Meldepflicht für Backdoors? Nationalrat Glättli sucht Mehrheiten

"Ist der Bundesrat bereit, eine Meldepflicht für Sicherheitslücken einzuführen?" fragte Nationalrat Balthasar Glättli den Bundesrat. Als Anlass seiner Anfrage nahm der ICT-Politiker der Grünen die "WannaCry"-Attacken.
 
Nun hat Bundesrat Ueli Maurer geantwortet. Grundsätzlich könne es gefährliche Folgen haben, wenn jemand sein Wissen über Sicherheitslücken oder Backdoors für sich behalte, sagt er.
 
"Der Bundesrat prüft die Einführung einer allfälligen Meldepflicht", so Maurer weiter. Für konkreteres vertröstet er auf später: Das Thema werde im Rahmen der Strategie zum Schutz der Schweiz vor Cyberrisiken 2018 bis 2022 diskutiert. "Im Falle einer Meldepflicht wäre nicht nur zu klären, wer was wem zu melden hat, sondern auch, wie mit der Meldung umzugehen und die Gefahr abzuwenden ist", so Maurer.
 
Nationalrat Glättli zeigt sich gegenüber inside-it.ch vom Bundesrat positiv überrascht. "Man nimmt das Thema nun ernst." Er präzisiert, dass es ihm bei seinem Vorstoss nicht um eine Meldepflicht für Angriffe gehe, sondern darum, dass Bund, Firmen und Privatpersonen von ihnen entdeckte Lecks in Software und Firmware melden müssen.
 
FDP-Ständerat und IT-Unternehmer Ruedi Noser hingegen sieht keinen Handlungsbedarf. Er sagt, dass sich Firmen freiwillig und intensiv über Lücken austauschen würden und ebenso mit der Melde- und Analysestelle Informationssicherung Melani. "Eine Meldepflicht ist deshalb überflüssig", lässt er sich in der 'NZZ' zitieren.
 
Ganz anders sieht dies wiederum Umberto Annino, der als Security-Experte und Präsident des Security-Fachverbands Information Security Society Switzerland (ISSS) hinter viele Firmenkulissen blickt: "Grundsätzlich unterstütze ich eine Meldepflicht. Sie würde Hersteller mehr in die Pflicht nehmen. Diese nehmen das Thema ernst oder auch nicht, je nachdem wie es ihnen passt." Als Beispiel nennt Annino IoT-Hersteller, die sich um Lecks gar nicht, wenig oder nur spät kümmern. Und diese Haltung sei weit verbreitet: "Freiwillig unternehmen diese Firmen nichts, sondern nur dann, wenn es entweder um Geld oder gesetzliche Pflichten geht."
 
Glättli will das Thema schneller vorantreiben als der Bundesrat dies plant. "Man kann eine Meldepflicht isoliert und rasch umsetzen. Man muss nicht auf das Strategiepapier warten."
 
Er will an einer der kommenden Sitzungen der sicherheitspolitischen Kommission des Nationalrats eine Mehrheit für die Meldepflicht von Lecks finden. Findet er diese, so könnte ein resultierender Vorstoss im Namen der Kommission schon in der Herbstsession, spätestens der Wintersession diskutiert werden.
 
Aus Informatik-Sicht interessant ist, dass in der Kommission neben Glättli auch ICTswitzerland-Präsident Marcel Dobler sitzt, der Aargauer Beat Flach sowie die Thurgauerin Edith Graf-Litscher, Co-Präsidentin der IT-Parlamentariervereinigung Parldigi.
 
Und selbst wenn Glättli keine Mehrheit findet, wird das Security-Strategiepapier des Bundes spannend zu lesen sein, da ja unter anderem Staatstrojaner auf unbekannten Sicherheitslücken basieren. Und thematisieren wird man die Meldepflicht müssen, denn "es wird immer mehr zum Problem, dass sich Geheimdienste in dieser Grauzone tummeln", so Verbandspräsident Annino. (Marcel Gamma)