Bei Cyberangriffen tappt der Bund weitgehend im Dunkeln. Nun soll eine Meldepflicht für Attacken auf kritische Infrastrukturen her. Die wichtigsten Fragen und Antworten.

Cyberangriffe auf Spitäler, Banken und AKW: Bund will Klarheit

Worum geht es? Künftig sollen kritische Infrastrukturen schwerwiegende Cyberangriffe dem Bund melden müssen. So möchte es der Bundesrat. Diese sogenannte Meldepflicht bei Cyberangriffen kommt nun ins Parlament. Der Nationalrat berät am Donnerstagmorgen als Erstrat darüber.

Warum ist es wichtig? In der Schweiz ist unklar, wie viele Atomkraftwerke, Spitäler und Trinkwasserversorger jedes Jahr Opfer von Cyberangriffen werden. Denn die offiziellen Statistiken basieren auf freiwilligen Meldungen. Laut Expertinnen und Experten ist die Dunkelziffer riesig. Genau hier setzt die Meldepflicht für sogenannte kritische Infrastrukturen an. Es geht darum, einen besseren Überblick über die Anzahl und Art der Angriffe zu bekommen und so das Bedrohungsbild besser zu verstehen.

Wie häufig sind Cyberattacken? Laut dem nationalen Zentrum für Cybersicherheit haben sich die Cyberangriffe in den letzten zwei Jahren verdreifacht, von gut 10'000 auf über 30'000 bekannte Cyberangriffe. Es gibt aber noch viel mehr Cyberangriffe, als diejenigen, die freiwillig gemeldet wurden.

Quelle: Nationales Zentrum für Cybersicherheit Total aller gemeldeten Cyberangriffe in der Schweiz 2021 2 1 ’714 ? 2020 1 0’833 ? 2022 ? 34’527

Welche Informationen müssen Unternehmen melden, wenn sie angegriffen wurden? Daten zum Unternehmen, um was für einen Cyberangriff es sich gehandelt hat und Details zum Umgang mit dem Angriff, also welche Massnahmen eingeleitet wurden und welche Abwehrversuche gelungen sind und welche nicht. Es soll eine Art Frühwarnsystem aufgebaut werden, in dem die Opfer von Cyberangriffen voneinander lernen können.

Legende: Der Bund weiss nicht genau, wie viele Cyberangriffe es in der Schweiz pro Jahr gibt. Deshalb soll neu eine Meldepflicht für angegriffene kritische Infrastrukturen eingeführt werden. Reuters

Welche Unternehmen müssen Cyberangriffe in Zukunft melden? Die Meldepflicht gilt nur für kritische Infrastrukturen, das sind Unternehmen, die für das Funktionieren der Wirtschaft oder die Sicherheit des Landes zentral sind. Zum Beispiel Banken, die SBB oder Spitäler.

Was halten Unternehmen von einer Meldepflicht? Es gibt eine Abwägung zwischen Unternehmensreputation und Sicherheit. Heikle Informationen zu teilen, erhöht die Sicherheit von allen. Für einzelne Unternehmen kann es aber auch unangenehm sein, detaillierte Informationen über einen Cyberangriff preiszugeben. Deshalb hat es bisher auch nur begrenzt funktioniert, Cyberangriffe freiwillig zu melden. Unternehmen fürchten sich davor, öffentlich an den Pranger gestellt zu werden. Sie wollen nicht, dass der Eindruck entsteht, dass sie selbst schuld seien.

Weshalb braucht es viel Fingerspitzengefühl bei der Umsetzung der Meldepflicht? Vertrauen ist die Währung, wenn es um Cybersicherheit geht. Laut Expertinnen und Experten soll die breite Öffentlichkeit nur Zugang zu anonymisierten Daten erhalten, zum Beispiel über die Anzahl Cyberangriffe in der Schweiz und ihre Auswirkungen. Ausserdem greift die Meldepflicht nur bei schwerwiegenden Cyberangriffen. Dann, wenn die Sicherheit des Landes oder das Funktionieren der Wirtschaft massgeblich auf dem Spiel stehen. Zum Beispiel, wenn ein Spital nicht mehr funktionieren kann oder wenn eine grosse Angriffswelle vermutet wird.