Lexipedia

Zuberbühler David · Nationalrat · 2023-09-21

Zuberbühler David · Nationalrat · Appenzell A.-Rh. · Fraktion der Schweizerischen Volkspartei · 2023-09-21

Wortprotokoll

Sie erinnern sich: Unser Rat hatte in der Frühjahrssession mit 126 zu 52 Stimmen beschlossen, eine Meldepflicht für Schwachstellen einzuführen. Der Ständerat lehnte die Bestimmung in der Sommersession mit 31 zu 13 Stimmen ab. Auf Antrag Ihrer Sicherheitspolitischen Kommission haben Sie Anfang Session mit 102 zu 80 Stimmen eine Neuformulierung von Artikel 74d Absatz 2 beschlossen. Die Neuformulierung sah vor, dass eine Schwachstelle nicht hätte gemeldet werden müssen, wenn es sich dabei um eine Eigenentwicklung eines betroffenen Unternehmens gehandelt hätte. Der Ständerat hat am letzten Dienstag sehr deutlich bzw. noch deutlicher als zuvor, nämlich mit 32 zu 12 Stimmen bei 0 Enthaltungen, entschieden, die Schwachstellenmeldung definitiv aus dem Informationssicherheitsgesetz (ISG) zu streichen.

Im Namen der SVP-Fraktion mache ich Ihnen deshalb beliebt, die letzte Differenz zum Ständerat auszuräumen, damit das Geschäft nicht noch in die Einigungskonferenz gehen muss, wo es unter Umständen Schiffbruch erleiden könnte. Die SVP-Fraktion ist nach wie vor der Ansicht, dass der Fokus auf die Bewältigung von Cyberangriffen gelegt werden sollte. Eine Ausweitung auf die Schwachstellen geht zu weit - zu weit, weil dazu keine Vernehmlassung durchgeführt wurde und sich die Betreiber kritischer Infrastrukturen dazu gar nicht äussern konnten; zu weit, weil die Meldung von Schwachstellen zu einer grossen Mehrbelastung für die Unternehmen und den Staat führen würde; und zu weit, weil die Gefahr einfach zu gross ist, dass hochsensible Daten, die an einer zentralen Stelle beim Bund gesammelt werden, in die Hände von Hackern gelangen könnten.

Ich erinnere daran, was ich bereits am ersten Montag dieser Session gesagt habe: Wie die Vergangenheit gezeigt hat, ist es nicht ausgeschlossen, dass hochsensible Daten in die Hände von Hackern gelangen könnten. Der Super-GAU bzw. Datenklau bei der Firma Xplain, bei der Kriminelle mehrere Millionen Dateien erbeuteten, lässt grüssen!

Das ist gefährlich - gefährlich deshalb, weil Hacker immer einen Schritt voraus sind und die von einem Cyberangriff betroffenen Kreise erst dann reagieren können, wenn der Cybervorfall bereits passiert ist. Stellen Sie sich vor: Sie spielen morgen als Fussballprofi einen WM-Final und wissen, dass Ihr Knöchel oder Fuss angeschlagen ist. Werden Sie Ihre körperliche Schwachstelle melden, auf die Gefahr hin, dass Ihr Gegner davon Wind bekommt? Und was passiert dann? Die Wahrscheinlichkeit ist gross, dass Ihr Gegner absichtlich auf Ihren Fuss oder Knöchel steht und dass Sie so verletzt werden, dass Sie ausgewechselt werden müssen. Auch im Hockey gibt es einen Grund, weshalb in den Playoffs keine medizinischen Bulletins ausgegeben werden. Informationen gibt es in der Regel keine, die Clubs halten die medizinischen Bulletins aus praktischen Gründen unter Verschluss. Es könnte ja noch einer auf die Idee kommen und da draufhauen, wo es sowieso schon zwickt. Die Clubs kennen die Blessuren und Schlimmeres ihrer Spieler. Sie kennen folglich die Schwachstellen und schützen sie, wollen aber nicht, dass der Gegner sie kennt.

Genauso verhält es sich mit den IT-Schwachstellen: Die Betreiber kritischer Infrastrukturen kennen ihre Schwachstellen oder finden neue, sie wollen aber nicht, dass ein krimineller Dritter an diese Informationen kommt und die kritische [PAGE 1833] Infrastruktur aufgrund dieses Wissens lahmlegt. Die freiwillige Meldung von Schwachstellen ist heute schon möglich. Die Einführung eines Obligatoriums geht aber definitiv zu weit, weil das NCSC dafür noch gar nicht bereit ist bzw. erst seit wenigen Jahren ein Schwachstellenmanagement betreibt.

Deshalb bitte ich Sie, der Mehrheit der Kommission und damit dem Bundesrat zu folgen.