In Basel wurde eine Motion zur Stärkung der Cybersicherheit angenommen. Zwei Mitautoren erklären uns die Beweggründe und was sie sich vom Vorstoss erhoffen.
Anfang Juni 2022 hat der Grosse Rat von Basel eine Motion zur "Stärkung der Cybersicherheit für Staatliche Verwaltungen, Firmen und Private in Basel-Stadt" angenommen. Umut Yilmaz ist Cybersecurity-Experte, Information Security Officer bei der Bank WIR und gehört als Vizepräsident der LDP Basel-West zu den Mitautoren der Motion. "Ich stelle in Gesprächen immer wieder fest, dass sowohl für Private aber auch KMU die Gefahren und Risiken aus dem Cyberraum noch zu abstrakt sind, sofern sie bisher davon nicht betroffen waren", sagt Yilmaz gegenüber inside-it.ch. Deshalb sehe er die Politik "deutlich in der Pflicht, dieses Thema stärker zu gewichten". Die Schweiz müsse als Ganzes resilienter gegenüber Cyberangriffen gemacht werden.
Leider sei das Engagement der Schweiz im Thema Cybersicherheit "nicht zufriedenstellend". Es sei "schon schwer zu verstehen, dass das NCSC per eingeschriebenem Brief Schweizer Firmen zur Schliessung einer bekannten Microsoft Exchange Sicherheitslücke auffordern muss", sagt Yilmaz. "Da sollte der Bund meiner Meinung nach regulatorisch eingreifen. Zum Beispiel Geldbussen verhängen oder diese Firmen namentlich veröffentlichen können, wenn sie so fahrlässig unterwegs sind."
"Basel ist ein attraktives Ziel"
Für die Ausarbeitung und Einreichung der Motion hätten 2 Faktoren eine wesentliche Rolle gespielt. "Der erste Faktor ist durch den politischen Druck seitens Bundesrats auf die Kantone gekennzeichnet. Mit Hinweis auf das Subsidiaritätsprinzip wurden in Bern Motionen hinsichtlich Erhöhung der Cybersicherheit durch den Bundesrat abgelehnt. Das ist ein klares Signal, dass die Cyberthematik nicht nur auf Stufe Bund, sondern auch auf kantonaler Ebene gelöst und Kompetenzen aufgebaut werden müssen." Weiter seien in Kantonen wie Zürich, Schwyz, St. Gallen und Baselland bereits Cyberfachkompetenzstellen geschaffen und operationalisiert worden. "Da hat der Kanton Basel-Stadt gegenwärtig noch Nachholbedarf und darf den Anschluss nicht verlieren", so Yilmaz.
Umut Yilmaz.
Der zweite Faktor sei die aktuelle und stetig zunehmende Bedrohungslage im Cyberraum. So wurden in den vergangenen Monaten beispielsweise die Basler Unternehmen MCH Group, Novartis und Baloise sowie die Gewerbeschule Basel angegriffen. Ob Basel besonders für Cyberangriffe exponiert ist, kann laut Yilmaz nicht abschliessend beantwortet werden, da in der Basler Kriminalstatistik erst seit 2020 Zahlen zur Cyberkriminalität erhoben werden. "Durch den Life-Sciences-Cluster oder den starken Finanzplatz und mit dem Rhein als bedeutender Güterumschlagplatz ist Basel aber ein attraktives Ziel für Cyberkriminelle, da sie wissen, dass es hier etwas zu holen gibt."
Regionale Meldestellen gefordert
Die Motion fordert verschiedene Massnahmen von einer Cybercrime-Meldestelle über verstärkte Awareness-Kampagnen bis zur Einrichtung eines Kompetenzzentrums. "Die geforderten Massnahmen hängen eng miteinander zusammen und sind als eine Aufgabenbündelung zu verstehen", erklärt uns Yilmaz. "Zentral ist jedoch der Aufbau einer Fachkompetenzstelle für Cybersicherheit, die dann in der Lage ist, diese einzelnen Aufgaben wahrzunehmen." Wesentlich sei dabei die präventive Wirkung durch Warnungen vor aktuellen Cyberattacken und -delikten oder durch Sensibilisierungsmassnahmen. Das Zentrum soll aber auch Anlaufstelle für Opfer sein und erste Hilfsmassnahmen anbieten können.
Philip Karger.
Mit dem NCSC existiert bereits eine solche Meldestelle auf Bundesebene. Weshalb braucht es noch eine zusätzliche in Basel? Philip Karger ist ebenfalls Mitautor der Motion und hat diese als LPD-Vertreter im Grossen Rat eingebracht. Er sagt: "Es geht hier nicht um ein Entweder-oder, vielmehr sollen sich die Meldestellen ergänzen. Eine nationale Meldestelle hat andere Aufgaben und kann sich nicht um die regionalen Anliegen kümmern." Eine kantonale Meldestelle kenne die Begebenheiten der Region und könne gezielter reagieren und helfen. "Gerade in der Region Basel mit dem Dreiländereck ist eine regionale Meldestelle sinnvoll."
Gegner der Motion im Grossen Rat kritisierten unter anderem diese Meldestelle. Opfer eines Cyberangriffs würden zum Beispiel nicht wünschen, dass ihre Namen publik werden. "Im Vorstoss heisst es 'Per Gesetz muss jede Straftat und Bedrohung sofort gemeldet werden'. Es heisst nirgends, dass die Firmen an den Pranger gestellt werden – und mit Namen erscheinen müssen", betont Karger. Mit Meldungen zu Cybervorfällen könne die Gefahrenkarte aktuell gehalten sowie Betroffenen eine angemessene Hilfe angeboten werden. "Es geht nicht darum, Daten zu den Angegriffenen zu veröffentlichen. Hier handelt es sich um die Alibi-Kritik einer Minderheit, die leider parteipolitisch motiviert nach Kritikpunkten gesucht hat", so der Parlamentarier.
Basel soll Vorreiterrolle übernehmen
Nach der Erstüberweisung der Motion muss nun der Regierungsrat innerhalb von 3 Monaten schriftlich Stellung nehmen. "Danach gibt es auf der Grundlage der Stellungnahme eine zweite Abstimmung und dann wird das Gesetz ausgearbeitet", erklärt Philip Karger. Das könne dauern. Er hofft aber, "dass die Basler Grossrätinnen und Grossräte begreifen, wie wichtig diese Motion für die Wirtschaft und Private ist". Basel könne hier eine Vorreiterrolle übernehmen und den Unternehmen und der Bevölkerung eine zusätzliche Sicherheit bieten.
Auch Umut Yilmaz erhofft sich eine zeitnahe Umsetzung der Anliegen der Motion. Zum möglichen Aufbau eines Kompetenzzentrums, und welche Fachstellen darin eingebunden werden sollen, sagt er: "Ich persönlich sehe zumindest den operativen Teil des Kompetenzzentrums in der Kantonspolizei Basel-Stadt mit einer Schnittstelle zu der Staatsanwaltschaft. Das Gesamtkonstrukt muss konzeptionell nachhaltig erarbeitet und in der Regierung diskutiert werden." Einschätzungen zu den Kosten gebe es noch nicht, dazu müsse das entsprechende Departement dann erst genauere Pläne ausarbeiten.