Kritische Infrastrukturen: Hickhack um Meldepflicht von Lücken geht weiter

19. September 2023 um 09:44
image
Foto: Emiel Maters / Unsplash

Erneut lehnt der Ständerat die Ausweitung der Meldepflicht auf Schwachstellen ab. Auch die Betreiberfirmen sind dagegen – sie trauen der Verwaltung mit einer zentralen Lückensammlung nicht.

Betreiber von kritischer Infrastruktur sollen künftig einen Cyberangriff melden müssen. So will es das Parlament, das derzeit die Details der entsprechenden Änderungen des Informationssicherheitsgesetzes ausarbeitet. Noch sind sich die Kammern aber nicht einig, ob die Betreiber auch Schwachstellen melden sollen. Der Nationalrat ist dafür, der Ständerat wollte dies bisher nicht. Die kleine Kammer hat sich auch in ihrer heutigen Debatte erneut dagegen ausgesprochen.
Es bestehe das Risiko, dass gemeldete Schwachstellen von Hackern angegriffen und Daten in die Hände von Kriminellen gelangen würden, bevor die Lücken behoben werden, so ein Kritikpunkt. Einem Bericht des 'Tages-Anzeigers' (Paywall) zufolge hat sich jetzt eine Allianz von rund zwei Dutzend Firmen und Verbänden mit einem Brief an die Mitglieder des Nationalrats gewandt. "Die Gefahr ist gross, dass die Meldepflicht für IT-Schwachstellen die Sicherheit der Systeme von kritischen Infrastrukturen nicht stärkt, sondern potenziell gefährdet", heisst es darin.

Zentrale Sammlung von Schwachstellen als Risiko

Denn durch die Meldepflicht für Schwachstellen würde eine zentrale Sammlung dieser Lücken einhergehen. Dies setze voraus, dass die Sicherheitssysteme jener Behörde absolut sicher seien. In ihrem Brief verweist die Allianz gemäss dem Bericht auf die jüngsten Cyberangriffe auf den Bund.
Gäbe es eine Sammlung mit Schwachstellen beispielsweise bei Energieversorgern, Telcos oder Krankenhäusern, wäre dies ein höchst interessantes Ziel für Angreifer. "Potenziellen Gegnern würde Tür und Tor geöffnet, um kritische Infrastrukturen gezielt anzugreifen und stillzulegen. Dies kann weder im Interesse der Betreiber kritischer Infrastrukturen, noch des Gesetzgebers sein", hiess es bereits im Mai vom Flughafen Zürich.

Vorlage geht wieder an den Nationalrat

Eine Minderheit des Ständerats hat sich in der heutigen Debatte für die Ausweitung ausgesprochen. "Schwachstellen zu melden, bedeutet Vorbeugung", sagte Ständerat Charles Juillard (M-E, JU). Es sei auch ein Akt der Solidarität, Schwachstellen zu melden, namentlich an Organisationen, "die möglicherweise noch nicht erkannt haben, dass sie ebenfalls einem Angriff ausgesetzt waren, weil solche Schwachstellen in ihren Systemen vorhanden waren", fügte er an.
Mit 32 zu 12 Stimmen folgte der Ständerat aber erneut seiner Sicherheitspolitischen Kommission, die sich gegen die Ausweitung der Meldepflicht auf Schwachstellen ausgesprochen hat. Der Bundesrat teile diese Einschätzung, so Verteidigungsministerin Viola Amherd.
Das Geschäft geht nun erneut in den Nationalrat.

Loading

Mehr zum Thema

imageAbo

Stadt Luzern sieht wenig Chancen für Open Source

Der Stadtrat äussert sich zu einem Postulat, das mehr Open-Source-Software fordert. Für Mitinitiant Adrian Häfliger ist die Antwort eine "Kapitulationserklärung".

publiziert am 13.6.2025
imageAbo

Wie Cyberkriminelle an Zugangsdaten kommen

Europol analysiert in einem aktuellen Report Techniken von Cyberkriminellen. Diese werden immer ausgefeilter.

publiziert am 12.6.2025
image

Bacs verstärkt Kooperation mit Banken

Das Bundesamt für Cybersicherheit erweitert seine Zusammenarbeit mit dem Swiss Financial Sector Cyber Security Centre. Insbesondere der Informationsaustausch wird verbessert.

publiziert am 11.6.2025
image

Cisco stellt Security-Lösungen für KI-Agenten vor

Agentenbasierte KI vervielfacht Risiken in Unternehmen, schreibt Cisco und stellt passende Lösungen vor.

publiziert am 11.6.2025