AKW, Banken, Spitäler oder auch die SBB und die Trinkwasserversorgung: Cyberangriffe auf die kritische Infrastruktur können verheerende Auswirkungen haben. Deswegen will der Nationalrat die Betreiber in die Pflicht nehmen: Sie sollen Attacken künftig melden müssen – wer dies vorsätzlich missachtet, riskiert eine Busse.
Der Entscheid in der grossen Kammer fiel mit 132 zu 55 Stimmen. Widerspruch gab es aus den Reihen der SVP. So störte sich David Zuberbühler (SVP/AR) an den Bussgeldern und sprach sich für eine freiwillige Zusammenarbeit mit den betroffenen Institutionen und Unternehmen aus.
Hohe Bussen würden ein «Klima des Misstrauens» schaffen und den Willen zur Kooperation mit dem Bund untergraben, mahnte Zuberbühler.
Bundesrat will griffige Meldepflicht
Verteidigungsministerin Viola Amherd stellte klar, dass Bussen nur als letztes Mittel vorgesehen seien. Ohne Androhung von Sanktionen sei eine Meldepflicht aber wenig griffig und drohe ihr Ziel zu verfehlen. Auch die Kantone stünden geschlossen hinter dem Vorhaben.
Der Sichtweise der Bundesrätin schloss sich die Mehrheit der Parteien an. «Ein Verzicht auf Sanktionen würde die Vorlage massiv schwächen», sagte Grünen-Nationalrat Andrey Gerhard. Vorgesehen sind Bussen von maximal 100'000 Franken im Falle eines Verstosses gegen die Meldepflicht.
Unbestritten war im Nationalrat, dass es eine Meldepflicht braucht, wie sie etwa die EU schon länger kennt. «Diese trägt dazu bei, dass Erpressern eher das Handwerk gelegt werden kann», befand FDP-Nationalrätin Doris Fiala.
Edith Graf-Litscher (SP/TG) sprach sich ebenfalls für die Meldepflicht samt Sanktionsmöglichkeiten aus: Allzu oft tappe der Bund im Dunkeln, wenn es um Cyberangriffe gehe. «Das tatsächliche Ausmass der Bedrohung ist heute nicht klar.»
In der grossen Kammer monierten diverse Rednerinnen und Redner, dass die Schweiz zwar in vielen Bereichen führend sei – beim Kampf gegen Cyberattacken aber zu den Entwicklungsländern gehöre.
GLP-Nationalrätin Melanie Mettler attestierte der Schweiz bei der «Digital Literacy» (dt. digitale Kompetenz) grossen Nachholbedarf.
Wenn es mir passiert, ist der Schaden absehbar. Ein Cyberangriff bei solchen Unternehmen ist aber meist mit grossen Auswirkungen und Kostenfolgen verbunden.
Eine Meldepflicht für Cyberattacken soll aus Sicht von Bundesrat und Nationalrat auch das Know-how im Umgang mit Bedrohungen aus dem Netz fördern.
Auch aus Sicht der Mitte-Fraktion ist die Meldepflicht unerlässlich. Cyberangriffe seien heute eine Realität, vor der sich niemand verschliessen könne, sagte Ida Glanzmann-Hunkeler. Und wenn kritische Infrastrukturen betroffen seien, habe dies ganz andere Dimensionen als im privaten Bereich.
«Wenn es mir passiert, ist der Schaden absehbar. Ein Cyberangriff bei solchen Unternehmen ist aber meist mit grossen Auswirkungen und Kostenfolgen verbunden.»
Das Geschäft geht nun weiter an den Ständerat.
