Lexipedia

Zuberbühler David · Nationalrat · 2023-03-16

Zuberbühler David · Nationalrat · Appenzell A.-Rh. · Fraktion der Schweizerischen Volkspartei · 2023-03-16

Wortprotokoll

Bei Artikel 74e Absatz 1 spreche ich im Sinne der Effizienz für meine Minderheit sowie für die SVP-Fraktion.

Gemäss dem Entwurf des Bundesrates und dem Antrag der Kommissionsmehrheit bei Artikel 74e ist der Meldepflicht innert 24 Stunden nach dem Entdecken eines Cybervorfalls oder einer Schwachstelle nachzukommen. Die Pflicht bezieht sich dabei auf Betreiber kritischer Infrastrukturen gemäss [PAGE 556] Artikel 74 Absatz 1 mit dem Ziel, Unterstützung durch das NCSC gemäss Artikel 74a Absatz 3 zu bieten sowie dieses in die Lage zu versetzen, Angriffsmuster zu erkennen, mögliche Betroffene zu warnen sowie Präventionsmassnahmen einzuleiten.

Wie sieht das denn heute in der Praxis aus? Kritische Infrastrukturen umfassen all die Einrichtungen und Systeme, die ein Gemeinwesen braucht, um zu funktionieren. Fallen sie aus, kann das zu Problemen bei der Versorgung und der öffentlichen Sicherheit führen. Ich habe nicht zuletzt deshalb in meinem Eintretensvotum darauf hingewiesen, dass Cyberangriffe auf kritische Infrastrukturen eine immer grössere Rolle spielen. So kommt es nicht von ungefähr, dass Betreiber kritischer Infrastrukturen eben nicht täglich oder wöchentlich Cyberangriffe erleben, sondern buchstäblich im Sekundentakt. Dafür haben Betreiber kritischer Infrastrukturen im Rahmen der Selbstregulierung in den letzten Jahren und Jahrzehnten entsprechende Strukturen aufgebaut und sich mit entsprechenden Partnern zusammengetan. Für all diese Teams sind Cyberangriffe buchstäblich das tägliche Brot. Um einen solchen Angriff heutzutage mit einigem Erfolg zu lancieren, braucht es auf der Seite der Angreifer eine ebenso langwierige wie gross angelegte Vorbereitung, entsprechende Mittel und Ressourcen, vor allem aber viel Zeit und Know-how.

Es ist zwar ein hehres Ziel des Informationssicherheitsgesetzes, das NCSC in die Lage zu versetzen, bei einem Angriff auf eine kritische Infrastruktur die angegriffene Organisation zu unterstützen und bei vergleichbaren Organisationen präventiv wirken zu können. Ob es angesichts der beschriebenen Vorkehrungen allerdings ein realistisches Ziel ist, darf zumindest infrage gestellt werden.

Bei dieser alles andere als einfachen Ausgangslage ist eine enge zeitliche Limite nicht zielführend, denn entweder erfolgt ein Massenangriff - dann sind 24 Stunden viel zu lang - oder der Angriff ist gezielt und über Wochen vorbereitet worden, womit 24 Stunden eben auch nicht weiterhelfen. Hinzu kommt, dass Betreiber kritischer Infrastrukturen, die aufgrund ihrer Organisationsgrösse im Bereich der Cybersicherheit vielleicht nicht so gut aufgestellt sind, Wichtigeres zu tun haben, als innerhalb von 24 Stunden Meldung an das NCSC zu erstatten. Einerseits müssen die betroffenen Unternehmen zuerst das Ausmass der Cyberattacke feststellen, andererseits liegt ihr Fokus ab dem Zeitpunkt des Cyberangriffes klar auf der Cyberabwehr. Diese Unternehmen sollten zuerst die Möglichkeit haben, selbst die Auswirkungen und Lücken im System zu identifizieren, bevor sie dem NCSC Meldung erstatten.

Last, but not least: Wahrscheinlich würde bei einer sofortigen Meldung unweigerlich eine Vielzahl von unnötigen Meldungen abgesetzt werden, weil Cybervorfälle zum Stichzeitpunkt noch gar nicht richtig beurteilt werden können. Die 24-Stunden-Regel, die bei einer Verletzung zusätzlich eine[NB]Busse[NB]nach sich ziehen würde, ist deshalb zu eng gefasst und stellt ein grundsätzliches Problem der ISG-Änderung dar. In diesem Sinne bitte ich Sie, einer praxistauglichen Umsetzung zuzustimmen und die Meldefrist auf 72 Stunden zu verlängern.