Betreiber von kritischer Infrastruktur sollen künftig einen Cyberangriff melden müssen. So will es das Parlament, das derzeit die Details der entsprechenden Änderungen des Informationssicherheitsgesetzes ausarbeitet. Noch sind sich die Kammern aber nicht einig, ob die Betreiber auch Schwachstellen melden sollen. Der
Nationalrat ist dafür, der Ständerat
wollte dies bisher nicht. Die kleine Kammer hat sich auch in ihrer heutigen Debatte erneut dagegen ausgesprochen.
Es bestehe das Risiko, dass gemeldete Schwachstellen von Hackern angegriffen und Daten in die Hände von Kriminellen gelangen würden, bevor die Lücken behoben werden, so ein Kritikpunkt. Einem Bericht des
'Tages-Anzeigers' (Paywall) zufolge hat sich jetzt eine Allianz von rund zwei Dutzend Firmen und Verbänden mit einem Brief an die Mitglieder des Nationalrats gewandt. "Die Gefahr ist gross, dass die Meldepflicht für IT-Schwachstellen die Sicherheit der Systeme von kritischen Infrastrukturen nicht stärkt, sondern potenziell gefährdet", heisst es darin.
Zentrale Sammlung von Schwachstellen als Risiko
Denn durch die Meldepflicht für Schwachstellen würde eine zentrale Sammlung dieser Lücken einhergehen. Dies setze voraus, dass die Sicherheitssysteme jener Behörde absolut sicher seien. In ihrem Brief verweist die Allianz gemäss dem Bericht auf die jüngsten Cyberangriffe auf den Bund.
Gäbe es eine Sammlung mit Schwachstellen beispielsweise bei Energieversorgern, Telcos oder Krankenhäusern, wäre dies ein höchst interessantes Ziel für Angreifer. "Potenziellen Gegnern würde Tür und Tor geöffnet, um kritische Infrastrukturen gezielt anzugreifen und stillzulegen. Dies kann weder im Interesse der Betreiber kritischer Infrastrukturen, noch des Gesetzgebers sein", hiess es bereits im Mai vom Flughafen Zürich.
Vorlage geht wieder an den Nationalrat
Eine Minderheit des Ständerats hat sich in der heutigen Debatte für die Ausweitung ausgesprochen. "Schwachstellen zu melden, bedeutet Vorbeugung", sagte Ständerat Charles Juillard (M-E, JU). Es sei auch ein Akt der Solidarität, Schwachstellen zu melden, namentlich an Organisationen, "die möglicherweise noch nicht erkannt haben, dass sie ebenfalls einem Angriff ausgesetzt waren, weil solche Schwachstellen in ihren Systemen vorhanden waren", fügte er an.
Mit 32 zu 12 Stimmen folgte der Ständerat aber erneut seiner Sicherheitspolitischen Kommission, die sich gegen die Ausweitung der Meldepflicht auf Schwachstellen ausgesprochen hat. Der Bundesrat teile diese Einschätzung, so Verteidigungsministerin Viola Amherd.
Das Geschäft geht nun erneut in den Nationalrat.