Ihr Browser ist veraltet. Bitte aktualisieren Sie Ihren Browser auf die neueste Version, oder wechseln Sie auf einen anderen Browser wie ChromeSafariFirefox oder Edge um Sicherheitslücken zu vermeiden und eine bestmögliche Performance zu gewährleisten.

Zum Hauptinhalt springen
Wirtschaft
Abonnieren

Kampf gegen Netzkriminalität
Schweizer Firmen wollen IT-Hacks nicht melden, weil sie dem Bund misstrauen

Wichtige Unternehmen wie Swisscom oder die SBB sollten den Staat besser über Cyberangriffe informieren, sagt das Parlament. Doch die Wirtschaft stellt sich quer.

Konrad Staehelin
Die Bildschirme, welche die Zuege, Gleise und Abfahrtszeiten anzeigen sollten, sind wegen einer IT Stoerung bei den SBB ausser Betrieb, am Freitag, 19. Maerz 2021 im Bahnhof Bern. (KEYSTONE/Anthony Anex)
Sollen die SBB dem Bund melden müssen, wenn sie Sicherheitslücken in der Informatik haben? Das Unternehmen wehrt sich dagegen.
Foto: Anthony Anex (Keystone)
Jetzt abonnieren und von der Vorlesefunktion profitieren.
Abo abschliessenLogin
BotTalk

Im Juni legten prorussische Hacker verschiedene Websites des Bundes lahm. Im gleichen Monat stahlen Hacker sensible Daten der Firma Xplain in Interlaken BE, die für die Eidgenossenschaft arbeitete. Der Bund hatte die Sicherheit der Firma in den letzten 15 Jahren kein einziges Mal überprüft, wie diese Redaktion letzte Woche aufgedeckt hat. Die Glaubwürdigkeit des Bundes in Sachen Datensicherheit ist spätestens seitdem stark beschädigt.

Die Vorfälle haben der Diskussion, inwiefern Anbieter wichtiger Infrastrukturen sensible Daten dem Staat anvertrauen sollen, eine neue Dimension verliehen. In der aktuellen Herbstsession verhandeln die Parlamentskammern diese Frage im Rahmen des neuen Informationssicherheitsgesetzes.

Im Grundsatz sind sich alle Beteiligten einig: Versuchen Hacker in die Systeme eines kritischen Infrastrukturerbringers einzudringen, muss der Staat das wissen. So kann er die Details so schnell wie möglich an alle anderen potenziell bedrohten Organisationen melden, damit diese die nötigen Massnahmen zu ihrem Schutz ergreifen können.

«Die Gefahr ist gross, dass die Meldepflicht für IT-Schwachstellen die Sicherheit potenziell gefährdet.»

Schreiben der «Allianz kritischer Infrastrukturen» an Parlamentarier

Meldungspflichtig für so einen Angriff sollen neben den Behörden aller drei Staatsebenen auch die Betreiber wichtiger Infrastrukturen sein. Dazu gehören zum Beispiel Energieunternehmen, Telecomfirmen, Banken, aber auch die Post, die SBB und die drei Landesflughäfen Zürich, Basel und Genf.

Uneinigkeit hat sich jedoch an der Frage entzündet, ob diese neben bereits erfolgten Angriffen auch Schwachstellen in ihren Systemen melden müssen, die sie selbst entdeckt haben. Bislang ist das freiwillig. Ein Beispiel dafür könnte sein, dass ein Energieunternehmen eine Sicherheitsprüfung durch eine Drittfirma durchführen lässt und diese auf ein schlecht geschütztes System stösst.

Vorgesehen wäre dann eine Meldung innert 24 Stunden an das Nationale Zentrum für Cybersicherheit (NCSC). Das wäre wohl zu wenig Zeit für ein Unternehmen, um die Sicherheitslücke zu beheben, bevor sie deren Existenz ans NCSC melden muss.

«Die Gefahr ist gross, dass die Meldepflicht für IT-Schwachstellen die Sicherheit der Systeme von kritischen Infrastrukturen nicht stärkt, sondern potenziell gefährdet», schrieb eine Allianz von 26 grossen Firmen und Verbänden vor kurzem in einem Brief an alle Mitglieder des Nationalrats. Eine Meldung von Schwachstellen und die damit verbundene Sammlung an zentraler, staatlicher Stelle setze voraus, dass das Sicherheitssystem jener Behörde absolut sicher sei.

Der Kompromiss fällt wohl durch

Dann erwähnen die Autoren des Briefs die jüngsten Angriffe auf den Bund. Das NCSC, dessen Kommunikationskanäle zu den Infrastrukturbetreibern und deren Systeme selbst würden durch die vorgeschlagene Massnahme zu einem lohnenden Ziel für Angreifer. Wären sie erfolgreich, könnten sie potenziell sehr einfach in die Systeme mehrerer Firmen eindringen und grossen Schaden für diese und die Schweizer Volkswirtschaft anrichten.

Der Nationalrat erhörte die Bitte der Firmen und Verbände vergangene Woche nicht. Zu wichtig sei die Meldepflicht im Grundsatz, befand eine deutliche Mitte-links-Mehrheit. Sie schickte das Gesetz mit dem Auftrag an den Ständerat zurück, eine Lösung zu erarbeiten, mit der sich auch die Wirtschaft arrangieren könne. Der Ständerat entscheidet am Dienstag.

Zur Diskussion steht nun ein Kompromiss: Laut diesem sollen zwar auch Schwachstellen meldepflichtig sein. Doch soll unter anderem die Frist zur Meldung von 24 Stunden auf 7 Tage erhöht werden. Das wäre in vielen Fällen genug Zeit, um die Sicherheitslücke zuerst selbst zu schliessen.

Zudem dürften Meldungen nach dem Kompromissvorschlag anonym abgegeben werden. So wäre es für Hacker, sollten sie in die Kommunikationskanäle zum und vom NCSC eindringen, schwieriger, die ursprünglich betroffene Firma ausfindig zu machen.

Die Infrastrukturbetreiber lehnen den Kompromissvorschlag allerdings ab. Auch in der vorberatenden Kommission des Ständerats ist er deutlich durchgefallen. Es ist also wahrscheinlich, dass die betroffenen Firmen ihre IT-Probleme, sofern kein Angriff erfolgt ist, auch künftig für sich behalten dürfen.

Konrad Staehelin ist Bundeshauskorrespondent für die Wirtschaftsredaktion. Ausserdem schreibt er über das Dossier Luftfahrt.@KStaeh

Jetzt aktuell

Mehr

Die Redaktion empfiehlt

Mehr

Mehr aus dieser Kategorie

Mehr