Gmür-Schönenberger Andrea · Ständerat · 2023-09-19
Gmür-Schönenberger Andrea · Ständerat · Luzern · Die Mitte-Fraktion. Die Mitte. EVP. · 2023-09-19
Wortprotokoll
Beim Informationssicherheitsgesetz geht es um die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Bei der einen Differenz geht es darum, dass unser Schwesterrat nicht nur eine Meldepflicht für Cyberattacken, sondern auch eine Meldepflicht für Schwachstellen fordert. Der Nationalrat hat dies in der Frühjahrssession mit 126 zu 52 Stimmen beschlossen. Unser Rat hat die Meldepflicht für Schwachstellen in der Sommersession mit 31 zu 13 Stimmen wieder abgelehnt. Der Nationalrat hat dann in der neuen Formulierung von Artikel 74d Absatz 2 präzisiert, dass eine Schwachstelle gemeldet werden muss, wenn sie nicht durch Eigenentwicklungen der betroffenen Unternehmen entstanden ist. Eine weitere Präzisierung, ebenfalls von Artikel 74d Absatz 2, hat die Minderheit der SiK-S vorgenommen. So sollen Schwachstellen nur dann gemeldet werden, wenn sie einen kritischen Schweregrad aufweisen.
Ihre SiK hält mit 9 zu 4 Stimmen an der Fassung des Bundesrates fest und lehnt eine Ausdehnung der Meldepflicht auf Schwachstellen ab. Warum?
1.[NB]Aufgrund der unterschiedlichen IT-Systeme können Schwachstellen unter den Betreibern kritischer Infrastrukturen kaum verglichen werden. Es drohen unzählige Meldungen, dies, weil kaum die gleichen Systeme und die gleiche Software eingesetzt werden. Ein Energiebetreiber, der für die Steuerung der Stromproduktion zuständig ist, verfügt über eine andere IT-Infrastruktur und andere IT-Lösungen als beispielsweise Banken - da geht es ums Zahlungssystem - oder Flughäfen, wo die aviatische Infrastruktur gemanagt werden muss. Auch innerhalb der einzelnen Branchen sind die IT-Systeme zum Teil so unterschiedlich und vielfältig, dass ein Abgleich und Vergleich von Schwachstellen kaum möglich und sinnvoll ist. Ob die zentrale Erfassung der Schwachstellen einen systemischen Mehrwert ergibt, ist fragwürdig.
2.[NB]Die Sammlung von Schwachstellen an einer zentralen Stelle ist auch gefährlich. Die Gefahr ist gross, dass die Meldepflicht für IT-Schwachstellen die Sicherheit der Systeme nicht stärkt, sondern potenziell schwächt. Eine Meldung von Schwachstellen und die damit verbundene Sammlung an zentraler staatlicher Stelle setzen voraus, dass das Sicherheitssystem dieser Behörde absolut geschützt ist. Mögliche Lecks müssen auf staatlicher Seite zu jeder Zeit komplett ausgeschlossen sein und, sollten sie dennoch vorkommen, jederzeit und unverzüglich geschlossen werden können. Diese Anforderung war bis anhin leider nicht erfüllt. Das Sicherheitsrisiko soll aber reduziert und nicht erhöht werden.
3.[NB]Die Meldung von potenziellen Schwachstellen - was auch immer als solche erkannt wird - führt zu einer administrativen Mehrbelastung für Unternehmen und Staat, die auch von echten Cyberangriffen ablenken kann. Es drohen Rechtsunsicherheit, mehr Aufwand und mehr Risiken. Für diese kontinuierlichen Meldungen müssten in allen Unternehmen allenfalls sogar zusätzliche Stellen geschaffen werden. Dies gilt auch für den Staat selbst, soll er alle potenziellen Daten- und Referenzpunkte auswerten können. Dies birgt das Risiko der bürokratischen Überforderung und kann auch dazu führen, dass Ressourcen für die Bekämpfung von ernsten Cyberangriffen nicht zur Verfügung stehen respektive die Erhöhung der Cyberresilienz nicht gewährleistet ist.
4.[NB]Schlussendlich ist das Gesetz widersprüchlich, wenn es um die Meldung geht. Schauen Sie sich Artikel 74e Absatz 1 an. Dieser fordert einerseits, dass die Schwachstelle innert sieben Tagen gemeldet werden muss. Ansonsten droht ja auch Busse. Andererseits heisst es, dass die Meldungen zu Schwachstellen anonym erfolgen können, dies bei Artikel 74e Absatz 2bis. Wie soll das überhaupt kontrolliert werden, ob die Schwachstelle innert sieben Tagen gemeldet wurde? Da wird mit ungleichen Ellen gemessen. Eine anonyme Meldung kann nie kontrolliert werden. Nur schon der Gesetzestext, wie er jetzt vorliegt, ist komplett widersprüchlich.
Die Erweiterung der Meldepflicht auf IT-Schwachstellen, die vom Nationalrat eingebracht wurde, wurde komplett ohne Vernehmlassung eingebracht. Niemand wurde dazu angehört. Die betroffenen Gesetzesadressaten, die kritischen Infrastrukturen, konnten sich dazu nicht äussern. Auch das ist ein weiterer Mangelpunkt.
Aus all diesen Gründen bitte ich Sie namens der Mehrheit der SiK, auf die Verankerung einer Meldepflicht betreffend IT-Schwachstellen für Betreiber kritischer Infrastrukturen zu verzichten.