Keine blinden Flecken mehr bei Cyberangriffen: Kritische Infrastrukturen sollen Vorfälle melden müssen

Dank Frühwarnungen will der Bund künftig Firmen aus sensiblen Branchen besser vor Cyberangriffen schützen. Doch bis es so weit ist, dauert es noch Jahre.

Lukas Mäder
Drucken
Sensible Branchen wie das Gesundheitswesen oder der Telekombereich sollen künftig melden müssen, wenn sie angegriffen wurden.

Sensible Branchen wie das Gesundheitswesen oder der Telekombereich sollen künftig melden müssen, wenn sie angegriffen wurden.

Andrew Brookes / Imago

Wie viele Spitäler wurden in den letzten Monaten der Pandemie angegriffen? Der Bund weiss es nicht. Welche Versuche, in die IT-Systeme von Wasserkraftwerken oder Telekomfirmen einzudringen, konnten abgewehrt werden? Auch das ist nicht bekannt. Der Bund hat keinen Überblick über die Cyberangriffe in der Schweiz. Das soll sich ändern.

Künftig wird in der Schweiz eine Meldepflicht gelten – zumindest für die sogenannten kritischen Infrastrukturen, zu denen Bereiche wie Energie- und Wasserversorgung, Verkehr und Gesundheitswesen, aber auch Banken gehören. Das hat der Bundesrat am Freitag beschlossen. Bis Ende 2021 soll eine konkrete gesetzliche Grundlage ausgearbeitet werden.

Für einzelne Branchen der kritischen Infrastrukturen gibt es bereits heute Meldepflichten für Cyberangriffe. Diese sind aber nicht besonders detailliert geregelt. Die Banken müssen der Finanzmarktaufsicht zum Beispiel Vorkommnisse «unverzüglich» melden, «die für die Aufsicht von wesentlicher Bedeutung sind», wie es im Finanzmarktaufsichtsgesetz heisst. Telekomfirmen wiederum müssen das Bundesamt für Kommunikation nur informieren, wenn es zu einer grösseren Netzstörung kommt.

Was gemeldet werden muss, hängt von der Branche ab

Künftig gelangt die Meldung für alle Branchen an eine zentrale Stelle, und sie muss innerhalb einer einheitlichen Frist erfolgen. Zuständig dafür wird voraussichtlich das Nationale Zentrum für Cybersicherheit (NCSC) sein, das nun auch die Gesetzesvorlage ausarbeiten muss. Welche Vorkommnisse konkret gemeldet werden müssten, solle je nach Sektor unterschiedlich definiert werden, heisst es in der Medienmitteilung. Die neue Regelung soll dabei auf bestehenden Pflichten aufbauen.

Der Nutzen eines besseren Überblicks darüber, welche Infrastrukturen mit welchen Mitteln angegriffen werden, liegt auf der Hand: Diese Daten können dazu genutzt werden, andere Firmen frühzeitig zu warnen. Dies betont auch der Bundesrat in seiner Mitteilung. Liegen konkrete Merkmale über das Vorgehen der Angreifer vor, können die Sicherheitsexperten gezielt nach diesen Indikatoren in ihren eigenen Netzwerken Ausschau halten.

Dabei geht es dem Bundesrat auch nicht um einen öffentlichen Pranger, an den die angegriffenen Firmen gestellt werden sollen. Wie es in der Mitteilung heisst, werden Informationen über die meldenden Unternehmen nicht weitergegeben. Keine Angabe gibt es zur Frage, ob das künftige Gesetz auch Sanktionsmöglichkeiten, sprich Bussen, vorsehen wird, wenn ein Unternehmen gegen die Meldepflicht verstösst.

Bereits heute kennt der Bund ein ähnliches Meldesystem, das jedoch auf freiwilliger Basis beruht. Das NCSC betreibt für einen sogenannten geschlossenen Kundenkreis eine Plattform, über die Unternehmen Angriffe melden können und über die der Bund wiederum die angeschlossenen Institutionen über Gefahren informieren kann. Diese Meldungen sind heute vertraulich und dürfen nicht weitergegeben werden. Diese Einschränkung könnte möglicherweise auch für das künftige System sinnvoll sein.

Keine Meldepflicht für alle Unternehmen in der Schweiz

Wie sich bereits vor einem Jahr abgezeichnet hat, ist damit eine allgemeine Meldepflicht für alle Unternehmen zumindest vorerst vom Tisch. Dabei stellt sich sowieso die Frage, ob eine solche weitgehende Verpflichtung überhaupt sinnvoll ist – sprich, ob der Aufwand der Firmen nicht unverhältnismässig gross ist im Vergleich zum Nutzen. Denn die Experten müssen die gemeldeten Angriffe und Angriffsversuche auch auswerten. Weniger Daten sind deshalb möglicherweise mehr wert, wenn diese dafür qualitativ besser sind.

Das Vorgehen des Bundes mit sektorspezifischen Auflagen ist deshalb der richtige Weg. Problematisch ist dabei einzig, dass die Einführung nur sehr langsam vorangeht. Wenn der Bundesrat bis Ende 2021 erst die Vernehmlassungsvorlage vorlegen will, dauert es bis zur definitiven Einführung der neuen gesetzlichen Pflicht noch Jahre. Das erscheint angesichts der wachsenden Cyberbedrohung als zu lange.