Interpellation Paganini (18.3562): Cyberkriminalität. MELANI Meldepflicht
Eingereichter Text
Cyberkriminalität wird zu einem immer grösseren Problem für Privatpersonen und vor allem auch für Unternehmen. Laut den neusten Zahlen werden jährlich 88 Prozent der Unternehmen Opfer von Cyberangriffen. Die freiwillige Meldemöglichkeit an MELANI, die Melde- und Analysestelle Informationssicherung des Bundes, wird von vielen Opfern nicht genutzt: Eine Firma möchte aus Angst vor einer möglichen Rufschädigung nicht eingestehen, dass sie Opfer eines Cyberangriffs wurde; der Angriff wurde nicht als wichtig genug eingestuft oder das Unternehmen wird gar vom Angreifer unter Androhung weiteren Schadens angehalten, den Angriff nicht zu melden. Das Unterlassen der Meldungen kann für die Bekämpfung von Cyberkriminalität jedoch ein Problem werden. Die Reichweite des Problems – nicht nur die Anzahl der Angriffe, sondern auch die Verbreitung bestimmter Angriffsmethoden – wird dadurch unterschätzt.
Die Einführung einer Meldepflicht, zumindest für Unternehmen, würde nicht nur zur Sammlung genügender Daten im Cyber Risk-Bereich führen. Sie würde auch eine Stärkung der Sensibilisierung von Bevölkerung und Unternehmen ermöglichen und eine gewisse abschreckende Wirkung auf Cyber-Kriminelle ausüben. Der Bundesrat will die Möglichkeit einer Meldepflicht im Rahmen der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) 2018 – 2022 prüfen. Ich bitte den Bundesrat, folgende Fragen zu beantworten:
1. Bis wann wird die Option einer Meldepflicht für Cyberangriffe geprüft? In welchem Rahmen wird er die Ergebnisse dieser Prüfung präsentieren und den Entscheid fällen, die Meldepflicht einzuführen oder nicht?
2. In welchem Rahmen zieht er die negativen Auswirkungen erhöhter Bürokratie für Unternehmen in die Überlegungen zu einer Meldepflicht mit ein?
3. Gab es in der Vergangenheit bei der freiwilligen Meldepflicht Datenschutzbedenken von Unternehmen oder gar Datenlecks von gemeldeten Angriffen?
4. Falls keine Meldepflicht eingeführt wird, macht er sich bereits Gedanken, wie die Anreize für die Unternehmen erhöht werden könnten die Cyberangriffe zu melden?
5. In wie weit behindert die heutige, spärliche Datenlage Verbesserungen in der Cybersicherheit?
Stellungnahme des Bundesrats vom 29.8.18
Der Bundesrat teilt die Auffassung, wonach eine Meldepflicht für Cyber-Angriffe aller Art die Sensibilität für die Risiken erhöhen und damit den Schutz der Schweiz vor Cyber-Risiken stärken kann. Erfahrungen aus dem Ausland zeigen, dass eine Meldepflicht aber nur dann die gewünschte Wirkung entfaltet, wenn der Aufwand für die meldenden Unternehmen vertretbar ist und wenn eine Meldung mit positiven Anreizen verbunden ist. Der Bundesrat beantwortet die Fragen wie folgt:
1. Nach der Verabschiedung der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken für die Jahre 2018 – 2022 wurde mit den Abklärungen zur Einführung einer Meldepflicht begonnen. Ziel ist es, bis im Sommer 2019 Grundlagen zu erarbeiten, welche einen Grundsatzentscheid zur Einführung einer Meldepflicht ermöglichen. Dem Parlament wird im Rahmen der Erfüllung des Po. 17.3475 Graf-Litscher Bericht erstattet.
2. Dem Bundesrat ist bewusst, dass bei einer Einführung einer Meldepflicht ein gewisser administrativer Aufwand für die Unternehmen nicht zu vermeiden ist. Er berücksichtigt dies bei der Abwägung der Vor- und Nachteile einer Meldepflicht und bei der Prüfung verschiedener Modelle zu deren allfälligen Umsetzung.
3. Es gibt keinerlei Hinweise, dass die Meldung von Angriffen bei MELANI je durch ein Datenleck betroffen war. Ob Datenschutzbedenken dazu führen, dass keine Meldung gemacht wird, kann nicht mit Bestimmtheit gesagt werden. MELANI konnte aber mit und unter den an ihrem Netzwerk beteiligten Unternehmen ein Vertrauensverhältnis aufbauen. Eine Umfrage im Jahr 2015 unter den Mitgliedern des geschlossenen Kundenkreises von MELANI, welcher Betreibern von kritischen Infrastrukturen vorbehalten ist, bestätigte dies. Diese Unternehmen haben zudem ein “non-disclosure”-Abkommen mit MELANI unterzeichnet, welches den Umgang mit geteilten Informationen regelt.
4. Die erfahrungsgemäss stärksten Anreize für eine Meldung eines Vorfalls sind das Angebot einer Unterstützung bei der Bewältigung des Vorfalls, die Möglichkeit des bei Bedarf anonymisierten Informationsaustausches mit anderen Betroffenen und der Zugang zum Netzwerk von nationalen und internationalen Sicherheitsexpertinnen und ‑experten. Diese Anreize funktionieren sehr gut im bestehenden Modell mit beschränktem Teilnehmerkreis. MELANI arbeitet an Modellen, welche es ermöglichen sollen, diese Stärken auch bei einem erweiterten Kundenkreis zu wahren.
5. Die Datenlage ist dank der Meldungen aus dem geschlossenen Kundenkreis und des nationalen wie auch internationalen Netzwerks von MELANI heute ausreichend für eine solide und aktuelle Lagebeurteilung im Cyber-Bereich. Mehr Daten würden präzisere Analysen ermöglichen und es ist davon auszugehen, dass eine Meldepflicht die Sensibilität für Cyber-Risiken erhöhen würde.