Wird eine Fir­ma Opfer eines Cyberan­griffs, muss sie dies heute nie­man­dem melden. Das soll sich ändern – zumin­d­est für kri­tis­che Infra­struk­turen. Doch es gibt auch Zweifel an der Wirk­samkeit dieser neuen Meldepflicht.

Die Fir­ma Offix machte öffentlich, was vie­len Unternehmen in der Schweiz passiert: Der Geschäfts­führer erzählte, wie sich die Fir­ma im ver­gan­genen Mai mit einem falschen Mausklick eine Erpres­sungssoft­ware ein­f­ing – und das Sys­tem nur mit grossen Mühen wieder­her­stellen kon­nte, ohne Lösegeld für die ver­schlüs­sel­ten Dat­en zu bezahlen. Offix informierte dabei auch die Melde- und Analy­ses­telle Infor­ma­tion­ssicherung (Melani) des Bun­des. Das tun lange nicht alle Fir­men. Wie häu­fig Unternehmen hierzu­lande von Hack­ern ange­grif­f­en wer­den, auf welchem Weg dies geschieht und wie erfol­gre­ich die Angreifer sind: alles unbekan­nt.

 
Eine Meldepflicht kön­nte dies ändern. Unternehmen müssten dann dem Bund melden, wenn sie das Ziel eines Cyberan­griffs gewor­den sind. Das hat gewisse Vorteile: Die Behör­den erhiel­ten einen Überblick über die Bedro­hungslage hierzu­lande, sie kön­nten andere Unternehmen war­nen oder auch Gegen­mass­nah­men koor­dinieren. Diese Infor­ma­tio­nen wür­den nicht nur den Sicher­heit­sor­ga­nen nützen, son­dern kämen etwa in Form von Warn­hin­weisen wiederum der bre­it­en Wirtschaft zugute. Allerd­ings auch zu einem Preis: Den Fir­men entstünde durch die neue Auflage ein bürokratis­ch­er Aufwand.

Meldepflicht vorerst nur für kritische Infrastrukturen

Nun zeich­net sich ab, wie der Bund zumin­d­est in einem ersten Schritt eine solche Meldepflicht für Cyber­vor­fälle ein­führen will: Sie soll vor­erst nur für die soge­nan­nten kri­tis­chen Infra­struk­turen gel­ten. Damit sind jene Wirtschaftssek­toren gemeint, die für das Funk­tion­ieren eines Lan­des notwendig sind, zum Beispiel die Energiev­er­sorgung, der Verkehr, die Finanzbranche oder die öffentliche Sicher­heit. Im Dezem­ber hat der Bun­desrat den Cyberdelegierten des Bun­des sowie das Bun­de­samt für Bevölkerungss­chutz beauf­tragt, bis Ende 2020 dazu eine Vor­lage mit den Eck­w­erten zu liefern.

Dass eine Meldepflicht kom­men wird, hat kür­zlich auch der Cyberdelegierte Flo­ri­an Schütz klargemacht. Für ihn stelle sich nicht die Frage, ob es eine Meldepflicht brauche, sagte er im Inter­view mit der NZZ. Es gehe nur noch um die Def­i­n­i­tion des Zwecks und um die Aus­gestal­tung. Dieser Prozess läuft noch. Doch nun ist klar, dass eine all­ge­meine Meldepflicht für die gesamte Wirtschaft nicht im Vorder­grund ste­ht – zumin­d­est vor­erst.

Für FDP-Nation­al­rat Mar­cel Dobler (St. Gallen) ist dies der richtige Entscheid: «Die Meldepflicht darf unter keinen Umstän­den für die ganze Wirtschaft gel­ten.» Der Bund würde son­st zu viele Mel­dun­gen über Bagatellfälle erhal­ten. Die Def­i­n­i­tion dessen, welche Fälle als schw­er­wiegend gel­ten, sei schwierig – und wenn die Fir­ma selb­st entschei­den kann, so Dobler, dann könne sie sich wiederum vor ein­er Mel­dung drück­en.

Wirtschaft zeigt sich positiv – mit Vorbehalten

Dass der Bund die Ein­führung ein­er Meldepflicht vorantreibt, stösst in der Wirtschaft auf ein ver­hal­ten pos­i­tives Echo. Uwe Kiss­mann etwa spricht von ein­er sehr sin­nvollen Mass­nahme. Kiss­mann prä­si­diert die Kom­mis­sion Cyber­sicher­heit des Dachver­bands ICT Switzer­land und leit­et den Bere­ich Cyberde­fence beim Beratung­sun­ternehmen Accen­ture. Zwar habe die promi­nent beset­zte Kom­mis­sion noch nicht abschliessend Posi­tion bezo­gen, doch werde der Sinn ein­er solchen Mass­nahme grund­sät­zlich anerkan­nt.

Kiss­mann selb­st sieht vor allem präven­tiv einen grossen Nutzen. Viele Angriffe seien zuvor schon ein­mal irgend­wann irgend­wo aufge­treten. «Wenn das ange­grif­f­ene Unternehmen diesen Vor­fall gemeldet hat, kön­nen sich die anderen bess­er davor schützen», sagt er. Zudem sei eine neu­trale Meldestelle ein wichtiger Baustein für eine bessere Fehlerkul­tur, in der Angriffe nicht mehr ver­steckt und ver­heim­licht wür­den.

Beim Ver­band der Telekom­mu­nika­tion (Asut) klingt es ähn­lich. «Unsere Mit­glieder sehen eine Meldepflicht mehrheitlich als gute Sache», sagt Präsi­dent Peter Grüt­ter. Er selb­st ist jedoch skep­tis­ch­er: «Ich bezwei­fle, dass der Bund mit den Mel­dun­gen etwas Sin­nvolles anfan­gen wird.» Was die Bear­beitung der Mel­dun­gen bet­rifft, hat auch Kiss­mann noch Bedenken: «Ich sehe noch nicht, dass der Bund dafür genü­gend Ressourcen bere­it­stellt.» Stün­den diese aber nicht von Anfang an zur Ver­fü­gung, so werde vor allem der zusät­zliche Ver­wal­tungsaufwand wahrgenom­men – und nicht der Nutzen. Das wäre sehr schade, sagt Kiss­mann: «Wenn die neue Reg­ulierung nicht von Anfang an Wirkung zeigt, ist das Wass­er auf die Mühlen der Kri­tik­er.»

Kritische Infrastrukturen sind bereits stark reguliert

Dass der Bund sich nun fürs Erste auf die kri­tis­chen Infra­struk­turen beschränkt, stösst wei­tum auf Zus­tim­mung. Denn dort beste­ht das grösste Risiko. Zudem gibt es in diesen Wirtschaftssek­toren bere­its heute Meldepflicht­en – auch wenn sich diese nicht spez­i­fisch auf Cyberan­griffe beziehen. Strom­net­z­be­treiber müssen etwa die Elek­triz­ität­skom­mis­sion über «ausseror­dentliche Ereignisse» informieren; oder die Banken müssen der Finanz­mark­tauf­sicht (Fin­ma) Vorkomm­nisse von «wesentlich­er Bedeu­tung» melden.

Diese Def­i­n­i­tio­nen sind nur schwammig for­muliert. Doch zumin­d­est grössere und erfol­gre­iche Cyberan­griffe fall­en darunter – abgewehrte oder kleinere Angriffe jedoch eher nicht. Das kön­nte sich mit ein­er spez­i­fis­chen Meldepflicht für Cyber­vor­fälle ändern. Denn auch erfol­glose Angriffe kön­nen für Ana­lytik­er inter­es­sant sein.

Welche Angriffe im Detail kün­ftig unter Meldepflicht fall­en sollen, ist noch völ­lig offen. Diese Frage sei äusserst schwierig zu beant­worten, heisst es in einem Bericht zu möglichen Vari­anten der Meldepflicht, den der Bun­desrat Mitte Dezem­ber veröf­fentlicht hat. Denn die Cyber­risiken wür­den sich rasch verän­dern und die Anzahl der Vor­fälle sei gross, was die Auswahl und Auswer­tung kom­pliziert macht.

Eben­falls noch offen sind die Fra­gen, ob Mel­dun­gen auch anonym erfol­gen kön­nen, in welchem Zeitraum ein Unternehmen einen Vor­fall melden muss und ob es Sank­tio­nen geben kann, wenn eine Fir­ma einen Vor­fall nicht meldet. Diese Punk­te hät­ten einen grossen Ein­fluss auf die Akzep­tanz der Meldepflicht, schreibt der Bun­desrat. Darum sei es wichtig, dass die Betrof­fe­nen bei der Aus­gestal­tung ein­be­zo­gen wür­den, um eine trag­bare Lösung zu find­en. Dies soll nun bis Mitte Jahr geschehen – auch mit Ein­bezug der Kan­tone, in deren Kom­pe­tenz zum Beispiel die öffentliche Sicher­heit oder Spitäler fall­en.

Bundesrat soll rasch vorwärtsmachen

Für SP-Nation­al­rätin Edith Graf-Litsch­er (Thur­gau) ist wichtig, dass diese Zuständigkeit­en klar definiert wer­den. Graf-Litsch­er hat­te mit einem Pos­tu­lat den Bericht des Bun­desrats angestossen. Sie zeigt sich denn auch erfreut darüber, dass der Bun­desrat den Hand­lungs­be­darf nun erken­nt und vor­wärts­machen will. Allerd­ings geht es ihr zu langsam. Graf-Litsch­er will, dass der Bun­desrat bis Ende dieses Jahres bere­its die Botschaft ans Par­la­ment vor­legt. Doch die Regierung plant zu diesem Zeit­punkt erst die Eck­w­erte zu ver­ab­schieden – und erfahrungs­gemäss verzögern sich solche Pläne eher noch.

Quelle: www.nzz.ch

Kostenlos - eBook digitale Kompetenz

digitalexpert-logo-newExklusiv bei digitalexpert.ch

Jetzt kostenlos bestellen:
Exklusiv bei digitalexpert.ch - eBook digitale Kompetenz

Ihre E-Mail-Adresse (Pflichtfeld)

Ich wünsche jeweils über neue kostenlose eBooks informiert zu werden

digitalexpert-logo-newExklusiv bei digitalexpert.ch

Jetzt kostenlos bestellen:
Exklusiv bei digitalexpert.ch — eBook digital comptence (english)

 

Ihre E-Mail-Adresse (Pflichtfeld)

Ich wünsche jeweils über neue kostenlose eBooks informiert zu werden