Lexipedia

Zuberbühler David · Nationalrat · 2023-03-16

Zuberbühler David · Nationalrat · Appenzell A.-Rh. · Fraktion der Schweizerischen Volkspartei · 2023-03-16

Wortprotokoll

Aktuell fehlt eine Übersicht darüber, welche Cyberangriffe wo stattgefunden haben, da Cyberangriffe heute dem NCSC auf freiwilliger Basis gemeldet werden. Der Bundesrat ist der Ansicht, dass Freiwilligkeit bei der Meldung zu einem unvollständigen Lagebild führen könnte. Da Cyberrisiken zu den wichtigsten Bedrohungen der Sicherheit und der Wirtschaft unseres Landes gehören, will er eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen einführen und dadurch zur Frühwarnung beitragen.

Microsoft hat erst kürzlich den Digital Defense Report 2022 veröffentlicht. Mit diesem Report fasst Microsoft die wichtigsten Erkenntnisse seiner Sicherheitsexperten zusammen. Der Bericht zeigt, dass Cyberangriffe auf kritische Infrastrukturen eine immer grössere Rolle spielen. Wir teilen deshalb die Einschätzung des Bundesrates, dass aufgrund der rasant wachsenden Zahl von Cyberangriffen auf Schweizer Unternehmen und Institutionen in geeignete Schutzmassnahmen investiert werden muss. Dies gilt besonders bei den kritischen Infrastrukturen, die eine wichtige gesellschaftliche und wirtschaftliche Funktion erfüllen. Ihre Störung, ihr Ausfall oder ihre Zerstörung hätten gravierende Auswirkungen auf das Funktionieren der Gesellschaft, der Wirtschaft und des Staates. Sie müssen deshalb auch im Zuge eines Cyberangriffes möglichst gut funktionieren.

Betreiber kritischer Infrastrukturen müssen sich im Ernstfall möglichst rasch mit den Behörden austauschen können. Die Kooperation kann dabei für beide Seiten einen Mehrwert darstellen. Die betroffenen Unternehmen profitieren von Unterstützungsleistungen der Behörden, und die Behörden erhalten wichtige Informationen für ein umfassendes Lagebild.

Die SVP-Fraktion hat gegen eine Meldepflicht keine grundsätzlichen Einwände, solange die administrativen und finanziellen Auswirkungen auf die Wirtschaft gering bleiben. Wir sind aber der Ansicht, dass die Meldepflicht in erster Linie im Rahmen einer Service-Mentalität erfolgen und nicht als Kontrollinstrument ausgelegt werden soll. Staat und Unternehmen haben bei Cyberangriffen schliesslich von Anfang an das gleiche Interesse, nämlich die Sicherheit und Funktionsfähigkeit betroffener Systeme und Daten zu gewährleisten.

Die SVP-Fraktion erkennt deshalb wenig Sinn darin, die neue Meldepflicht mit hohen Bussen durchzusetzen, die überdies ein Klima des Misstrauens schaffen. Zudem erachten wir eine persönliche Strafbarkeit von natürlichen Personen als kontraproduktiv, da es Personen abschreckt, im Bereich der Cybersicherheit Verantwortung zu übernehmen. Unsere Fraktion vertritt deshalb die Ansicht, dass es statt eines staatlichen Zwangs ein gutes Angebot des Staates braucht, das für die betroffenen Betreiber kritischer Infrastrukturen höchst attraktiv ist und die Zusammenarbeit eben ohne Zwänge fördert. Der Bundesrat will eigentlich das Gleiche. In seiner Botschaft zum vorliegenden Gesetz schreibt er schliesslich, dass die über den Informationsaustausch entwickelte Kultur der Zusammenarbeit und des gegenseitigen Vertrauens weitergeführt werden soll und es dabei entscheidend sei, dass den Unternehmen und Organisationen aus der Einführung der Meldepflicht eben auch ein Mehrwert entstehe.

Die SVP-Fraktion lehnt die Möglichkeit einer Sanktionierung grundsätzlich ab, weil sie der Ansicht ist, dass die Meldepflicht nicht über Bussen, sondern über Anreize durchgesetzt werden muss und dass Bestrafungen dem Ziel eines möglichst guten Informationsaustausches zwischen Bund und Privaten zuwiderlaufen. Letztlich kann es ja nicht sein, dass diejenigen gebüsst werden, die angegriffen werden und von denen schliesslich keine kriminelle Energie ausgeht. Die Meldepflicht muss dem Bund, den betroffenen Unternehmen und der Gesamtwirtschaft einen messbaren Mehrwert bringen.

Dass Cyberangriffe oder noch nicht öffentlich bekannte Schwachstellen gemeldet werden, muss mit Anreizen sichergestellt werden - ganz bestimmt nicht durch das Androhen einer Busse. Die Strafbestimmung in Artikel 74h ist deshalb letztlich das Killerkriterium, das darüber entscheidet, ob unsere Fraktion der Änderung des Informationssicherheitsgesetzes zustimmen wird oder nicht. Sollte die Strafbestimmung im Rahmen der Detailberatung nicht ersatzlos gestrichen werden, wird unsere Fraktion dem vorliegenden Entwurf nicht zustimmen.