Lexipedia

Zuberbühler David · Nationalrat · 2023-09-11

Zuberbühler David · Nationalrat · Appenzell A.-Rh. · Fraktion der Schweizerischen Volkspartei · 2023-09-11

Wortprotokoll

Ich spreche zur Minderheit Zuberbühler zum 2. Abschnitt, in welchem es um die Pflicht zur Meldung von Cyberangriffen und Schwachstellen geht. Im Sinn der Effizienz spreche ich zeitgleich auch für die SVP-Fraktion.

Im Rahmen der Frühjahrssession hat unser Rat die Einführung einer Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen beschlossen. Zusätzlich hat unser Rat in Abweichung zum Entwurf des Bundesrates der Einführung einer Pflicht zur Meldung von Schwachstellen zugestimmt. Während der Sommersession hat auch der Ständerat als Zweitrat das Geschäft beraten. Dabei hat er, wohl auch deshalb, weil selbst der Bundesrat den inhaltlichen Erweiterungen der Meldepflicht skeptisch gegenübersteht, die Ausweitung der Meldepflicht auf IT-Schwachstellen ziemlich deutlich verworfen.

Ausschlaggebend dafür war aber wohl nicht nur die skeptische Haltung des Bundesrates, sondern auch die kritische bzw. ablehnende Haltung der vielen Verbände und Unternehmen, die von dieser Erweiterung betroffen wären. Diese Verbände und Unternehmen haben ja einerseits Angst vor einer administrativen Mehrbelastung für die Unternehmen und den Staat. Andererseits haben sie Angst, dass die Sammlung von Informationen zu Schwachstellen bei einer zentralen staatlichen Stelle die kritischen Infrastrukturen mehr gefährdet, als sie diese schützt. Informationen zu allfälligen Schwachstellen, die zu melden wären, könnten möglicherweise problemlos in die Hände von Hackern gelangen, was unter Umständen zu grossen Problemen führen könnte. Wenn eine Schwachstellenmeldung von Hackern entdeckt wird, kann dies verschiedene Herausforderungen und Risiken mit sich bringen. In solchen Fällen besteht das Risiko, dass die Schwachstelle von Hackern ausgenutzt wird, bevor entsprechende Massnahmen ergriffen werden können, um sie zu beheben. Dies kann zu potenziellen Angriffen, Datenverlusten oder anderen Sicherheitsverletzungen führen.

Ja, die Bedenken der Verbände und der betroffenen Betreiberinnen kritischer Infrastrukturen sind nicht unberechtigt. Hacker haben ja erst im Juni mehrere Millionen Datensätze des Bundesamtes für Polizei (Fedpol) und des Bundesamtes für Zoll und Grenzsicherheit (BAZG) im Darknet veröffentlicht; auch Daten der Militärpolizei landeten dort. Dabei nutzten die Hacker eine Schwachstelle auf den Servern eines Deutschschweizer Unternehmens, das diese potenziell heiklen Daten aufbewahrte. Der Vorfall wie auch der Umstand, dass beim Bund ganz offensichtlich ein Klumpenrisiko besteht, sind derart gravierend, dass der Bundesrat Ende Juni gar einen Krisenstab einberufen hat. Er tat das nicht zu Unrecht. Schliesslich handelte es sich beim Datenklau um einen Super-GAU, weil unter anderem Interpol-Anfragen sowie Sicherheitsdispositive für Staatsgäste und Magistraten im Netz frei zugänglich waren oder immer noch frei zugänglich sind.

Das ebenfalls betroffene BAZG schränkte zwar die Tragweite des Cyberangriffes ein, weil Daten des Bundesamtes selbst nicht betroffen waren. Das BAZG räumte aber dennoch ein, dass Daten aus der Korrespondenz mit Kunden betroffen waren - und wenn wir von "Korrespondenz mit Kunden" hören, dann schrillen bei uns natürlich die Alarmen.

Die Schwachstellen, die der Ständerat aus dem Informationssicherheitsgesetz streichen möchte, müssen ja auch in irgendeiner Form gemeldet werden. Wie die Vergangenheit gezeigt hat, ist es nicht ausgeschlossen, dass solche Daten eben in die Hände von Hackern gelangen. Das ist brandgefährlich. Gefährlich ist es auch deshalb, weil Hacker immer einen Schritt voraus sind und weil die von einem Cyberangriff betroffenen Kreise erst dann reagieren können, wenn der Cybervorfall bereits passiert ist.

Meine Minderheit und die SVP-Fraktion sind heute der Meinung, dass der Fokus auf die Bewältigung von Cyberangriffen gelegt werden sollte. Eine Ausweitung auf Schwachstellen könnte den Bogen überspannen, insbesondere auch deshalb, weil dazu gar keine Vernehmlassung durchgeführt wurde und weil die Gefahr einfach zu gross ist, dass hochsensible Daten in die Hände von Kriminellen gelangen könnten. Die Folgen könnten sein: gezielte Angriffe auf betroffene Systeme, Datenklau, unautorisierter Zugriff, Verkauf dieser Schwachstellenmeldungen auf dem Schwarzmarkt, Weitergabe an staatliche Akteure zwecks Durchführung von gezielten Cyberoperationen oder Spionageaktivitäten, Einschleusung von Schadsoftware oder die Durchführung von anderen schädlichen Aktivitäten.

Die SVP-Fraktion möchte die einzige Differenz mit dem Ständerat ausräumen. Ich mache Ihnen deshalb beliebt, die Minderheit Zuberbühler zu unterstützen und dem Ständerat zu folgen.