Cybersecurity in der Schweiz: Bund prüft Meldepflicht für kritische Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen

Ausgangslage und zu klärende Fragen

Moderne Gesellschaften sind stark vernetzt. D. h., Infrastrukturen und Systeme sind mannigfaltig miteinander verbunden. Diese starke Vernetzung ist mittlerweile zu einer Voraussetzung für ein effizientes Funktionieren der Gesellschaft geworden und wurde nicht zuletzt durch das Internet stark gefördert. Mit zunehmender Vernetzung steigt aber auch das Risiko, dass Störungen und Ausfälle von einzelnen Infrastrukturen weitreichende infrastruktur- oder systemübergreifende Auswirkungen zeitigen könnten (z.B. bei Angriffen durch Cyberkriminelle). Aufgrund der Abhängigkeit von funktionierenden Infrastrukturen müssen deshalb Wege gefunden werden, wie dem Risiko der wachsenden gegenseitigen Abhängigkeit von Infrastrukturen begegnet werden kann.

Besonders relevant ist dies im Zusammenhang mit dem Risiko von grossflächigen Ausfällen von kritischer Infrastruktur. Als kritische Infrastruktur gelten Prozesse, Systeme und Einrichtungen, die essentiell für das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung sind, z.B. die Energieversorgung, der Personen- und Güterverkehr oder die medizinische Versorgung, aber auch weitere Dienstleistungen wie die Sicherstellung des Zahlungsverkehrs. Ein zentrales Element beim Schutz vor grossflächigen Ausfällen kritischer Infrastruktur ist der sektorübergreifende Informationsaustausch. Er ermöglicht es Entscheidungsträgern nämlich, übergreifende Risiken (richtig) einzuschätzen und mögliche Gefahren frühzeitig zu erkennen. Besonders wichtig ist der sektorübergreifende Informationsaustausch wiederum im Bereich des Schutzes kritischer Infrastruktur vor Cyberrisiken. Können Cybervorfälle doch unterschiedliche Infrastruktur gleichzeitig treffen und/oder über die starke Vernetzung rasch zu einem sektorübergreifenden Problem werden. Eine frühe gegenseitige Warnung ist bei der Eindämmung der Auswirkungen eines Cybervorfalles deshalb besonders wichtig.

Weltweit ist Behörden die Förderung des Informationsaustausches zwischen Betreibern kritischer Infrastrukturen deshalb ein wichtiges Anliegen. So wurden vielerorts Plattformen für den freiwilligen Informationsaustausch geschaffen und der Austausch aktiv gefördert. In der Schweiz z. B. betreibt der Bund seit 2004 die Melde- und Analysestelle Informationssicherung (MELANI). Vermehrt wird aber auch auf regulatorische Instrumente zurückgegriffen, die Betreiber kritischer Infrastruktur dazu verpflichten, Cybervorfälle zu melden. In der EU fordert die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) Mitgliedsstaaten auf, Sicherheitsanforderungen und Meldepflichten für die Betreiber wesentlicher Dienste und für Anbieter digitaler Dienste einzuführen (vgl. dazu MLL-News vom 13. Februar 2013).

Angesichts dieses internationalen Trends hin zu Meldepflichten, müssen in der Schweiz Grundlagen erarbeitet werden, aufgrund welcher die Frage geklärt werden kann, ob und wenn ja, welche Meldepflichten einzuführen sind. In diesem Zusammenhang hat der Bundesrat den Bericht Varianten für Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen verfasst. Er setzt sich mit den Fragen auseinander, die sich in Bezug auf eine mögliche Einführung oder Ausweitung von Meldepflichten stellen, beschreibt die aktuelle Situation, nimmt einen Vergleich zum Ausland vor und präsentiert gestützt darauf vier Grundmodelle einer Meldepflicht.

Mögliche Zwecke von Meldepflichten im Bereich Cybersecurity

Grundsätzlich dienen Meldepflichten dazu, die Wirtschaft und den Staat zu stärken, indem Risiken zeitnah identifiziert und anschliessend adressiert werden können. Mit der Einführung einer Meldepflicht wird in der Regel einer oder mehrere der folgenden fünf Zwecke verfolgt:

1. Aufsichtspflicht des Staates gegenüber der Wirtschaft: Behörden müssen Kenntnis von Störungen haben, um die Aufsicht wahrnehmen und gegebenenfalls Massnahmen zu ergreifen zu können.
2. Prävention vor Sicherheitsvorfällen: Durch die Einführung einer Meldepflicht werden Unternehmen gezwungen, ihre internen Prozesse zu strukturieren, was eine präventive Wirkung hat.
3. Beurteilung der Bedrohungslage: Behörden benötigen zunehmend Informationen aus der Wirtschaft, um Bedrohungslagen beurteilen zu können; dies ist insbesondere im Bereich Cybersecurity der Fall.
4. Frühwarnung durch Informationsaustausch: Aufgrund der starken Vernetzung wachsen gegenseitige Abhängigkeiten, weshalb Informationen über Schwachstellen oder Angriffsmuster rasch geteilt werden müssen.
5. Koordinierte Reaktion: Erst durch Kenntnis aller Vorfälle und umfassende Information kann die zuständige Stelle sich für die entsprechende Reaktion entscheiden.

Die verschiedenen möglichen Zwecke schliessen sich zwar nicht zwingend gegenseitig aus, aber in der Ausgestaltung einer Meldepflicht ist es laut Bericht wichtig, klar einen Hauptzweck festzulegen.

Umfang von Meldepflichten

Neben dem Zweck der Meldepflicht ist auch ihr Umfang ein zu klärender Punkt, bevor über die Einführung einer Meldepflicht diskutiert werden kann. Beim Umfang geht es einerseits um die Frage, wer zu melden hat (sog. Adressatenkreis). Auf der anderen Seite geht es aber auch darum, was gemeldet werden muss, also um den Inhalt einer Meldung. Schliesslich muss auch definiert werden, an wen eine Meldung zu erfolgen hat.

Bezüglich des Adressatenkreises scheint sich international durchgesetzt zu haben, dass Meldepflichten insbesondere für die Betreiber kritischer Infrastrukturen gelten.

Schwieriger zu beurteilen ist die Frage, wann ein Ereignis sicherheitsrelevant ist und somit meldepflichtig sein soll. Es gibt Modelle, die Schwellenwerte festsetzen, während andere Modelle auf Kosten der Klarheit, aber zu Gunsten der Flexibilität, bewusst darauf verzichten.

An wen die Meldung zu erfolgen hat, hängt auch vom Zweck der Meldepflicht ab. So kann es sich anbieten, zentrale, sektorielle oder gemischte Meldestellen zu errichten. Damit hängt zusammen, wie die Meldepflicht prozedural ausgestaltet wird. Allgemein dürfte gelten, dass der bürokratische Aufwand möglichst gering zu halten ist und Doppelspurigkeiten vermieden werden sollten.

Meldepflichten im Ausland als Anhaltspunkt für die Schweiz

Im Ausland sind als Reaktion auf die starke Vernetzung und auf die zunehmende Bedrohung durch Cyberrisiken Meldepflichten beträchtlich erweitert worden. Ein grosser Treiber im europäischen Ausland ist die NIS-Richtlinie. Seit ihrem Inkrafttreten ist nämlich klar, dass alle EU-Mitgliedsstaaten Meldepflichten für die Betreiber wesentlicher Dienste und für Anbieter digitaler Dienste einführen müssen. Auch Länder wie Norwegen und Israel kennen Meldepflichten. Dies bietet für die Schweiz wertvolles Anschauungsmaterial bezüglich des Zwecks und Umfangs der Meldepflichten und der Meldestellen:

• Üblicherweise steht der Zweck der Frühwarnung durch Informationsaustausch im Vordergrund. Auch die Koordination bei Vorfällen findet sich als Zweck. Meldepflichten werden als Verpflichtung zur Zusammenarbeit und gegenseitiger Unterstützung verstanden und es geht nicht (mehr) darum, die Aufsichtsfunktion des Regulators zu stärken.
• Beim Umfang der Meldepflichten stehen die kritischen Infrastrukturen im Vordergrund. Die NIS-Richtlinie zählt beispielsweise auch Anbieter digitaler Dienste, wie etwa Online-Suchmaschinen dazu. Welche Infrastrukturen tatsächlich als kritisch einzustufen sind, muss von jedem Staat einzeln Entschieden werden, weil dies nicht zuletzt auch von der wirtschaftlichen Struktur eines Staates abhängt. Meldepflichtig sind in inhaltlicher Hinsicht schwerwiegende Vorfälle.
• Gemeldet wird i. d. R. an die für den Sektor zuständige Behörde. Alleinige, zentrale Meldestellen gibt es nicht.

Es zeigt sich zudem, dass es wesentlich ist, bestehende Systeme von Meldepflichten mit neu dazukommenden Meldepflichten für Cybervorfälle in Einklang zu bringen. Die grösste Herausforderung dürfte dabei sein, dass existierende Meldepflichten sich auf Sektoren beschränken, während Meldepflichten für Cybervorfälle möglichst sektorübergreifend gelten sollen, um die Frühwarnung effektiv stärken zu können.

Mögliche Ausgestaltungen der Meldepflichten in der Schweiz

Der Bundesrat beschreibt in seinem Bericht vier Grundmodelle einer möglichen Ausgestaltung der Meldepflicht in der Schweiz.

Als erste Variante schlägt der Bundesrat zentrale Meldestellen vor. Es würde also eine zentrale Meldestelle für alle Sicherheitsvorfälle von kritischen Infrastrukturen geschaffen. Das birgt den Vorteil, dass die sektorübergreifende Koordination erleichtert würde und es klar wäre, wem Meldung erstattet werden müsste. Nachteilig wäre es aber, dass die bestehenden sektoriellen Meldepflichten nicht kompatibel wären und bei der Ausgestaltung der Meldepflicht nicht auf Eigenheiten der einzelnen Sektoren Rücksicht genommen werden könnte. Bezüglich des Zwecks der Frühwarnung und Koordination einer Reaktion wäre dieses Modell vorteilhaft. Allerdings würde die Aufsichtspflicht der Regulatoren geschwächt, weil diese Informationen nur noch indirekt erhielten, womit auch die Prävention in den betroffenen Unternehmen nicht gleich wirkungsvoll sein dürfte. Zudem müsste der Umfang der Meldepflicht breit definiert werden, weil eine differenzierte Ausgestaltung bei diesem Modell nicht möglich wäre. Da das aktuelle Schweizer System aber dezentral organisiert ist, müsste das bestehende System komplett geändert werden. Somit wäre initial ein grosser Aufwand zu erwarten.

Die zweite Variante des Bundesrats sähe dezentrale Meldestellen vor. Meldungen müssten also an Meldestellen in den verschiedenen Sektoren erfolgen. Ein Vorteil davon wäre die rasche Umsetzbarkeit, da auf bestehende Strukturen abgestellt werden könnte und dafür lediglich rechtliche Grundlagen ausgeweitet werden müssten. Auch die differenzierte Ausgestaltung nach Sektor wäre vorteilhaft. Weniger günstig ist, dass die übergreifende Koordination nicht gewährleistet wäre und dass die bestehenden Meldestellen nicht auf die Meldung von Cybervorfällen ausgerichtet sind. Sektorübergreifende Zwecke (insbesondere Frühwarnung und Koordination) können nur bei gut funktionierendem Informationsaustausch zwischen den sektoriellen Regulatoren oder Aufsichtsbehörden erfüllt werden, was in praktischer Hinsicht eine grosse Herausforderung darstellen dürfte. Dafür müssten bestehende Meldestellen ausgebaut und rechtliche Grundlagen erweitert werden. Es wäre aber zu klären, ob MELANI als Meldestelle für Cybervorfälle in das System integriert würde oder nicht.

Als dritte Variante identifizierte der Bundesrat die Ergänzung der dezentralen Meldestellen mit einer zentralen Meldestelle für Cybervorfälle. Es handelt sich dabei um eine gemischte Form von Meldestellen. Erster Ansprechpartner wäre die sektorspezifische Meldestelle und eine zentrale Meldestelle würde in diesem Szenario alle Cybervorfälle sektorübergreifend aufarbeiten. Der Vorteil wäre, dass bestehende Lösungen in den Sektoren mit einer Cybermeldestelle kombiniert würden. Sicherheitsvorfälle würden nach wie vor von den sektoriellen Meldestellen bearbeitet, während Cybervorfälle übergreifend behandelt würden. Der Nachteil ist, dass viele verschiedene Meldestellen verbleiben und damit Kompetenzen und Kommunikationswege sorgfältig definiert und abgegrenzt werden müssten. Dadurch könnten Unklarheiten bei der Zuständigkeit entstehen. Durch diese Ausgestaltung könnten die Zwecke der Frühwarnung, der Koordination und der umfassenden Darstellung erreicht werden. Der Umfang der Meldepflicht könnte gewissermassen flexibel und sektoriell definiert werden, die zentrale Meldestelle könnte aber Mindeststandards vorsehen. Bei diesem Vorschlag würden die bestehenden Meldestellen beibehalten, die Meldung von Cybervorfällen wäre aber neu verpflichtend.

Als vierte Variante wird der Verzicht auf eine Ausweitung der bestehenden Meldepflichten kurz erwähnt. Der Vorteil wäre dabei, dass freiwillige Meldungen unbürokratischer und ohne rechtliche Abklärungen möglich sind. Weiter ist der freiwillige Informationsaustausch gemeinhin akzeptiert, sodass auch Vorfälle gemeldet werden, die nicht unter eine Meldepflicht fallen würden. Die Nachteile dieser Variante liegen darin, dass keine statistische Analyse von Vorfällen möglich ist und der Schweizer Ansatz nicht mit der NIS-Richtlinie kompatibel wäre.

Verhältnis zur vorgesehenen datenschutzrechtlichen Meldepflicht

Erwähnenswert ist, dass der Bericht des Bundesrates die Meldepflicht für datenschutzrelevante Vorfälle nur im europarechtlichen Zusammenhang, d.h. der DSGVO, erwähnt. Die in Art. 22 des Entwurfs zur Totalrevision des Datenschutzgesetzes (E-DSG) vorgesehene Meldepflicht für Verletzungen der Datensicherheit an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) findet keine Erwähnung. Der Bericht berücksichtigt damit das Verhältnis zwischen der Meldepflicht aus Art. 22 E-DSG und einer möglichen zukünftigen Meldepflicht für Cybervorfälle nicht. Weil die Meldepflicht für Cybervorfälle sich wohl auf die Betreiber kritischer Infrastrukturen beschränken wird, ist ihr Anwendungsbereich weniger weit gefasst, als derjenige des E-DSG. Das E-DSG ist nämlich auf alle datenschutzrechtlich Verantwortlichen anwendbar, nicht nur auf Betreiber kritischer Infrastrukturen.

Für die Betreiber kritischer Infrastrukturen könnte das bedeuten, dass sie sowohl eine Meldung nach E-DSG und nach Cybersecurity-Gesetzgebung erstatten müssen. Zumal mit den beiden Meldepflichten ja auch unterschiedliche Zwecke verfolgt werden. So steht beim E-DSG der Schutz der Persönlichkeit der Betroffenen im Zentrum, während es bei einer Meldepflicht von Cybervorfällen um den Schutz des Systems als solchem geht. Jedenfalls muss aber das Verhältnis der beiden Vorschriften für die betroffenen Organisationen klar sein.

Ausblick

Die vier dargestellten Grundmodelle sollen mit Vertretern der Wirtschaft, Kantone, Regulatoren und der Politik weiter vertieft werden. Insbesondere soll auch geklärt werden, welche legislatorischen Schritte für welches Modell nötig sind. Bis im Sommer 2020 wird eine Einigung darüber angestrebt, welches Modell der Meldepflicht umgesetzt werden soll, sodass anschliessend mit der Erarbeitung der gesetzlichen Grundlagen begonnen werden kann. Es wird sich zeigen, für welches der vier Modelle sich die Politik entscheiden wird und ob eine Koordination mit bestehenden Meldepflichten vorgenommen wird. Wichtig wird dabei auch sein, dass eine Koordination mit den internationalen Trends im Bereich Cybersecurity stattfindet und diese bei der Erarbeitung der gesetzlichen Grundlagen berücksichtigt werden.

Weitere Informationen:

• Bericht Varianten für Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen
• Medienmitteilung Bundesrat gibt Startschuss für Kompetenzzentrum Cyber-Sicherheit vom 31.01.2019
• Postulat Golay (16.4073) «Cyberrisiken. Für einen umfassenden, unabhängigen und wirksamen Schutz»
• Postulat SiK NR (18.3003) «Eine klare Cyber-Gesamtstrategie für den Bund»
• Motion Eder (17.3508) «Schaffung eines Cybersecurity-Kompetenzzentrums auf Stufe Bund»