Inter­pel­la­ti­on Paga­ni­ni (18.3562): Cyber­kri­mi­na­li­tät. MELANI Mel­de­pflicht

Eingereichter Text

Cyber­kri­mi­na­li­tät wird zu einem immer grö­sse­ren Pro­blem für Pri­vat­per­so­nen und vor allem auch für Unter­neh­men. Laut den neu­sten Zah­len wer­den jähr­lich 88 Pro­zent der Unter­neh­men Opfer von Cyber­an­grif­fen. Die frei­wil­li­ge Mel­de­mög­lich­keit an MELANI, die Mel­de- und Ana­ly­se­stel­le Infor­ma­ti­ons­si­che­rung des Bun­des, wird von vie­len Opfern nicht genutzt: Eine Fir­ma möch­te aus Angst vor einer mög­li­chen Ruf­schä­di­gung nicht ein­ge­ste­hen, dass sie Opfer eines Cyber­an­griffs wur­de; der Angriff wur­de nicht als wich­tig genug ein­ge­stuft oder das Unter­neh­men wird gar vom Angrei­fer unter Andro­hung wei­te­ren Scha­dens ange­hal­ten, den Angriff nicht zu mel­den. Das Unter­las­sen der Mel­dun­gen kann für die Bekämp­fung von Cyber­kri­mi­na­li­tät jedoch ein Pro­blem wer­den. Die Reich­wei­te des Pro­blems – nicht nur die Anzahl der Angrif­fe, son­dern auch die Ver­brei­tung bestimm­ter Angriffs­me­tho­den – wird dadurch unter­schätzt.

Die Ein­füh­rung einer Mel­de­pflicht, zumin­dest für Unter­neh­men, wür­de nicht nur zur Samm­lung genü­gen­der Daten im Cyber Risk-Bereich füh­ren. Sie wür­de auch eine Stär­kung der Sen­si­bi­li­sie­rung von Bevöl­ke­rung und Unter­neh­men ermög­li­chen und eine gewis­se abschrecken­de Wir­kung auf Cyber-Kri­mi­nel­le aus­üben. Der Bun­des­rat will die Mög­lich­keit einer Mel­de­pflicht im Rah­men der Natio­na­len Stra­te­gie zum Schutz der Schweiz vor Cyber-Risi­ken (NCS) 2018 – 2022 prü­fen. Ich bit­te den Bun­des­rat, fol­gen­de Fra­gen zu beant­wor­ten:

1. Bis wann wird die Opti­on einer Mel­de­pflicht für Cyber­an­grif­fe geprüft? In wel­chem Rah­men wird er die Ergeb­nis­se die­ser Prü­fung prä­sen­tie­ren und den Ent­scheid fäl­len, die Mel­de­pflicht ein­zu­füh­ren oder nicht?

2. In wel­chem Rah­men zieht er die nega­ti­ven Aus­wir­kun­gen erhöh­ter Büro­kra­tie für Unter­neh­men in die Über­le­gun­gen zu einer Mel­de­pflicht mit ein?

3. Gab es in der Ver­gan­gen­heit bei der frei­wil­li­gen Mel­de­pflicht Daten­schutz­be­den­ken von Unter­neh­men oder gar Daten­lecks von gemel­de­ten Angrif­fen?

4. Falls kei­ne Mel­de­pflicht ein­ge­führt wird, macht er sich bereits Gedan­ken, wie die Anrei­ze für die Unter­neh­men erhöht wer­den könn­ten die Cyber­an­grif­fe zu mel­den?

5. In wie weit behin­dert die heu­ti­ge, spär­li­che Daten­la­ge Ver­bes­se­run­gen in der Cyber­si­cher­heit?

Stellungnahme des Bundesrats vom 29.8.18

Der Bun­des­rat teilt die Auf­fas­sung, wonach eine Mel­de­pflicht für Cyber-Angrif­fe aller Art die Sen­si­bi­li­tät für die Risi­ken erhö­hen und damit den Schutz der Schweiz vor Cyber-Risi­ken stär­ken kann. Erfah­run­gen aus dem Aus­land zei­gen, dass eine Mel­de­pflicht aber nur dann die gewünsch­te Wir­kung ent­fal­tet, wenn der Auf­wand für die mel­den­den Unter­neh­men ver­tret­bar ist und wenn eine Mel­dung mit posi­ti­ven Anrei­zen ver­bun­den ist. Der Bun­des­rat beant­wor­tet die Fra­gen wie folgt:

1. Nach der Ver­ab­schie­dung der Natio­na­len Stra­te­gie zum Schutz der Schweiz vor Cyber-Risi­ken für die Jah­re 2018 – 2022 wur­de mit den Abklä­run­gen zur Ein­füh­rung einer Mel­de­pflicht begon­nen. Ziel ist es, bis im Som­mer 2019 Grund­la­gen zu erar­bei­ten, wel­che einen Grund­satz­ent­scheid zur Ein­füh­rung einer Mel­de­pflicht ermög­li­chen. Dem Par­la­ment wird im Rah­men der Erfül­lung des Po. 17.3475 Graf-Lit­scher Bericht erstat­tet.

2. Dem Bun­des­rat ist bewusst, dass bei einer Ein­füh­rung einer Mel­de­pflicht ein gewis­ser admi­ni­stra­ti­ver Auf­wand für die Unter­neh­men nicht zu ver­mei­den ist. Er berück­sich­tigt dies bei der Abwä­gung der Vor- und Nach­tei­le einer Mel­de­pflicht und bei der Prü­fung ver­schie­de­ner Model­le zu deren all­fäl­li­gen Umset­zung.

3. Es gibt kei­ner­lei Hin­wei­se, dass die Mel­dung von Angrif­fen bei MELANI je durch ein Daten­leck betrof­fen war. Ob Daten­schutz­be­den­ken dazu füh­ren, dass kei­ne Mel­dung gemacht wird, kann nicht mit Bestimmt­heit gesagt wer­den. MELANI konn­te aber mit und unter den an ihrem Netz­werk betei­lig­ten Unter­neh­men ein Ver­trau­ens­ver­hält­nis auf­bau­en. Eine Umfra­ge im Jahr 2015 unter den Mit­glie­dern des geschlos­se­nen Kun­den­krei­ses von MELANI, wel­cher Betrei­bern von kri­ti­schen Infra­struk­tu­ren vor­be­hal­ten ist, bestä­tig­te dies. Die­se Unter­neh­men haben zudem ein “non-disclosure”-Abkommen mit MELANI unter­zeich­net, wel­ches den Umgang mit geteil­ten Infor­ma­tio­nen regelt.

4. Die erfah­rungs­ge­mäss stärk­sten Anrei­ze für eine Mel­dung eines Vor­falls sind das Ange­bot einer Unter­stüt­zung bei der Bewäl­ti­gung des Vor­falls, die Mög­lich­keit des bei Bedarf anony­mi­sier­ten Infor­ma­ti­ons­aus­tau­sches mit ande­ren Betrof­fe­nen und der Zugang zum Netz­werk von natio­na­len und inter­na­tio­na­len Sicher­heits­ex­per­tin­nen und -exper­ten. Die­se Anrei­ze funk­tio­nie­ren sehr gut im bestehen­den Modell mit beschränk­tem Teil­neh­mer­kreis. MELANI arbei­tet an Model­len, wel­che es ermög­li­chen sol­len, die­se Stär­ken auch bei einem erwei­ter­ten Kun­den­kreis zu wah­ren.

5. Die Daten­la­ge ist dank der Mel­dun­gen aus dem geschlos­se­nen Kun­den­kreis und des natio­na­len wie auch inter­na­tio­na­len Netz­werks von MELANI heu­te aus­rei­chend für eine soli­de und aktu­el­le Lage­be­ur­tei­lung im Cyber-Bereich. Mehr Daten wür­den prä­zi­se­re Ana­ly­sen ermög­li­chen und es ist davon aus­zu­ge­hen, dass eine Mel­de­pflicht die Sen­si­bi­li­tät für Cyber-Risi­ken erhö­hen wür­de.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.