Das Problem: Erst diese Woche wurden erneut zwei Hackerangriffe mit grösserem Ausmass bekannt: Einerseits wurden Daten des Basler Erziehungsdepartements gehackt, die im Darknet aufgetaucht sind, andererseits veröffentlichten Hacker sensible Mitarbeiterdaten der Neuen Zürcher Zeitung.
Cyberangriffe nehmen nicht nur weltweit, sondern auch in der Schweiz stark zu. In den letzten Jahren ist eine Verdoppelung der Fälle zu beobachten. Laut Sicherheitsforschern von Check Point Research (CPR), sind auch 2022 die Cyberangriffe auf Schweizer Organisationen im Vergleich zu 2021 um 61 Prozent gestiegen.
Das will der Bundesrat: Der Bundesrat möchte, dass Unternehmen mit kritischer Infrastruktur künftig alle Cyberangriffe melden müssen. Der Nationalrat will noch weiter gehen und die Unternehmen verpflichten, auch Schwachstellen in ihren IT-Systemen bekannt zu geben. Die Meldepflicht wird aber kontrovers diskutiert. In der Sommersession kommt sie in den Ständerat – nicht zur Freude aller.
Das sagen Befürworterinnen und Befürworter der Meldepflicht: In der Cybersicherheit brauche es eine Fehlerkultur, wie sie etwa die Flug-Branche schon lange kenne, sagt Grünen-Nationalrat Gerhard Andrey.
In der Cybersicherheit braucht es eine Fehlerkultur, wie sie die Flug-Branche kennt.
Das sei das Ziel der erweiterten Cyber-Meldepflicht. Wenn nämlich ein Unternehmen mit kritischer Infrastruktur nicht nur Cyberangriffe melden muss, sondern auch Schwachstellen im IT-System – dann helfe das allen Unternehmen, die mit derselben Software arbeiten würden. Sicherheitslücken könnten flächendeckend geschlossen werden, bevor der Hacker oder die Hackerin angreift.
Natürlich gebe es insgesamt betrachtet bei der IT eine grosse Vielfalt, sagt Grünen-Nationalrat Gerhard Andrey. Eine einzige Schwachstelle würde zigfach ausgenutzt. Deshalb brauche es die Meldepflicht.
Das sagen die Skeptikerinnen und Skeptiker zur Meldepflicht: Eine Meldepflicht klinge zwar gut – sei aber aufwändig, warnt FDP-Ständerat Hans Wicki, insbesondere für kleinere Unternehmen. Denn Stand heute sei unklar, welche Unternehmen alle unter kritische Infrastruktur fallen. Seien da nur die grossen oder auch die kleinen Player gemeint? Der Eingriff in die Wirtschaftsfreiheit sei zu gross. Und gleichzeitig ist der Nutzen der Cyber-Schwachstellen-Meldung nur klein, ist Wicki überzeugt.
Es braucht neben der einfachen Meldepflicht nicht noch mehr Regulierungen.
«Es wird bereits viel gemacht», so Wicki. Deshalb brauche es neben der einfachen Meldepflicht für Cyberangriffe nicht noch mehr Regulierungen.
Wer soll von der Meldepflicht betroffen sein? Für Andrey ist aber klar, dass nur grössere Unternehmen von der Pflicht betroffen sein sollen: Banken, Gesundheits- und Energieversorger, Bahnunternehmen, Hochschulen oder die SRG sowie Einrichtungen der Armee und Behörden.
Sie alle müssten sich in Zukunft noch besser schützen, warnt Andrey, denn die Schweiz sei ein besonders attraktives Ziel für Cyberkriminelle – wegen des Geldes und weil hier zahlreiche internationale Organisationen beheimatet seien.
Prognosen im Parlament: Im Nationalrat ist die Mehrheit für eine Meldepflicht. Und auch im Ständerat – der voraussichtlich in wenigen Wochen über das Geschäft abstimmt – ist die erweiterte Meldepflicht auf gutem Weg. So hat sich neben der vorberatenden Kommission kürzlich auch die zuständige Mitte-Bundesrätin Viola Amherd positiv dazu geäussert.
