Keine Früherkennung ohne Meldepflicht

Ende Mai hat die Bundeskanzlei einen Bericht zur Zukunft der Schweiz (PDF) publiziert. Ausgewählte Think Tanks nehmen darin Stellung zu Fragen wie: Wird die Schweiz bis 2035 einen Cyberangriff aus einem anderen Land auf ihre kritischen Infrastrukturen abwehren müssen? "Ja", antwortet Jean-Marc Rickli vom Geneva Center for Security Policy, das sei sehr wahrscheinlich. Mehr noch: Es gelte als sicher, dass die Anzahl der Angriffe, die weltweit, aber auch in der Schweiz, durchgeführt werden, bis 2035 weiter zunimmt. Und nicht nur die Anzahl, sondern auch die Bedeutung und das Ausmass von Cyberattacken dürften steigen, da die Ziele immer kritischer würden.

Diese Einschätzung überrascht wohl niemanden, zumal Cybervorfälle seit Jahren täglich Schlagzeilen machen. Zudem ist die Schweiz mindestens zwei Mal zum Ziel gross angelegter Cyberangriffe geworden: 2007 traf es das Departement für auswärtige Angelegenheiten (EDA) wie auch das Staatssekretariat für Wirtschaft (Seco); 2016 wurde der Cyberangriff auf den bundeseigenen Rüstungskonzern Ruag publik. Vor ähnlichen Angriffen ist die Schweiz nicht gefeit, wie Rickli feststellt.

Erstaunlich ist allerdings, dass die Landesregierung nur schulterzuckend auf die Ausführungen reagierte. In einer Mitteilung heisst es: "Der Bundesrat nimmt den Bericht zur Kenntnis, ohne sich im Einzelnen zu den Aussagen zu äussern." Das enttäuscht, denn beim Schutz von kritischen Infrastrukturen in der Schweiz bestehen mehrere strategische Schwachstellen. Eine betrifft die Minimalstandards zur Cybersicherheit, die das Bundesamt für wirtschaftliche Landesversorgung 2018 veröffentlichte. Die Erfüllung dieser Standards ist freiwillig, was dazu führt, dass Unternehmen unterschiedlich gut geschützt sind. Der Bund scheut sich vor allem aus Rücksicht auf kleine und mittelgrosse Firmen, diese Standards als verpflichtend zu erklären, wie die "NZZ" unter Berufung auf unabhängige Experten berichtet.

Eine weitere Schwachstelle betrifft die Meldepflicht, die es für ein umfassendes Monitoring von Cyberbedrohungen bräuchte. Betreiber kritischer Infrastrukturen sollen den Behörden Cyberangriffe melden müssen. Den entsprechenden Gesetzesvorschlag schickte der Bundesrat am Jahresanfang in die Vernehmlassung. Politik, Forschung und Kantone begrüssen die Idee mehrheitlich – abgesehen von der SVP, die in ihrer Stellungnahme zur Vernehmlassung schreibt, dass eine Meldepflicht überflüssig sei und nur zu mehr Aufwand und Kosten führen würde.

Wirtschaftsverbände könnten jedoch dafür sorgen, dass die Vorlage verwässert wird. Der Dachverband Economiesuisse schreibt beispielsweise, man erkenne "keinen Sinn darin, die neuen Pflichten mit Strafbestimmungen durchzusetzen und lehnt diese prinzipiell ab". Mit dieser Haltung wird es allerdings schwierig, das Gesetz effektiv zu machen. Denn eine Pflicht ohne Sanktionen ist keine Pflicht. Das zeigt auch das Beispiel der Bankenbranche: Im Schweizer Finanzsektor besteht bereits eine Meldepflicht, doch die Banken halten sich längst nicht immer daran, wie die Eidgenössische Finanzkontrolle in einem Bericht von 2021 feststellte.

In einem Punkt sind die Vorbehalte aus der Wirtschaft berechtigt: Das geplante Gesetz darf nicht zu einer Schikane werden – weder für Unternehmen noch für Behörden. Doch das Kostenargument ist kurzsichtig. Eine Meldepflicht für Betreiber kritischer Infrastrukturen soll in erster Linie dem Nationalen Zentrum für Cybersicherheit (NCSC) dazu dienen, Bedrohungslagen besser zu beurteilen, Angriffsmuster zu erkennen und andere Betreiber kritischer Infrastrukturen frühzeitig vor Cyberangriffen zu warnen. Insofern wäre der Aufwand, der mit der Umsetzung dieses Gesetzes verbunden wäre, eine Investition in die Widerstandsfähigkeit der Schweiz – in gesellschaftspolitischer, volkswirtschaftlicher und betrieblicher Hinsicht.