

Kritische Infrastrukturen: Hickhack um Meldepflicht von Lücken geht weiter
19. September 2023 um 09:44Erneut lehnt der Ständerat die Ausweitung der Meldepflicht auf Schwachstellen ab. Auch die Betreiberfirmen sind dagegen – sie trauen der Verwaltung mit einer zentralen Lückensammlung nicht.
Betreiber von kritischer Infrastruktur sollen künftig einen Cyberangriff melden müssen. So will es das Parlament, das derzeit die Details der entsprechenden Änderungen des Informationssicherheitsgesetzes ausarbeitet. Noch sind sich die Kammern aber nicht einig, ob die Betreiber auch Schwachstellen melden sollen. Der Nationalrat ist dafür, der Ständerat wollte dies bisher nicht. Die kleine Kammer hat sich auch in ihrer heutigen Debatte erneut dagegen ausgesprochen.
Es bestehe das Risiko, dass gemeldete Schwachstellen von Hackern angegriffen und Daten in die Hände von Kriminellen gelangen würden, bevor die Lücken behoben werden, so ein Kritikpunkt. Einem Bericht des 'Tages-Anzeigers' (Paywall) zufolge hat sich jetzt eine Allianz von rund zwei Dutzend Firmen und Verbänden mit einem Brief an die Mitglieder des Nationalrats gewandt. "Die Gefahr ist gross, dass die Meldepflicht für IT-Schwachstellen die Sicherheit der Systeme von kritischen Infrastrukturen nicht stärkt, sondern potenziell gefährdet", heisst es darin.
Zentrale Sammlung von Schwachstellen als Risiko
Denn durch die Meldepflicht für Schwachstellen würde eine zentrale Sammlung dieser Lücken einhergehen. Dies setze voraus, dass die Sicherheitssysteme jener Behörde absolut sicher seien. In ihrem Brief verweist die Allianz gemäss dem Bericht auf die jüngsten Cyberangriffe auf den Bund.
Gäbe es eine Sammlung mit Schwachstellen beispielsweise bei Energieversorgern, Telcos oder Krankenhäusern, wäre dies ein höchst interessantes Ziel für Angreifer. "Potenziellen Gegnern würde Tür und Tor geöffnet, um kritische Infrastrukturen gezielt anzugreifen und stillzulegen. Dies kann weder im Interesse der Betreiber kritischer Infrastrukturen, noch des Gesetzgebers sein", hiess es bereits im Mai vom Flughafen Zürich.
Vorlage geht wieder an den Nationalrat
Eine Minderheit des Ständerats hat sich in der heutigen Debatte für die Ausweitung ausgesprochen. "Schwachstellen zu melden, bedeutet Vorbeugung", sagte Ständerat Charles Juillard (M-E, JU). Es sei auch ein Akt der Solidarität, Schwachstellen zu melden, namentlich an Organisationen, "die möglicherweise noch nicht erkannt haben, dass sie ebenfalls einem Angriff ausgesetzt waren, weil solche Schwachstellen in ihren Systemen vorhanden waren", fügte er an.
Mit 32 zu 12 Stimmen folgte der Ständerat aber erneut seiner Sicherheitspolitischen Kommission, die sich gegen die Ausweitung der Meldepflicht auf Schwachstellen ausgesprochen hat. Der Bundesrat teile diese Einschätzung, so Verteidigungsministerin Viola Amherd.
Das Geschäft geht nun erneut in den Nationalrat.
Loading
Meldepflicht für kritische Infrastrukturen ist unter Dach und Fach
Das Parlament hat in seiner Schlussabstimmung die Meldepflicht von Cyberangriffen für Betreiber kritischer Infrastrukturen gutgeheissen. Sie tritt aufs neue Jahr in Kraft.
X reduziert Ressourcen gegen Desinformation bei Wahlen massiv
Der Entscheid von Elon Musk kommt zu einem brisanten Zeitpunkt. Es stehen kritische Wahlen an.
DSA: Moderations-Datenbank zählt schon über 9 Millionen Einträge
Der Digital Service Act der EU ist grad einen Monat alt, schon ist die Transparenz-Datenbank gut gefüllt. Sie lässt sich nach Plattform und Verstössen durchsuchen. Twitter weist wenige Treffer aus.
Die USA fahren eine neue Cyberstrategie
Statt auf Alleingänge wollen die Vereinigten Staaten in Sachen IT-Sicherheit vermehrt auf Kooperationen mit anderen Ländern und der Industrie setzen.