um die Cyber-Souveränität der Schweiz im Umfeld von sich verändernden Cyber-Risiken zu wahren, muss der Bund die Sicherheit seiner IT-Systeme ständig verbessern und mit dem technologischen Wandel Schritt halten. Das geht nur, wenn sich die Behörden die Innovationen der kommerziellen IT zunutze machen können. In der heutigen Zeit bedeutet das, nicht nur auf proprietäre Closed Source-Systeme zu setzen, welche mit entsprechendem Aufwand ohne direkte Verbindung zum Hersteller lizenziert, betrieben und aktualisiert werden können. Vielmehr gilt es, daneben auch Open Source Software (OSS) in die IT-Architektur miteinzubeziehen.

In seiner Digitalisierungsstrategie hat sich der Bund vorgenommen, agilere Strukturen zu schaffen, um genau das zu ermöglichen. Im darauf basierenden Praxis-Leitfaden «Open Source Software in der Bundesverwaltung» werden das grosse Potenzial von OSS sowie die Herausforderungen im Umgang mit dieser OSS umfassend beschrieben.

Dieser Ratgeber zum erfolgreichen Einsatz von OSS erlaubt es Behörden, OSS gewinnbringend einzusetzen und unter anderem von folgenden Vorteilen zu profitieren:

• Unabhängig vom Software-Produktehersteller kann OSS analysiert, verifiziert, weiterentwickelt, und allfällige Sicherheitslücken können behoben werden. Dies ermöglicht es auch, die Systeme bedarfsgerecht zu härten.
• OSS bietet den Behörden dank Zugriff auf den Quellcode zudem die Möglichkeit, ihre spezifischen Sicherheitsanforderungen gezielt umzusetzen. Die Abhängigkeit von einem spezifischen Hersteller wird reduziert.

Unabhängig davon, ob es sich um Open oder Closed Source Software handelt: Best Practices wie «Security by Design», Reviews, die Anwendung von formalen Methoden, Secure Coding, automatisierte statische und dynamische Code-Analysen mit definierten Prüfregeln und umfassendes Testen müssen zwingend angewendet werden. Allerdings können Open Source-Komponenten meist sehr umfangreich für umfassende Analysen und Reviews sein. In diesem Fall müssen vorgängig alle sicherheitsrelevanten Teile identifiziert und überprüft werden, inklusive allfälliger Schnittstellen. Hierzu ist entsprechendes Spezialwissen notwendig

Entscheidend: Schweizer Cyber Security-Expertise

Der Königsweg besteht aus flexiblen Architekturen, welche offene Lösungen sinnvoll mit Closed Source Software (CSS) kombinieren – beispielsweise führt die Härtung der Kryptografiebibliotheken und das Einbinden eines Hardware Security-Ankers zu einem höheren Grad an Informationssicherheit und Performanz des Systems.

Um die geeignete Kombination zu finden, die ihren steigenden Sicherheitsbedürfnissen Rechnung trägt und gleichzeitig von den raschen Innovationszyklen profitieren zu können, benötigen Behörden viel Fachwissen. Dieses Fachwissen holen sie sich am besten bei ausgewiesenen, sicherheitsüberprüften Cyber Security-Experten.

«Swissness» in der Supply Chain

Bei der Wahl ihrer Partner tun sie ausserdem gut daran, auf «Swissness» und eine durchgängig schweizerische Supply Chain zu setzen. Um die Cyber-Souveränität des Landes zu gewährleisten, muss die Schweiz die Schlüsseltechnologien in der Cyber Defence und Cyber Security selber in der Hand halten. Denn eine moderne und effiziente Informations- und Kommunikationstechnologie bildet das Rückgrat von Staat und Wirtschaft und ist unabdingbar. Agil, skalierbar und mit einer gesicherten Verfügbarkeit trägt sie entscheidend zum nachhaltigen Erfolg und zur Wettbewerbsfähigkeit der Schweiz bei.

Die CyOne Security verfügt über exzellentes, state-of-the-art Know-how in Design und Entwicklung von hochsicherer Hard- und Software, auch auf Basis von Open Source. Sie kann deshalb für Behörden für konkrete Sicherheitsanwendungen die geeigneten und durch die Kunden überprüfbare Sicherheitslösungen anbieten oder existierende OSS-Lösungen vor dem Einsatz auf ihre Sicherheit überprüfen.

Diese Sicherheitskompetenz bringt die CyOne Security in die kundenspezifischen Sicherheitskonzepte und -lösungen ein, damit Behörden von nachhaltigen, flexiblen Sicherheitsarchitekturen profitieren und dabei mit dem schnellen technologischen Wandel Schritt halten können. Nur durch eine verstärkte Kooperation mit ihren Geschäftspartnern können Behörden agil den sich stetig verändernden Cyber-Bedrohungen und dem technologischen Wandel Rechnung tragen und die ganze Wertschöpfungskette sicher machen.

Mehr zur zentralen Bedeutung einer durchgängig schweizerischen Wertschöpfungskette für die Cyber-Souveränität dieses Landes lesen Sie in unserem Wissens-Update «Cyber Security – nur wenn die gesamte Supply Chain geschützt ist».