Wicki Hans · Ständerat · 2023-06-01
Wicki Hans · Ständerat · Nidwalden · FDP-Liberale Fraktion · 2023-06-01
Wortprotokoll
Wie Kollegin Gmür-Schönenberger festgestellt hat, haben wir hier eine erste Differenz. Es betrifft eben nicht nur die SBB, wenn sie ein neues System einführen und dieses vor der Einführung testen, sondern auch alle KMU und Unternehmungen, die Systeme am Laufen haben und von deren Schwachstellen gar nichts wissen. Um unseren Antrag an dieser Stelle nachvollziehen zu können, braucht es eine detaillierte Grundsatzdefinition des Begriffs der nicht öffentlich bekannten Schwachstelle. Dieser Begriff beruht letztendlich auf der vom Nationalrat neu eingeführten Meldepflicht für unbekannte Schwachstellen überhaupt. Auf den ersten Blick mag die Einfügung des Nationalrates nachvollziehbar erscheinen. Mit Blick auf die Umsetzung wirft sie allerdings einige Probleme auf.
Zum einen ist der Begriff "Schwachstelle" nicht genau bestimmt, denn die Definition in Artikel 5 Buchstabe g, wonach eine Schwachstelle eine Cyberbedrohung ist, die auf Schwächen oder Fehler in Informatikmitteln zurückzuführen sei, ist nur bedingt hilfreich. Sie enthält sogar einen formallogischen Widerspruch, denn sie suggeriert, dass bereits eine Cyberbedrohung eingetreten sein muss, deren Ursache auf den erwähnten Schwächen oder Fehlern basiert. Die Ergänzungen des Nationalrates zielen demgegenüber aber auf einen vermeintlich präventiven Effekt. Mit den Zusätzen des Nationalrates würden wir also eine Mehrdeutigkeit bei der Auslegung schaffen.
Zum andern weist dieser weite Auslegungsspielraum auf eine weitere Problematik hin: die Frage, ab welcher Schwelle eine Meldung erfolgen muss. Damit entsteht ein unbestimmt grosser Aufwand für eine erhebliche Anzahl von Unternehmen. Es kann kaum unser Ziel sein, diesen Unternehmen weitere administrative Aufgaben aufzubürden, selbst wenn es sich, wie die Bundesrätin ausgeführt hat, um ein vermeintlich einfaches Online-Formular handelt, das sie auszufüllen haben. Für die Unternehmen wird ein unbestimmter Mehraufwand entstehen. Auch wenn es sich einfach anhört, ein Online-Formular auszufüllen, ist das hoffentlich kein repetitiver Arbeitsgang, und bei allem, was nicht repetitiv ist, ist man im ersten Moment immer etwas unsicher, wodurch ein Mehraufwand entsteht.
Überdies führt es zu einer weiteren Problematik: Es generiert Aufwand für das NCSC. Denn wie die Mehrheitssprecherin bereits ausgeführt hat, hat das NCSC bei einer Meldung ebenfalls die Pflicht, dem meldenden Unternehmen zu helfen. Mit der Ergänzung der Meldepflicht bei nicht öffentlich bekannten Schwachstellen ist davon auszugehen, dass relativ viele Meldungen eingehen werden, dies gerade aufgrund des unbestimmten Umfanges des Begriffes und der Meldeschwelle. Das führt letztendlich auch für das NCSC[NB]zu[NB]einer[NB]erheblichen Mehrbelastung, und die Beantragung von zusätzlichen Stellen kann hier bereits prognostiziert werden.
Sie sehen also die Problematik der nationalrätlichen Ergänzungen betreffend die Schwachstellen. Sie mögen gut gemeint sein, schaffen aber eine Unsicherheit und einen Mehraufwand. Dies widerspiegelt sich auch im vorliegenden Artikel. Das heisst, "nicht öffentlich bekannt" mag an diesem Punkt an und für sich harmlos erscheinen, referiert aber auf die Zusätze in den späteren Artikeln.
Ich bitte Sie im Namen der Minderheit, zum Entwurf des Bundesrates zurückzukehren und dieses System entsprechend zu genehmigen.