Kritische Infrastrukturen: Hickhack um Meldepflicht von Lücken geht weiter

19. September 2023 um 09:44
image
Foto: Emiel Maters / Unsplash

Erneut lehnt der Ständerat die Ausweitung der Meldepflicht auf Schwachstellen ab. Auch die Betreiberfirmen sind dagegen – sie trauen der Verwaltung mit einer zentralen Lückensammlung nicht.

Betreiber von kritischer Infrastruktur sollen künftig einen Cyberangriff melden müssen. So will es das Parlament, das derzeit die Details der entsprechenden Änderungen des Informationssicherheitsgesetzes ausarbeitet. Noch sind sich die Kammern aber nicht einig, ob die Betreiber auch Schwachstellen melden sollen. Der Nationalrat ist dafür, der Ständerat wollte dies bisher nicht. Die kleine Kammer hat sich auch in ihrer heutigen Debatte erneut dagegen ausgesprochen.
Es bestehe das Risiko, dass gemeldete Schwachstellen von Hackern angegriffen und Daten in die Hände von Kriminellen gelangen würden, bevor die Lücken behoben werden, so ein Kritikpunkt. Einem Bericht des 'Tages-Anzeigers' (Paywall) zufolge hat sich jetzt eine Allianz von rund zwei Dutzend Firmen und Verbänden mit einem Brief an die Mitglieder des Nationalrats gewandt. "Die Gefahr ist gross, dass die Meldepflicht für IT-Schwachstellen die Sicherheit der Systeme von kritischen Infrastrukturen nicht stärkt, sondern potenziell gefährdet", heisst es darin.

Zentrale Sammlung von Schwachstellen als Risiko

Denn durch die Meldepflicht für Schwachstellen würde eine zentrale Sammlung dieser Lücken einhergehen. Dies setze voraus, dass die Sicherheitssysteme jener Behörde absolut sicher seien. In ihrem Brief verweist die Allianz gemäss dem Bericht auf die jüngsten Cyberangriffe auf den Bund.
Gäbe es eine Sammlung mit Schwachstellen beispielsweise bei Energieversorgern, Telcos oder Krankenhäusern, wäre dies ein höchst interessantes Ziel für Angreifer. "Potenziellen Gegnern würde Tür und Tor geöffnet, um kritische Infrastrukturen gezielt anzugreifen und stillzulegen. Dies kann weder im Interesse der Betreiber kritischer Infrastrukturen, noch des Gesetzgebers sein", hiess es bereits im Mai vom Flughafen Zürich.

Vorlage geht wieder an den Nationalrat

Eine Minderheit des Ständerats hat sich in der heutigen Debatte für die Ausweitung ausgesprochen. "Schwachstellen zu melden, bedeutet Vorbeugung", sagte Ständerat Charles Juillard (M-E, JU). Es sei auch ein Akt der Solidarität, Schwachstellen zu melden, namentlich an Organisationen, "die möglicherweise noch nicht erkannt haben, dass sie ebenfalls einem Angriff ausgesetzt waren, weil solche Schwachstellen in ihren Systemen vorhanden waren", fügte er an.
Mit 32 zu 12 Stimmen folgte der Ständerat aber erneut seiner Sicherheitspolitischen Kommission, die sich gegen die Ausweitung der Meldepflicht auf Schwachstellen ausgesprochen hat. Der Bundesrat teile diese Einschätzung, so Verteidigungsministerin Viola Amherd.
Das Geschäft geht nun erneut in den Nationalrat.

Loading

Mehr zum Thema

image

Meldepflicht für kritische Infrastrukturen ist unter Dach und Fach

Das Parlament hat in seiner Schlussabstimmung die Meldepflicht von Cyberangriffen für Betreiber kritischer Infrastrukturen gutgeheissen. Sie tritt aufs neue Jahr in Kraft.

publiziert am 29.9.2023
image

X reduziert Ressourcen gegen Desinformation bei Wahlen massiv

Der Entscheid von Elon Musk kommt zu einem brisanten Zeitpunkt. Es stehen kritische Wahlen an.

publiziert am 29.9.2023
image

DSA: Moderations-Datenbank zählt schon über 9 Millionen Einträge

Der Digital Service Act der EU ist grad einen Monat alt, schon ist die Transparenz-Datenbank gut gefüllt. Sie lässt sich nach Plattform und Verstössen durchsuchen. Twitter weist wenige Treffer aus.

publiziert am 28.9.2023
image

Die USA fahren eine neue Cyberstrategie

Statt auf Alleingänge wollen die Vereinigten Staaten in Sachen IT-Sicherheit vermehrt auf Kooperationen mit anderen Ländern und der Industrie setzen.

publiziert am 28.9.2023