Erfolgreiche Zusammenarbeit zwischen dem VBS und dem Schweizer Finanzsektor zum Schutz der Privatsphäre

Bern, 28.04.2023 - Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) hat ein gemeinsames Pilotprojekt mit der Schweizerischen Nationalbank, SIX und der Zürcher Kantonalbank abgeschlossen, um die Widerstandsfähigkeit kritischer Schweizer Infrastrukturen im Bereich der Cyberabwehr zu stärken. Die Initiative zielt darauf ab, Sicherheitsteams im Finanzsektor den Zugang zu Cyberabwehrkapazitäten des Bundes zu ermöglichen und die allgemeine Sicherheitslage durch verstärkte Kollaboration zu verbessern. Herkömmliche Herausforderungen der Datenkollaboration werden durch den Einsatz von Confidential Computing und Data Clean Rooms, einer Kombination aus neuen Verschlüsselungs- und Datenschutztechnologien, überwunden.

In einem zunehmend bedrohlicheren digitalen Umfeld kann ein koordiniertes Verteidigungsnetzwerk ein wirksames Mittel zum Schutz sein. Vor diesem Hintergrund initiierte das VBS im Jahr 2021 ein Pilotprojekt mit dem Ziel, die Fähigkeiten von Sicherheitsteams zu verbessern und einen umfassenden Überblick zur Bedrohungslandschaft in der Finanzdienstleistungsbranche zu erhalten. Das Projekt geht aus der zweiten «Cyber Startup Challenge 2021» des Cyber-Defence Campus von armasuisse hervor – einer offenen Ausschreibung für Startups, um innovative Technologien für die Cyberverteidigung in der Schweiz zu entwickeln. Der Gewinner dieses Wettbewerbs war das Schweizer Startup Decentriq. Decentriq entwickelte eine Software-as-a-Service (SaaS)-Plattform, die sogenannte «Data Clean Rooms» für Unternehmen anbietet. «Data Clean Rooms» sind geschützte virtuelle Umgebungen auf Grundlage der «Confidential Computing» Technologie, in denen sensible Daten verschlüsselt und bereinigt werden, damit sie organisationsübergreifend für Datenanalysen verwendet werden können.

Implementierung der Technologie

Mit dem Einsatz der Technologie von Decentriq und dem Fachwissen zentraler Akteure des Schweizer Finanzsektors, wie der Schweizerischen Nationalbank, SIX und der Zürcher Kantonalbank, wurden im Rahmen des Pilotprojekts gemeinsame E-Mail-Phishing-Bedrohungen über Organisationsgrenzen hinweg identifiziert. Mithilfe der Verschlüsselungstechnologie waren die Banken in der Lage, neue Phishing-Kampagnen aufzuspüren, gemeinsame Muster zu erkennen und die Phishing-Abwehr aller teilnehmenden Organisationen zu vergleichen. Das erfolgreiche Pilotprojekt hat gezeigt, dass durch die neutrale und geschützte Instanz der «Data Clean Rooms» nützliche Erkenntnisse über Cyberbedrohungen gewonnen werden können, ohne dass sensible Daten zwischen Organisationen ausgetauscht werden müssen.

Ein sicherer Austausch zwischen privaten und öffentlichen Akteuren erhöht die Sicherheit von kritischen Infrastrukturen, was eines der Hauptziele der Nationalen Cyberstrategie (NCS) ist. Der Proof of Concept, der im vergangenen Jahr abgeschlossen wurde, hat die technische Machbarkeit und die Erkenntnismöglichkeiten für die verantwortlichen Teams der Projektteilnehmer aufgezeigt. Die nächsten Schritte für 2023 bestehen nun darin, eine Systemlösung für den gesamten Finanzsektor vorzuschlagen.

Definition Confidential Computing: Confidential Computing ist eine Technologie zur vertraulichen Datenverarbeitung in der Cloud. Die Besonderheit von Confidential Computing gegenüber der bisherigen Verschlüsselung von Daten in der Cloud besteht darin, dass sensible Daten nicht nur im Ruhezustand (in Speicher und Datenbanken) oder bei der Übertragung (über eine Netzwerkverbindung) geschützt werden, sondern auch während der Nutzung. Zusammengefasst nutzt die Technologie Verschlüsselungsmechanismen, um die Sicherheit vor Dritten und Cloud-Anbietern bei der Verarbeitung sensibler Daten zu gewährleisten.

Adresse für Rückfragen

Kaj-Gunnar Sievert
Leiter Kommunikation armasuisse
+41 58 464 62 47