"Wir stehen vor einer enormen Herausforderung", sagte Grünen-Nationalrat Gerhard Andrey im Rahmen eines Mediengesprächs zum Thema "Relevanz des Cyber Raumes für systemkritische Infrastrukturen", das am Mittwoch, 23. März, in Bern stattfand.
Es sei die Aufgabe von Politikerinnen und Politikern, die Bedrohung für die Bevölkerung greif- und sichtbar zu machen. Die Cyberattacken seien nur das Symptom. "Die Ursache ist mangelnde Cybersicherheit, weil einfachste Sicherheitsmassnahmen wie die Installation von Updates immer noch vernachlässigt werden." Da müsse man ansetzen, zum Beispiel mit Kampagnen, wie sie im Gesundheitsbereich durch das Bundesamt für Gesundheit oder die Suva gemacht worden sind.
Es braucht Cyberkampagnen à la Suva
Ausserdem müssten Cyberangriffe entstigmatisiert werden, so Andrey. "Unternehmen müssen lernen, mit Cyberangriffen umzugehen, wie Private es mit Covid-Ansteckungen getan haben." Es solle eine Selbstverständlichkeit sein, dass das Thema ohne Tabu angesprochen werden kann und dass man wisse, was sich dagegen tun lässt. So wie die Impfung gegen schlimme Covid-Verläufe helfe, würden vernünftige Sicherheitsmassnahmen gegen Cyberattacken helfen. Wichtig sei dabei, dass Cybersecurity in den Unternehmungen zu einem Management-Thema gemacht wird. Geschäftsleitungen und Verwaltungsräte dürften das nicht mehr nur an die IT delegieren, sondern müssten Cybersecurity auf ihrer Agenda haben.
Cyberangriffe dürfen kein Stigma mehr sein
Ebenso wichtig sei es, dass insbesondere KMU motiviert würden, Angriffe zu melden. Angesprochen auf eine mögliche Meldepflicht wiegelte Andrey noch ab. "Eine Pflicht könnte kontraproduktiv sein", so Andrey. Schwierig sei darüber hinaus die Definition einer Attacke. "Ab wann ist ein Angriff schwerwiegend genug, dass er gemeldet werden muss?", fragte Andrey zurück. "Entscheidender ist, dass möglichst viel ohne Stigmatisierung ans Tageslicht kommt und gelöst wird." Dafür spiele der Bund eine wichtige Rolle. "Deshalb schlage ich auch vor, dass das NCSC zu einem Bundesamt für zivile Cybersicherheit ausgebaut wird", so Andrey.
Cybersecurity ist kein starkes politisches Thema
Auf Unterstützung von zahlreichen Ratskollegen kann er dabei nicht zählen. "Es stimmt", sagte Andrey auf Nachfrage von inside-it.ch, "dass sich nur wenige Kolleginnen und Kollegen um das Thema kümmern und kompetent sind." Ein Nachteil sei die dünn gesäte Cyber-Expertise indes nicht. "Cybersecurity ist nicht so ein politisches Thema wie die AHV oder die Landwirtschaft", das mache es einfacher, Vorstösse durchzubringen.
Der Bundesrat schreibt zu Andreys Vorschlag, ein Bundesamt für zivile Cybersicherheit zu gründen: Man sei bereit, "den Ausbau des NCSC bedarfsgerecht weiterzuführen". Und im Verlaufe des Jahres "findet eine Überprüfung der Organisationsstrukturen statt, bei welcher sich der Bundesrat auch mit der Frage befassen wird, ob das NCSC in eine eigenständige Verwaltungseinheit überführt wird".