Lexipedia

Andrey Gerhard · Nationalrat · 2023-03-16

Andrey Gerhard · Nationalrat · Freiburg · Grüne Fraktion · 2023-03-16

Wortprotokoll

Kaum ein Lebensbereich ist heute noch digitalisierungsfrei. Die digitale Infrastruktur hilft uns hier, steuert uns da und versorgt uns dort. Man darf mit Fug und Recht behaupten, dass die Digitalisierung punkto Wichtigkeit mittlerweile auf der Ebene der Stromversorgung angelangt ist: Ohne sie läuft nichts mehr. Entsprechend wichtig werden digitale Verwundbarkeiten. Das ist ein Thema, das noch vor Kurzem fast ausschliesslich in Fachkreisen diskutiert wurde. Seit aber immer mehr gravierende Cyberattacken erfolgreich Gemeindebehörden, Bildungsinstitutionen oder Verwaltungseinheiten in die Knie zwingen, ist das Thema nun auch in der breiten Bevölkerung angekommen.

Vor bald zwei Jahrzehnten hat die Bundesverwaltung ihrerseits jedoch schon eine Sensibilität für das Thema entwickelt und über die Jahre eine gut funktionierende Plattform für [PAGE 551] Monitoring und Hilfestellung aufgebaut. Daraus entstanden ist das heutige NCSC, das Nationale Zentrum für Cybersicherheit. Das NCSC hantiert bis heute mit freiwilligen Massnahmen. Nun ist aber der Zeitpunkt gekommen, einen Gang höher zu schalten, die Gefährdungen sind zu bedrohlich.

Deshalb beraten wir heute eine Revision des Informationssicherheitsgesetzes, das Betreiber kritischer Infrastrukturen wie Elektrizitätswerke, Spitäler oder Hochschulen verpflichtet, dem NCSC Cyberattacken innerhalb von 24 Stunden zu melden. Diese Meldungen werden helfen, die Cybersicherheit in der Schweiz insgesamt zu verbessern. Ähnlich wie man das zum Beispiel im internationalen Flugverkehr kennt, soll eine Kultur des vorbehaltlosen Aufklärens entstehen.

Kommen wir nun zur Vorlage im Detail. Der Gesetzentwurf wurde in der Sicherheitspolitischen Kommission insgesamt mit Wohlwollen beraten; die Kommission folgt weitgehend dem Bundesrat. Sie schlägt aber eine Erweiterung vor, welche die Meldepflicht auf unbekannte schwerwiegende Schwachstellen ausdehnt. Auf der Fahne sind in den Artikeln 73b und 74a bis 74f Änderungen zu finden. Alle betreffen nur diesen Aspekt. Die Kommission ist mit 21 zu 0 Stimmen bei 1 Enthaltung der Ansicht, dass diese erweiterte Meldepflicht bei Cyberangriffen einen besseren Überblick über die Situation verschafft und präventiv wirken kann. Es kommt nämlich oft vor, dass die gleichen IT-Komponenten in verschiedensten Infrastrukturen eingesetzt werden. Andere Betreiber so schnell wie möglich über erkannte Gefahren informieren zu können, ist deshalb von zentraler Bedeutung.

"So schnell wie möglich" wäre das Stichwort für die Minderheit Zuberbühler, welche beantragt, die Meldefrist von 24 auf 72 Stunden zu verlängern. Wie eben ausgeführt, ist die Zeit wesentlich. Automatisierte Attacken können sich wie ein Lauffeuer verbreiten. Je schneller ein Angriff gemeldet wird, desto grösser ist die Chance, einen Flächenbrand zu verhindern. Das NCSC erwartet auch keine Doktorarbeit, wenn es darum geht, eine Attacke oder eine Schwachstelle zu melden. Es reicht, einen kurzen Hinweis zu deponieren, sodass sich das angegriffene Unternehmen hauptsächlich um die Abwehr kümmern kann. Der Antrag, die Meldefrist von 24 auf 72 Stunden zu verlängern, wurde entsprechend mit 16 zu 7 Stimmen abgelehnt.

Gleich verhält es sich bei der zweiten Minderheit Zuberbühler, welche die Bussen aus der Vorlage kippen möchte. Wie einleitend ausgeführt, wurde knapp zwanzig Jahre lang der Ansatz der Freiwilligkeit verfolgt. Das Verzichten auf[NB]Sanktionen - vorgesehen sind hier maximal 100[NB]000 Franken pro Fall -, wie man sie überdies auch im Datenschutzgesetz kennt, wo die Maximalbusse sogar auf 250[NB]000 Franken angehoben wurde, würde die gesamte Vorlage massiv schwächen. Entsprechend ist die Kommission mit 16 zu 7 Stimmen der Auffassung, dass die Bussen im Entwurf bleiben sollen.

Die Gesamtvorlage wurde schlussendlich mit 16 zu 1 Stimmen bei 6 Enthaltungen klar angenommen.

An dieser Stelle möchte ich mich im Namen der Kommission herzlich für die konstruktive Zusammenarbeit, insbesondere mit dem NCSC, bedanken, zumal die Änderungen bezüglich Schwachstellen doch einiges an Flexibilität und Hirnschmalz abverlangt haben.