Nationalrat will kein neues Informations­sicherheits­gesetz

Der Ständerat und der Bundesrat votierten für einen umfassenden Security-Ansatz. Der Nationalrat wollte nicht darüber diskutieren.
 
Der Bundesrat will dafür sorgen, dass IT-Systeme in der Bundesverwaltung besser vor Angriffen und Missbrauch geschützt sind. Das geplante Gesetz fällt im Nationalrat jedoch durch.
 
Mit 117 zu 68 Stimmen bei acht Enthaltungen beschloss der Nationalrat, nicht auf das Informationssicherheitsgesetz (ISG) einzutreten. Die Mehrheit war der Auffassung, dass ein zu grosser und zu komplexer Informationsschutzapparat aufgebaut würde, der eine Eigendynamik entfalten und sich zunehmend der Kontrolle des Parlaments entziehen könnte.
 
"Nichteintreten" bedeutet, der Nationalrat sieht keinen Bedarf an Regulierung. Der Handlungsbedarf wurde dabei von den meisten Rednern nicht grundsätzlich in Frage gestellt. Erkannte Probleme sollten aber mit bestehenden Gesetzen und mit einer besseren Koordination beim Bund gelöst werden, erklärte Alois Gmür (CVP/SZ) im Namen der Kommission. "Es wurde festgestellt, dass der Aufwand bedeutend sei, daraus aber wenig Ertrag resultiere", so Gmür laut Protokoll des Nationalrats.
 
Ein Kritikpunkt waren auch die unklaren Kosten. Je nach Umsetzung müssten zwischen neun und 78 Stellen geschaffen werden, monierte David Zuberbühler (SVP/AR).
 
Marcel Dobler (FDP/SG) forderte eine klare Kostenplanung mit einem Preisschild.
 
Kommission im Rat unter Beschuss
Eine Minderheit sah dagegen einen klaren Handlungsbedarf für einen gesamtheitlichen Ansatz. Mit dem neuen ISG könnten die Sicherheitslücken geschlossen und die Koordination stark verbessert werden, argumentierte Carlo Sommaruga (SP/GE).
 
Nicht gelten liess er auch den Einwand, das Gesetz könnte sich zunehmend der Kontrolle des Parlaments entziehen. Die Räte besässen die Budgethoheit, die nötige Kontrolle sei gewährleistet.
 
Beat Flach (GL/AG) argumentierte für ein Eintreten: "Angriffe auf das EDA, den Nachrichtendienst des Bundes und zuletzt auf die Ruag haben uns allen deutlich vor Augen geführt, dass in diesem Bereich Handlungsbedarf besteht."
 
Für Kritik sorgte das Vorgehen der Kommission. Es sei fahrlässig, nicht auf das Gesetz einzutreten, betonte Rosmarie Quadranti (BDP/ZH). Priska Seiler Graf (SP/ZH) warf der Kommission gar Arbeitsverweigerung vor. "Sie hätten es in der Hand gehabt, das Gesetz zu entrümpeln."
 
Balthasar Glättli (Grüne/ZH) argumentierte, es sei kurzsichtig, nur auf die Finanzen zu schielen und die Sicherheit davon abzukoppeln. Cyberangriffe auf kritische Infrastrukturen wie etwa Stromnetze seien kostspielig: Es hängen hier nicht nur Sicherheitsrisiken daran, sondern auch finanzielle Risiken, wenn wir keine einheitlichen Standards schaffen", so Glättli. "Sicherheitsstandards sind offenbar #Neuland", twitterte er mit Verweis auf einen von Angela Merkel geprägten Hashtag.
 
Bundesrat will günstiges Szenario
Verteidigungsminister Guy Parmelin plädierte vergeblich dafür, auf das Gesetz einzutreten. Dieses sei einer der Grundpfeiler der Cyberstrategie des Bundes. Parmelin räumte ein, das Gesetz sei technisch und kompliziert, müsse aber an die digitale Zeit angepasst werden.
 
Zu den Kosten sagte Parmelin, der Bundesrat sehe das günstigste Szenario vor, das er vorgeschlagen habe. Dies führe zu Kosten von fünf Millionen Franken pro Jahr. Die Details würden in der Verordnung festgelegt werden. Dafür müsse das Parlament aber zuerst das Gesetz verabschieden.
 
Standards für Schutz vorgeschlagen
Mit dem Entscheid des Nationalrates geht die Vorlage zurück an den Ständerat, der das Gesetz ohne Gegenstimme angenommen hatte.
 
Heute finden sich die rechtlichen Grundlagen verstreut in verschiedenen Erlassen. Mit dem neuen Gesetz soll ein einheitlicher Rahmen für alle Bundesbehörden geschaffen werden. Es enthält auch Grundsätze zum Schutz von Informationssystemen.
 
Das Gesetz enthält Bestimmungen zum Risikomanagement und zur Klassifizierung von Informationen. Das Klassifizierungssystem soll weiterhin dreistufig sein: "Intern", "Vertraulich" und "Geheim". Räume, in denen häufig vertrauliche oder geheime Informationen bearbeitet werden, können als Sicherheitszone bezeichnet werden.
 
Weiteres Thema sind die Personensicherheitsprüfungen. Deren Zahl will der Bundesrat im vorgeschlagenen ISG senken. Künftig sollen sich nur noch jene Personen der Prüfung unterziehen müssen, die in der Bundesverwaltung eine "sicherheitsempfindliche" Tätigkeit ausüben. Zudem soll es nur noch eine Grundsicherheitsprüfung und eine erweiterte Prüfung geben. Die erweiterte Prüfung mit Befragung will der Bundesrat abschaffen.
 
Umstrittene AHV-Nummer
Unbestritten war im Ständerat Anfangs Dezember 2017 auch eine Ergänzung, welche die vorberatende Kommission vorgeschlagen hatte. Demnach sollen die Behörden künftig die AHV-Nummer systematisch als Personenidentifikator verwenden dürfen.
 
Damit stellt sich die Kommission gegen die kantonalen Datenschutzbeauftragten. Diese wünschen eine Entwicklung in die andere Richtung: Vor kurzem forderten sie die Kantone auf, künftig auf den Gebrauch der AHV-Nummern zur Personenidentifikation zu verzichten. Das Risiko einer missbräuchlichen Verwendung ist aus ihrer Sicht zu hoch. (mag/sda)