Kritische Infrastrukturen: Hickhack um Meldepflicht von Lücken geht weiter

19. September 2023 um 09:44
image
Foto: Emiel Maters / Unsplash

Erneut lehnt der Ständerat die Ausweitung der Meldepflicht auf Schwachstellen ab. Auch die Betreiberfirmen sind dagegen – sie trauen der Verwaltung mit einer zentralen Lückensammlung nicht.

Betreiber von kritischer Infrastruktur sollen künftig einen Cyberangriff melden müssen. So will es das Parlament, das derzeit die Details der entsprechenden Änderungen des Informationssicherheitsgesetzes ausarbeitet. Noch sind sich die Kammern aber nicht einig, ob die Betreiber auch Schwachstellen melden sollen. Der Nationalrat ist dafür, der Ständerat wollte dies bisher nicht. Die kleine Kammer hat sich auch in ihrer heutigen Debatte erneut dagegen ausgesprochen.
Es bestehe das Risiko, dass gemeldete Schwachstellen von Hackern angegriffen und Daten in die Hände von Kriminellen gelangen würden, bevor die Lücken behoben werden, so ein Kritikpunkt. Einem Bericht des 'Tages-Anzeigers' (Paywall) zufolge hat sich jetzt eine Allianz von rund zwei Dutzend Firmen und Verbänden mit einem Brief an die Mitglieder des Nationalrats gewandt. "Die Gefahr ist gross, dass die Meldepflicht für IT-Schwachstellen die Sicherheit der Systeme von kritischen Infrastrukturen nicht stärkt, sondern potenziell gefährdet", heisst es darin.

Zentrale Sammlung von Schwachstellen als Risiko

Denn durch die Meldepflicht für Schwachstellen würde eine zentrale Sammlung dieser Lücken einhergehen. Dies setze voraus, dass die Sicherheitssysteme jener Behörde absolut sicher seien. In ihrem Brief verweist die Allianz gemäss dem Bericht auf die jüngsten Cyberangriffe auf den Bund.
Gäbe es eine Sammlung mit Schwachstellen beispielsweise bei Energieversorgern, Telcos oder Krankenhäusern, wäre dies ein höchst interessantes Ziel für Angreifer. "Potenziellen Gegnern würde Tür und Tor geöffnet, um kritische Infrastrukturen gezielt anzugreifen und stillzulegen. Dies kann weder im Interesse der Betreiber kritischer Infrastrukturen, noch des Gesetzgebers sein", hiess es bereits im Mai vom Flughafen Zürich.

Vorlage geht wieder an den Nationalrat

Eine Minderheit des Ständerats hat sich in der heutigen Debatte für die Ausweitung ausgesprochen. "Schwachstellen zu melden, bedeutet Vorbeugung", sagte Ständerat Charles Juillard (M-E, JU). Es sei auch ein Akt der Solidarität, Schwachstellen zu melden, namentlich an Organisationen, "die möglicherweise noch nicht erkannt haben, dass sie ebenfalls einem Angriff ausgesetzt waren, weil solche Schwachstellen in ihren Systemen vorhanden waren", fügte er an.
Mit 32 zu 12 Stimmen folgte der Ständerat aber erneut seiner Sicherheitspolitischen Kommission, die sich gegen die Ausweitung der Meldepflicht auf Schwachstellen ausgesprochen hat. Der Bundesrat teile diese Einschätzung, so Verteidigungsministerin Viola Amherd.
Das Geschäft geht nun erneut in den Nationalrat.

Loading

Mehr erfahren

Mehr zum Thema

image

DDoS-Angriff trifft Swisscom und legte Twint lahm

Swisscom spricht von einem "grösseren Angriff". Nach mehreren Stunden sei dieser abgwehrt worden. E-Bankingservices und Mobile-Payment-Lösungen sollten wieder normal laufen.

publiziert am 23.8.2024
image

Nächste kritische Lücke im "Web Help Desk" von Solarwinds

Das Unternehmen muss erneut notfallmässig patchen.

publiziert am 23.8.2024
image

Cyberangriffe in der Schweiz: DDoS liegt vor Ransomware an der Spitze

Die Monitoring-Plattform Falconfeeds.io hat für uns Zahlen zu den Cyberangriffen und Data-Breaches in der Schweiz ausgewertet. Ransomware-Attacken würden zunehmen.

publiziert am 23.8.2024
image

Schweizer Industriekonzern Hoerbiger von Ransom­ware getroffen

Hacker haben Daten von der Holdinggesellschaft gestohlen und verschlüsselt. Zeitweise musste deswegen die Produktion unter­brochen werden.

publiziert am 22.8.2024