Ab nächstem Dienstag müssen bestimmte Unternehmen Cyberangriffe auf die eigene Infrastruktur melden – dazu gehören theoretisch auch Microsoft und Google. Es fehlt aber an Transparenz und Präzision, schreibt Kolumnist Reto Vogt.
Stellen wir uns vor, ein grosses Schweizer Unternehmen wird Ziel eines Cyberangriffs. Die IT-Systeme stehen still, Kundendaten könnten betroffen sein, das Vertrauen bröckelt. Was passiert ab dem kommenden Monat? Die Antwort lautet: Es kommt darauf an.
Zwar gilt nach dem 1. April in der Schweiz eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen, allerdings nicht für alle: Diejenigen, die sich beim Bundesamt für Cybersicherheit (BACS) melden müssen, sind in einer abschliessenden Liste im Informationssicherheitsgesetz (ISG), Artikel 74b, aufgeführt.
Aufgezählt sind 21 Bereiche. Darunter zum Beispiel Hochschulen, Energieversorger, Banken, Arzneimittelimporteure, Eisenbahnunternehmen, Lebensmittelhändler, die SRG sowie Nachrichtenagenturen und Telekomdienstleister. Das ist alles nachvollziehbar und sinnvoll – und sogar einigermassen klar. Und wenn nicht, können alle Unternehmen beim Bundesamt nachfragen, ob sie selbst meldepflichtig sind oder nicht.
US-Cloudanbieter sind in der Schweiz (theoretisch) meldepflichtig
Spannend finde ich vor allem die letzten zwei Punkte in der erwähnten Liste – denn sie werfen für mich mehr Fragen auf, als sie beantworten. Meldepflichtig sind auch:
- Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben.
- Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Hard- oder Software einen Fernwartungszugang hat.
Eine Nachfrage beim BACS bestätigt beim ersten Punkt: Grundsätzlich seien auch «internationale Unternehmen wie Microsoft und Google betroffen, sofern sie einen Sitz in der Schweiz haben und entsprechende Dienstleistungen anbieten». Allerdings obliege die Einschätzung, ob ein Vorfall Auswirkungen in der Schweiz habe, den betroffenen Unternehmen, so das BACS weiter. In meiner Lesart heisst das: Theoretisch sind US-Cloud-Anbieter zwar meldepflichtig, in der Praxis entscheiden sie aber selbst darüber, ob sie es sein wollen oder nicht.
Im zweiten Punkt «gilt die Meldepflicht Herstellerinnen von Hard- oder Software, die sich in der Schweiz auswirken». Das Gesetz bezieht diese auf Hard- und Software, die bei kritischen Infrastrukturen selbst im Einsatz ist. Das ist meiner Ansicht nach zu wenig: Was ist zum Beispiel mit Herstellern von weitverbreiteten Smartphones, Routern oder Kommunikationsplattformen? Bei allen sind potenziell Millionen von Schweizerinnen und Schweizern betroffen. Also können auch entsprechende Angriffe erhebliche Auswirkungen auf die Bevölkerung haben. Die Begrenzung auf kritische Infrastrukturen reicht meiner Ansicht nach nicht aus. Sie birgt das Risiko, dass relevante Vorfälle gar nie gemeldet werden.
Klare Definition von «Cyberangriff» fehlt
Mitentscheidend bei der Frage, was rapportiert wird und was nicht, ist über das bereits Genannte hinaus die Definition von Cyberangriff. Vorletzte Woche schrieb ich an dieser Stelle über die Cyberangriffe bei Swisscom, die eigenen Angaben zufolge 200 Millionen Attacken im Monat zählt. Wird der Telco diese alle dem Bacs melden? Sicher nicht, die meisten sind simple Portscans. Dennoch ist wichtig, was man unter «Cyberangriff» versteht. Das BACS schreibt dazu:
«Ein Cyberangriff muss unter anderem gemeldet werden, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat oder mit Erpressung, Drohung oder Nötigung verbunden ist.»
Aber wo beginnt ein Angriff und ab wann ist er meldepflichtig? Gerade weil der Begriff «Cyberangriff» inflationär verwendet wird, wäre eine klare, öffentlich einsehbare Definition dringend nötig. Denn ohne ein gemeinsames Verständnis droht auch hier: zu viel Interpretationsspielraum – und damit Intransparenz.
Fehlende Transparenz ist schädlich
Transparenz fehlt übrigens noch an anderer Stelle: «Eine öffentliche Liste aller meldepflichtigen Organisationen ist nicht vorgesehen», schreibt das BACS. Die Begründung leuchtet zwar auf den ersten Blick ein, dass eine öffentliche Liste quasi ein Verzeichnis für Hacker wäre, um einfacher Angriffsziele zu identifizieren.
Auf den zweiten Blick aber überwiegen für mich die Nachteile. Denn die fehlende Transparenz schafft ein Informationsvakuum – gerade in einer Zeit, in der das Vertrauen in digitale Infrastrukturen essenziell ist. Die Bevölkerung bleibt im Unklaren darüber, wer genau zur Meldung verpflichtet ist – und ob überhaupt gemeldet wurde. Auch wie viele Vorfälle es gibt, wie schwerwiegend sie sind und welche Lehren daraus gezogen werden, erfährt man voraussichtlich nicht. Und wenn dann höchstens in einem reichlich spät veröffentlichten Bericht.
Dabei geht es nicht darum, schützenswerte Details öffentlich zu machen oder operativ ins Risiko zu laufen. Es geht um das Prinzip: Wer Transparenz ernst meint, muss sie auch im Bereich der Cybersicherheit leben – mit anonymisierten Fallberichten, regelmässigen Lageeinschätzungen oder wenigstens mit der Information, dass Vorfälle gemeldet worden sind.
Instrument mit Potenzial, aber ohne Wirkung
Verstehen Sie mich nicht falsch: Eine Meldepflicht für Cyberangriffe ist ein wichtiger Schritt. Aber sie entfaltet ihre Wirkung nur dann, wenn sie breit genug greift, klar definiert ist – und transparent umgesetzt wird.
Was wir brauchen, ist ein gemeinsames Verständnis davon, was ein Angriff ist. Und ein Mindestmass an öffentlicher Information darüber, wer betroffen ist und wie damit umgegangen wurde. Sonst bleibt die Meldepflicht ein Blindflug. Oder ein Instrument mit Potenzial – aber ohne Wirkung.
5 Antworten
Das mit der Transparenz kommt mir ein klein wenig vor wie die Sache mit den geheim gehaltenen Resultaten der Überprüfung von Restaurants durch die Gesundheitsbehörden. In vielen anderen Ländern hängen die Zertifikate an der Eingangstür und jeder Gast weiss deshalb vorher, was ihn drinnen erwartet.
Kann man die Resultate nicht wie bei Responsible Disclosure nach einer gewissen Frist veröffentlichen, so dass genügend Zeit war, die Probleme abzustellen?
Doch, genau das müsste möglich sein und würde so viel bringen.
Muss die Swisscom dann 200 Millionen Meldungen pro Monat machen? 😉
Vielleicht hört Swisscom jetzt endlich auf, ihre Zahlen so künstlich aufzublasen.
Was die bemängelte Transparenz der Definition des Cyberangriffs und des Kreises der Meldepflichtigen angeht, wird mir aufgrund des Artikels nicht klar, ob der Autor die folgenden Bestimmungen im revidierten Informationssicherheitsgesetz (ISG) und in der neuen Cybersicherheitsverordnung (CSV) in seine Analyse einbezogen hat:
Art. 5 Bst. d und e ISG (Definition des Cybervorfalls und -angriffs)
Art. 74d ISG (Kreis der zu meldenden Cyberangriffe)
Art. 14 CSV (Präzisierungen zu Art. 74d ISG).
Diese Dokumente sind über die oben verlinkte Medienmitteilung aufrufbar. Der Artikel zitiert sinngemäss aus ihnen (bzw. wohl aus der Medienmitteilung), bemängelt aber wohl zu Unrecht, dass die genannten Definitionen nicht öffentlich einsehbar seien.
Unpraktisch ist, dass die gesetzliche Definition des Cyberangriffs von der umgangssprachlichen abweicht: Als Angriff im Sinn des ISG gilt ein Angriff erst, wenn er einen beträchtlichen Erfolg hatte. Das hat der Gesetzgeber etwa in Artikel 134 des Strafgesetzbuchs besser gelöst: Dort ist ein Angriff begrifflich auch dann ein Angriff, wenn niemand verletzt wird, aber mit Strafe bedroht wird er erst, wenn er Tote oder Verletzte zur Folge hat. Dieser terminologische Mangel des ISG tut seiner öffentlichen Zugänglichkeit und Bestimmtheit aber keinen Abbruch.