Die Betreiber von kritischen Infrastrukturen sollen Cyberangriffe mit erheblichem Schadenspotenzial künftig dem Bund melden müssen. Das Zentrum für Cybersicherheit (NCSC) ist als Meldestelle vorgesehen.
Der Bundesrat hat am Freitag die Botschaft zur Änderung des Bundesgesetzes über die Informationssicherheit beim Bund gutgeheissen und zuhanden der eidgenössischen Räte (National- und Ständerat) verabschiedet.
Die Vernehmlassung zeigte gemäss einer Mitteilung «eine breite Zustimmung für die Vorlage». Die Einführung einer Meldepflicht werde als wichtiger Schritt zu einer Verbesserung der Cybersicherheit in der Schweiz erachtet.
Zur Vorgeschichte:
Bundesrat will Meldepflicht bei Cyberangriffen
Was soll meldepflichtig werden?
Die Meldepflicht soll nur für Cyberangriffe eingeführt, die von Unbefugten mit (krimineller) Absicht gegen kritische Infrastrukturen durchgeführt wurden.
Und noch eine Einschränkung: Meldepflichtig sollen nur Cyberangriffe sein, die «schwerwiegende Auswirkungen» haben, indem sie zum Beispiel «eine Gefährdung für die Funktionsfähigkeit der kritischen Infrastrukturen darstellen».
Es spielt aber keine Rolle, ob der Angriff auf ein Netzwerk auf einen Insider-Job (etwa durch Angestellte eines Unternehmens) zurückzuführen ist oder auf externe Hacker.
Was soll die Meldepflicht bringen?
«Dank der Meldepflicht können Cyberangriffe frühzeitig entdeckt, ihre Angriffsmuster analysiert und andere Betreiberinnen kritischer Infrastrukturen rechtzeitig gewarnt werden.»
Bundesrätliche Botschaft zur geplanten Änderung des Informationssicherheitsgesetzes
Wie geht es weiter?
Nun ist das eidgenössische Parlament am Zug.
Dann will der Bundesrat die Meldepflicht «möglichst unbürokratisch» und «ohne grossen Zusatzaufwand» umsetzen, wie er in der aktuellen Mitteilung schreibt.
Das Nationale Zentrum für Cybersicherheit (NCSC), das als zentrale Meldestelle für Cyberangriffe vorgesehen ist, soll ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden.
Warum ist das nötig?
Laut dem Bundesrat sind die Bevölkerung, Behörden und Unternehmen täglich dem Risiko eines Cyberangriffs ausgesetzt. Heute fehle eine Übersicht darüber, welche Angriffe wo stattgefunden haben, da Meldungen an das NCSC nur auf freiwilliger Basis erfolgten.
Die Europäische Union (EU) hat bereits eine Meldepflicht für Cyberangriffe eingeführt.
Durch die Meldepflicht sollen künftig alle Betreiberinnen und Betreiber von kritischen Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen.
2021 wurden dem NCSC rund 22’000 Fälle von Cyberkriminalität gemeldet – rund doppelt so viele wie 2020. Bei vielen der gemeldeten Vorfälle handelt es sich allerdings um erkannte Angriffsversuche und nicht um erfolgreiche Angriffe.
Können Hackerangriffe auch freiwillig gemeldet werden?
Aber sicher.
Trotz Einführung der Meldepflicht sei es weiterhin möglich, «Cybervorfälle» und IT-Schwachstellen freiwillig dem Bund zu melden. Diese Möglichkeit stehe jeder Person offen und sei nicht auf kritische Infrastrukturen beschränkt.
Heute kennt die Schweiz nur in einzelnen Wirtschaftssektoren Meldepflichten für Funktionsausfälle, aber keine generelle Meldepflicht bei Cyberangriffen.
Wie will der Bund die Cybersicherheit sonst noch verstärken?
Angesichts der wachsenden Bedeutung der Cybersicherheit für die Wirtschaft und die Gesellschaft will der Bundesrat für diesen Bereich ein eigenes Bundesamt schaffen.
Der Bundesrat hatte 2019 das Nationale Zentrum für Cybersicherheit (NCSC) geschaffen, es ist derzeit im Generalsekretariat des Eidgenössischen Finanzdepartements (EFD) angesiedelt.
https://www.watson.ch/digital/schweiz/973406411-meldepflicht-fuer-hackerangriffe-das-soll-in-der-schweiz-neu-gelten
