Der Bundesrat hat die Vorlage für eine Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen in die Vernehmlassung geschickt. Sie soll dem NCSC künftig ein übersichtlicheres Lagebild und frühzeitige Warnungen ermöglichen.
Dem Nationalen Zentrum für Cybersicherheit (NCSC) werden derzeit jede Woche über 300 Cyberangriffe gemeldet. Cyberkriminalität stellt damit eine ernsthafte Bedrohung der Sicherheit und Wirtschaft der Schweiz dar, schreibt der Bundesrat in einer Medienmitteilung. Mit einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen will er nun die IT-Sicherheit im Land verbessern. Verankert werden soll sie im Informationssicherheitsgesetz (ISG), die Vernehmlassung der Vorlage läuft seit letzter Woche und dauert bis am 14. April.
Auch die Aufgaben des NSCS – insbesondere die Zuständigkeit als Meldestelle – sollen neu im ISG verankert werden. Weitere Aufgaben sind die Entgegennahme von Meldungen zu Vorfällen und Schwachstellen, technische Analysen sowie Empfehlungen an die Meldenden hinsichtlich des weiteren Vorgehens. Darüber hinaus soll das NCSC Betreibenden von kritischen Infrastrukturen erste Hilfe bei der Bewältigung von Cybervorfällen bieten.
Cyberangriffe mit erheblichem Schadenspotenzial
Die geplante Meldepflicht gilt für Cyberangriffe mit erheblichem Schadenspotenzial. Der Bundesrat versteht darunter vor allem Vorfälle, die ein hohes Gefährdungspotenzial betreffend der Funktionstüchtigkeit kritischer Infrastrukturen haben oder mit Tatbeständen wie Erpressung, Drohung oder Nötigung im Zusammenhang stehen. Betreibende kritischer Infrastrukturen sind entsprechend verpflichtet, derartige Angriffe so rasch wie möglich zu melden.
Zu den kritischen Infrastrukturen zählt der Bundesrat unter anderem Energie- und Wasserversorgungsbetriebe, Behörden, Blaulichtorganisationen sowie kantonale und eidgenössische Hochschulen. Daneben will er bestimmte Spitäler, Laboratorien sowie Arzneimittelhersteller der Meldepflicht unterstellen. Weiter gilt die Pflicht für von breiten Bevölkerungskreisen genutzte, digitale Dienste, sowie für Dienste mit hoher Bedeutung für die digitale Wirtschaft und für Sicherheits- und Vertrauensdienste.
Schützen ist besser als melden
Die geplante Meldepflicht erhöht zweifellos die Schlagkraft des NCSC in Sachen Cyberabwehr. Indem sie ihre Systeme mit effizienten Sicherheitsvorkehrungen schützen, können Betreibende kritischer Infrastrukturen (und alle anderen Organisationen) jedoch bis zu einem gewissen Grad sicherstellen, dass sich Cybervorfälle gar nicht erst ereignen. Dazu gehört beispielsweise die Ausstattung der eigenen Cyberabwehr mit einem Virenschutzprogramm, das missliebige Eindringlinge fernhält. Eine erprobte Antiviren-Software, wie Bitdefender, blockiert nämlich bösartige E-Mails, die Malware verbreiten und verhindert Ransomware-Angriffe dadurch zuverlässig.
