Zopfi Mathias · Ständerat · 2023-09-19
Zopfi Mathias · Ständerat · Glarus · Grüne Fraktion · 2023-09-19
Wortprotokoll
Der Minderheit geht es um mehr Cybersicherheit. Wir stärken in diesem Gesetz die Cybersicherheit ja grundsätzlich. Die Minderheit möchte sie jedoch noch weiter verstärken - notabene so, wie es die Mehrheit der Kommission in der ersten Runde auch wollte - und eben ab einer gewissen Grenze eine Meldepflicht für Schwachstellen einführen.
Die Cyberschwachstelle von heute ist der Cyberangriff von morgen. Das gilt nicht für bekannte und behobene Schwachstellen. Es gilt für unbekannte und nicht kommunizierte Schwachstellen. Es ist schon klar, dass eine solche Meldepflicht eine zusätzliche Auflage für Unternehmen in diesem Land darstellt. Das ist an sich bedauerlich, weil sie einen gewissen Mehraufwand bei den betroffenen kritischen Infrastrukturen verursacht; da stimme ich der Berichterstatterin zu. Die Frage muss aber sein: Ist eine solche Meldepflicht notwendig? Sicherheit ist nie gratis. Sicherheit ist ein Aufwand, und wir haben es hier mit einem Bereich zu tun, der für die Cybersicherheit in unserem Land elementar und relevant ist.
Nach der Argumentation der Mehrheit müsste man sagen, dass eine Meldepflicht nie etwas bringe: Es ist nicht bestimmt, was gemeldet werden muss, es ist nicht bestimmt, wie gemeldet werden muss usw.
Lassen Sie mich zwei Beispiele aus anderen sensiblen Bereichen nennen. Im Bundesgesetz über die Luftfahrt steht in Artikel 20, dass es für besondere Ereignisse in der Luftfahrt ein Meldesystem gibt. Wenn also irgendein Problem bei einem Luftfahrzeug vorkommt, müssen die Unternehmen das [PAGE 793] melden, damit andere von diesem Wissen profitieren können. Das schafft bei einem vertretbaren Aufwand mehr Sicherheit.
Ein anderes Beispiel ist Artikel 24 Absatz 1 des Seilbahngesetzes: "Besondere Vorkommnisse während des Baus oder Betriebes einer Seilbahn müssen der Aufsichtsbehörde umgehend gemeldet werden." Auch das schafft Sicherheit: Wenn an einer Seilbahn in der Schweiz ein Defekt festgestellt wird und man merkt, dass das bei vielen anderen Seilbahnen in der Schweiz ebenfalls der Fall sein könnte, dann ist es Sinn und Zweck dieses Gesetzesartikels, das zu melden, damit andere Vorkehrungen treffen können.
Und jetzt stellen Sie sich das einmal konkret im Cyberbereich vor. Nehmen wir die SBB als Betreiber einer kritischen Infrastruktur: Was ist, wenn die Informatikerinnen und Informatiker der SBB eine sicherheitsrelevante kritische Schwachstelle entdecken? Das Logischste ist, andere, die dieselbe Software einsetzen, vor dieser Schwachstelle zu warnen. Und das geht eben nur über eine Meldung der Schwachstelle und nicht irgendwie anders. Wenn das nicht geschieht, dann ist es möglich, dass die SBB die Schwachstelle zwar beheben und dieses Einfallstor schliessen werden, andere Unternehmen mit kritischer Infrastruktur das aber nicht können, weil ihnen die Schwachstelle, die die SBB vielleicht sogar zufällig entdeckt haben, nicht bekannt ist.
Und nochmals: Es geht nur um die Betreiberinnen und Betreiber kritischer Infrastrukturen. Es wurde zum Teil fast so getan, auch in der ersten Runde hier im Rat, als ob jedes Schweizer KMU davon betroffen wäre. Das ist nicht der Fall, es geht eben nur, aber immerhin um die Betreiber kritischer Infrastrukturen. Ja, sie werden einen gewissen Mehraufwand haben, aber auch einen enormen Nutzen, weil Schwachstellen allen Betreibern solcher Infrastrukturen, welche relevant sind für unser Land - sonst wären sie nicht kritisch -, bekannt gemacht werden.
Deshalb hat die Mehrheit der Kommission in der ersten Runde im Rat die Meldepflicht bei Schwachstellen befürwortet. Und deshalb wurde auch von jenen, die das letzte Mal dagegen gestimmt haben, vermehrt Sympathie für eine Meldepflicht bei Schwachstellen geäussert. Sie haben einfach gesagt, dass man das doch ein bisschen anwenderfreundlicher und ein bisschen weniger aufwandgenerierend ausgestalten soll.
Jetzt schauen wir uns einmal an, was die Minderheit konkret vorschlägt. Sie sehen, dass der Nationalrat die Meldepflicht bereits stark modifiziert hat. Die Minderheit beantragt eine Meldepflicht nicht einfach überall, bei jeder Schwachstelle und unabhängig davon, ob sie relevant ist oder nicht, sondern nur ab einem kritischen Schweregrad. Man könnte jetzt fragen, was ein kritischer Schweregrad ist. Dazu kann ich Ihnen sagen, dass das definiert ist. Es gibt einen internationalen Standard dafür, was ein kritischer Schweregrad ist. Im sogenannten Common Vulnerability Scoring System (CVSS) wird das international definiert. Das ist ein System, das aus Amerika kommt und das für Schwachstellen Scores bzw. Noten verteilt, woraus man ersehen kann, welche Grösse bzw. welchen Schweregrad die Schwachstellen haben. Gemeldet werden muss nur die Schwachstelle, die einen kritischen Schweregrad aufweist.
Wir müssen das mit diesen Scores nicht verstehen, aber die Expertinnen und Experten wissen genau, was gemeint ist. Die Informatikerinnen und Informatiker in den Unternehmen sind nicht die Juristen wie ich, die das melden müssen. Die Leute in den Unternehmen wissen, was mit "kritischem Schweregrad" gemeint ist.
Die Berichterstatterin hat gesagt, es werden überall verschiedene Systeme eingesetzt. Ebenfalls nicht gemeldet werden müssen Schwachstellen von Systemen, die nur in Ihrem System eingesetzt werden, weil es sich um eine Eigenentwicklung handelt, die Sie entweder selbst gemacht haben oder die Sie für sich in Auftrag gegeben haben und die von einem Unternehmen für Sie entwickelt wurde. Wenn also nur Sie eine Software einsetzen, dann kann die Schwachstelle auch nur Sie betreffen, und das müssen Sie ebenfalls nicht melden. Auch damit ist die Flut von Meldungen gebannt.
Das Letzte: Die Minderheit beantragt Ihnen in der modifizierten Version des Nationalrates, dass innert sieben Tagen gemeldet werden muss. Auch das nimmt die Kritik auf, dass 24 Stunden, wie es bei Cyberangriffen gilt, eine sehr kurze Frist ist. Es muss innerhalb von sieben Tagen gemeldet werden, und die Meldung kann anonym erfolgen.
Jetzt sagt die Berichterstatterin, das sei ein Widerspruch, denn "anonym" und "sieben Tage" könne man nicht kontrollieren. Natürlich können Sie das! Wenn Sie im Cybersicherheitsaudit in Ihrem Unternehmen feststellen, dass Sie eine Schwachstelle haben, dann werden Sie die melden, möglicherweise anonym. Aber Sie selbst sind für sich ja nicht anonym - ich kenne mich selbst normalerweise. Also kann ich die Meldung machen und erhalte dann eine Bestätigung, dass ich eine Meldung erstattet habe. Es geht hier um die Sicherheit, nicht um Strafen. Sollte es nachher fraglich sein, ob diese Schwachstelle je gemeldet worden ist, kann ich mit diesem Dokument beweisen, dass ich diese Schwachstelle innert sieben Tagen gemeldet habe. Beim Empfänger ist sie anonym angekommen, weil es nicht ums Strafen oder ums Büssen geht, sondern um die Entdeckung und Aufdeckung der Schwachstelle. Das reicht auch. Man muss die Schwachstelle kennen, man muss nicht unbedingt wissen, wo sie gewesen ist.
Das ist eine Konzession an die Betreiberinnen und Betreiber kritischer Infrastrukturen; dass man diese Meldung nicht anonym machen kann, war ein Punkt, den sie kritisiert haben. Es irritiert mich nun ein bisschen, dass man diese Konzession nun in einen Widerspruch verkehrt, um dagegen zu argumentieren.
Letztlich geht es darum, mehr Sicherheit zu schaffen. Sicherheit ist nie gratis. Sicherheit im Cyberbereich ist extrem relevant. Wir haben Vorfälle, und - ich sage es Ihnen nochmals - die Schwachstelle von heute ist der Cyberangriff von morgen. Ich bin überzeugt, dass wir gut daran tun, das hier in dieser moderaten Form einzuführen.
Ein letztes Wort: Die USA führen in dieser Branche. Sie werden bei diesen Systemen wahrscheinlich - nicht wahrscheinlich: höchstwahrscheinlich - in den nächsten Jahren eine solche Meldepflicht einführen. Dann wird sie automatisch indirekt wegen Branchenstandards auch für unsere Unternehmen gelten. Nur ist es dann die Meldepflicht, die Amerika eingeführt hat, das sicher nicht Rücksicht auf die Schweizer KMU nehmen wird. Hier hätten wir mit der Minderheit die Möglichkeit, eine moderate Meldepflicht betreffend Cyberschwachstellen einzuführen, die für alle umsetzbar ist und deutlich mehr Sicherheit schafft.
Ich danke Ihnen für die Unterstützung der Minderheit.