Gmür-Schönenberger Andrea · Ständerat · 2023-06-01
Gmür-Schönenberger Andrea · Ständerat · Luzern · Die Mitte-Fraktion. Die Mitte. EVP. · 2023-06-01
Wortprotokoll
Die Minderheit beantragt hier, auf die Erweiterung der Meldepflicht auf nicht öffentliche Schwachstellen zu verzichten. Sie bemängelt auch, dass der Begriff der Schwachstelle nicht ausreichend definiert sei. Bei diesem Wortlaut würde die Anzahl der Meldungen vermuteter Schwachstellen massiv erhöht, ohne dass dabei ein Mehrwert entstünde.
Die Kommission unterstützt die Fassung des Nationalrates mit 5 zu 5 Stimmen mit Stichentscheid des Präsidenten. Der Begriff der Schwachstelle wird in Artikel 5 Buchstabe g definiert als eine "Cyberbedrohung, die auf Schwächen oder Fehler in Informatikmitteln zurückzuführen ist". Überhaupt ist der Begriff der Schwachstelle in der Informatikbranche nichts Neues, sondern absolut gängig.
Die Meldung solcher Schwachstellen erzeugt einen Mehrwert. Alle potenziell Betroffenen werden nämlich informiert. Zudem kann bei den Herstellern darauf gedrängt werden, dass diese Mängel möglichst rasch behoben werden. Meist können solche Schwachstellen ohnehin nur vom Hersteller repariert werden. Es ist also sinnvoll, dass nicht jeder Betreiber einer kritischen Infrastruktur selber beim Hersteller vorstellig wird, sondern dass die Behebung national gebündelt eingefordert werden kann.
Die Entdeckung von Schwachstellen kann auch bereits beim Testen von Systemen erfolgen. Stellen zum Beispiel die SBB beim Erproben einer neuen Software fest, dass sie Schwachstellen aufweist, ist es mehr als sinnvoll, solche Infos weiterzugeben, damit eben andere Unternehmen mit der gleichen Software gewarnt sind. Bei der Integration von neuen Systemen und solchen, die erst noch eingeführt werden, ist daher die Meldung von Schwachstellen absolut zentral.
Diese erweiterte Meldepflicht bei Cyberangriffen verschafft einen besseren Überblick über die Situation und wirkt präventiv. Es kommt nämlich oft vor, dass die gleichen IT-Komponenten in verschiedensten Infrastrukturen eingesetzt werden. Andere Betreiber so schnell wie möglich über erkannte Gefahren informieren zu können, ist deshalb von nicht zu unterschätzender Bedeutung. Es gilt ganz klar: je früher, desto besser. Zudem sind nur jene Schwachstellen zu melden, [PAGE 387] die bislang unbekannt waren und bei betriebskritischen Systemen auftreten. Oft wird ja eben Software eingekauft. Der Hersteller weist häufig auch auf allfällig auftretende Probleme hin und erarbeitet entsprechende Lösungen, die per Update die Schwachstelle beheben können. Der Schutzgrad kann so signifikant erhöht werden.
Aus all diesen Gründen bitte ich Sie, der Mehrheit Ihrer Kommission zu folgen. Die nationalrätliche Kommission hatte dem Antrag mit 21 zu 0 Stimmen zugestimmt, und damit gab es auch keine Minderheit im Plenum.