Die vom Bundesrat vorgeschlagene Meldepflicht für Cyberangriffe dürfte schon bald Realität sein. Nach dem Nationalrat hat sich nun auch der Ständerat dafür ausgesprochen. Details zum Umfang der Meldepflicht müssen allerdings noch im Differenzbereinigungsverfahren geklärt werden.
Bereits im März hatte der Nationalrat entschieden, dass Betreiber kritischer Infrastrukturen Cyberangriffe mit grossem Schadenspotenzial künftig innerhalb von 24 Stunden dem Nationalen Zentrums für Cybersicherheit (NCSC) melden müssen. Nach der grossen Kammer hat nun auch der Ständerat für eine entsprechende Meldepflicht votiert. Betreiber, die es vorsätzlich unterlassen einen Vorfall zu melden, können mit einer Busse von bis zu 100'000 Franken bestraft werden.
Hintergrund der geplanten Meldepflicht ist die Tatsache, dass Cybervorfälle in den letzten Jahren stark zugenommen haben – mit teilweise gravierenden Auswirkungen, wie der Bundesrat in seiner Botschaft zur Vorlage schrieb. Cyberangriffe könnten dank der Meldepflicht künftig frühzeitig entdeckt, ihre Angriffsmuster analysiert und andere Betreiberkritischer Infrastrukturen rechtzeitig gewarnt werden, so die oberste Behörde der Schweiz. Dadurch leiste die Meldepflicht einen wesentlichen Beitrag zur Erhöhung der Cybersicherheit hierzulande.
Keine Ausweitung der Meldepflicht auf andere Unternehmen
Bezüglich des Umfangs der Meldepflicht sind jedoch noch einige Fragen offen. Der Nationalrat hatte im März nämlich auf Antrag seiner sicherheitspolitischen Kommission zusätzlich eine Ausweitung der Meldepflicht auf andere Unternehmen beschlossen. Diese sollen künftig verpflichtet werden, schwerwiegende Schwachstellen in Computersystemen zu melden.
Die Mitglieder des Ständerates lehnten diese Ausweitung jetzt ab – mit Verweis auf die mangelnde Deutlichkeit in Bezug auf die Anzahl betroffener Unternehmen und die Art der zu meldenden Schwachstellen. Mit 31 Nein- gegenüber 13 Ja-Stimmen schickten sie die Vorlage zur Differenzbereinigung zurück an den Nationalrat.
Cybervorfälle: Vorbeugen ist besser als melden
Eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen macht mit Blick auf eine Erhöhung der Cybersicherheit zweifellos Sinn. Noch besser ist es allerdings, wenn die Cyberattacken gar nicht erst gelingen. Mit vergleichsweise einfachen Massnahmen wie der Installation eines Virenschutzprogrammes lassen sich – gerade in KMU-Betrieben – viele Cyberrisiken minimieren. Eine erprobte Antiviren-Software wie etwa Bitdefender eliminiert nämlich zuverlässig verdächtige E-Mails und reduziert die Erfolgschancen von Ransomware- und Phishing-Attacken dadurch massgeblich.
