Cyber-Angriff

Mel­de­pflicht für Cy­ber­an­grif­fe braucht klare Leit­plan­ken

Die Wirt­schaft un­ter­stützt die ge­plan­te Mel­de­pflicht für Be­trei­be­rin­nen kri­ti­scher In­fra­struk­tu­ren bei Cy­ber­an­grif­fen im Grund­satz. Die Mel­de­pflicht muss je­doch auf einer star­ken Ko­ope­ra­ti­on des Bun­des mit den Un­ter­neh­men ba­sie­ren sowie ab­schlies­sen­de und klare Be­zeich­nun­gen ent­hal­ten. Schäd­li­che Straf­be­stim­mun­gen sol­len drin­gend ver­mie­den wer­den.

Mor­gen Don­ners­tag endet die Ver­nehm­las­sung zur Ein­füh­rung einer Mel­de­pflicht für Be­trei­be­rin­nen kri­ti­scher In­fra­struk­tu­ren bei Cy­ber­an­grif­fen. Die Zahl der Cy­ber­an­grif­fe auf Schwei­zer Un­ter­neh­men und In­sti­tu­tio­nen steigt ra­sant. eco­no­mie­su­is­se teilt daher die Ein­schät­zung, dass in pas­sen­de Schutz­mass­nah­men in­ves­tiert wer­den muss. Dies gilt im Spe­zi­el­len für so­ge­nann­te kri­ti­sche In­fra­struk­tu­ren, wel­che aus sys­te­mi­scher Sicht eine er­höh­te Resi­li­enz auf­wei­sen müs­sen. Auch im Falle eines Cy­ber­an­griffs müs­sen sie ihre wich­ti­ge Funk­ti­on für Wirt­schaft und Ge­sell­schaft er­fül­len kön­nen. Folg­lich be­ste­hen gegen eine Mel­de­pflicht für die Be­trei­be­rin­nen kri­ti­scher In­fra­struk­tu­ren grund­sätz­lich keine Ein­wän­de. Den­noch for­dert eco­no­mie­su­is­se Än­de­run­gen und Prä­zi­sie­run­gen am Ge­set­zes­ent­wurf.

Ab­schlies­sen­de und klare Be­zeich­nun­gen er­wünscht

Für die Wirt­schaft ist die Rechts­si­cher­heit zen­tral. Es braucht klare Aus­sa­gen dar­über, wel­che Un­ter­neh­men in wel­chen Be­rei­chen und in wel­chem Aus­mass kon­kret von der neuen Mel­de­pflicht be­trof­fen sind. Mel­de­pflich­ten füh­ren zu einer zu­sätz­li­chen ad­mi­nis­tra­ti­ven Be­las­tung und soll­ten somit nur ge­zielt ein­ge­setzt wer­den. Eine Mel­de­pflicht ist auf die­je­ni­gen Be­rei­che zu be­schrän­ken, deren Aus­fall oder Be­ein­träch­ti­gung zu nach­hal­tig wir­ken­den Ver­sor­gungs­eng­päs­sen, er­heb­li­chen Stö­run­gen der öf­fent­li­chen Si­cher­heit oder an­de­ren dra­ma­ti­schen Fol­gen füh­ren wür­den.

Auch bei den be­trof­fe­nen Sach­ver­hal­ten geht der Ent­wurf zu weit. Es gibt keine klare Dif­fe­ren­zie­rung zwi­schen Vor­fäl­len, wel­che kei­nen oder nur einen un­we­sent­li­chen Ein­fluss auf die Ge­schäfts­pro­zes­se haben, und sol­chen, die den Be­trieb kri­ti­scher In­fra­struk­tu­ren grund­sätz­lich be­ein­träch­ti­gen oder sonst ein hohes Ri­si­ko ber­gen. Zu weit ge­fass­te Kri­te­ri­en sind für die Un­ter­neh­men kaum greif- oder um­setz­bar.

Ko­ope­ra­ti­on als Lö­sung und Ziel

Das Ziel einer Mel­de­pflicht soll es sein, dass ein Un­ter­neh­men in be­stimm­ten und klar de­fi­nier­ten Fäl­len mit den Be­hör­den in den Dia­log tritt. Die Auf­nah­me die­ses Dia­logs soll­te mög­lichst ein­fach ge­macht und kon­struk­tiv ge­stal­tet wer­den. Mehr­wer­te wie tech­ni­sche Ein­schät­zun­gen und an­de­re Un­ter­stüt­zungs­leis­tun­gen des Na­tio­na­len Zen­trums für Cy­ber­si­cher­heit (NCSC) sind dabei wich­tig. Auch ein «Früh­warn­sys­tem» und eine ver­läss­li­che Ein­schät­zung der Be­dro­hungs­la­ge wären ganz im Sinne der Wirt­schaft. Eine Mel­de­pflicht muss ge­ne­rell einem Ser­vice­ge­dan­ken fol­gen und darf nicht als Kon­troll­in­stru­ment ge­gen­über den be­trof­fe­nen Fir­men ein­ge­setzt wer­den. Nur so kann das Ver­trau­en der Un­ter­neh­men in den Nut­zen der In­sti­tu­ti­on ge­stärkt wer­den.

Damit die Mel­de­pflicht ak­zep­tiert wird, muss noch deut­li­cher auf­ge­zeigt wer­den, wie Un­ter­stüt­zungs­leis­tun­gen ganz kon­kret den be­trof­fe­nen Un­ter­neh­men zu­gu­te­kom­men sol­len. Eben­so muss klar dar­ge­legt wer­den, wie weit die neuen Pflich­ten in einem sinn­vol­len Ver­hält­nis zum Er­trag ste­hen. Dies ins­be­son­de­re bei KMU und klei­ne­ren Be­trei­be­rin­nen kri­ti­scher In­fra­struk­tu­ren, bei denen der Zu­satz­auf­wand stär­ker ins Ge­wicht fällt. Es braucht einen kla­ren Ge­gen­wert, der sich ak­tu­ell aus der Vor­la­ge noch zu wenig er­schliesst.

Straf­be­stim­mun­gen sind nicht ziel­füh­rend

Die Straf­be­stim­mun­gen im Ge­set­zes­ent­wurf wer­den von eco­no­mie­su­is­se gänz­lich ab­ge­lehnt. Sol­che Be­stim­mun­gen, die zur per­sön­li­chen Straf­bar­keit der Ver­ant­wort­li­chen füh­ren, sind für die Com­p­li­an­ce von Un­ter­neh­men eher schäd­lich als för­der­lich. Per­so­nen, die in einem feh­ler­an­fäl­li­gen Be­reich wie der Cy­ber­si­cher­heit mit Sank­tio­nen rech­nen müs­sen, ob­wohl sie alle zu­mut­ba­ren Vor­keh­run­gen ge­trof­fen haben, wer­den klar we­ni­ger zur Über­nah­me die­ser Ver­ant­wor­tung be­reit sein. Da­durch wird ein Stel­len­markt, der be­reits heute aus­ge­trock­net ist und nicht aus­rei­chend Ex­per­ten und Fach­kräf­te an­bie­tet, noch wei­ter unter Druck ge­setzt.

Zur Stel­lung­nah­me