Der Nationalrat berät am 16. März über die Änderung des Informationssicherheitsgesetzes. Mit der Einführung einer Meldepflicht von Sicherheitslücken und Cybervorfällen für Betreiber kritischer Infrastrukturen kann ein wesentlicher Beitrag zur Erhöhung der Cybersicherheit in der Schweiz geleistet werden. Damit können Angriffe frühzeitig entdeckt, ihre Angriffsmuster analysiert und Betroffene rechtzeitig gewarnt werden. Dieses ehrenswerte Ziel wird aufgrund von schwerwiegenden Schwachstellen in der aktuellen Vorlage leider verfehlt.

Der vorliegende Entwurf des Bundesrats schafft erstmals eine Gesetzesgrundlage, um Meldungen an das Nationale Zentrum für Cybersicherheit (NCSC) an den Geheimdienst weiterzuleiten. Von enger Kooperation mit offensiven Akteuren bei der Bewältigung von Cyberrisiken ist aufgrund von Interessenskonflikten abzuraten. Leider verfolgt der Bund mit der Ansiedlung des neuen Bundesamts für Cybersicherheit im VBS eine gefährliche und aggressive Strategie. Die vorliegende Gesetzesrevision zementiert den Richtungsentscheid des Bundesrats.

Die Piratenpartei Schweiz ruft zur Wahrung der Unabhängigkeit und der defensiven Ausrichtung des NCSC auf. Grund dafür ist die Sorge um die Vertrauenswürdigkeit des NCSC, das unter fragwürdigen Umständen dem VBS unterstellt wurde [1]. Offensiv agierende Akteure wie der Nachrichtendienst des Bundes (NDB) und die Armee verfolgen auch der Cybersicherheit nicht zuträgliche Interessen. Sie halten Sicherheitslücken zurück um in fremde Systeme einzudringen. Diese Bedenken werden auch von der Wirtschaft geteilt [2]. Der Entscheid das NCSC dem VBS einzugliedern, ist ein fataler Fehler für die Schweiz.

Philippe Burger, Vizepräsident der Piratenpartei Schweiz: „Es braucht eine unabhängige Meldestelle, da das NCSC beim VBS nicht vertrauenswürdig ist. Die Mitarbeiter des NCSC werden zu Handlangern der Überwachungsbehörden degradiert.“
Jorgo Ananiadis, Präsident der Piratenpartei ergänzt: „Ethische Hacker werden ihre Entdeckungen wegen diesen Interessenskonflikten nicht mehr an das NCSC melden.“

Die Piratenpartei fordert eine strikt defensive Cybersicherheitsstrategie die sich auf den Schutz der Schweizer Bevölkerung konzentriert. Dafür ist ein Kurswechsel nötig, um die Interessenskonflikte zu beheben, die sich aus der derzeitigen Cybersicherheitsstruktur der Bundesverwaltung ergeben.

Aktuell ist vorgesehen die Entscheidung, ob eine Anzeige aufgrund einer Meldung gegen Sicherheitsforscher erstattet wird oder nicht, dem Leiter oder der Leiterin des NCSC zu überlassen. Statt endlich Rechtssicherheit für Responsible Disclosure zu schaffen, wird sie durch potenzielle Willkür untergraben. Für „unbefugtes Eindringen in ein Datenverarbeitungssystem“ (StGB Art. 143bis) drohen in der Schweiz bis zu drei Jahre Haft.
Ethischen Hackern muss deshalb in Art. 73d Abs. 3 Straffreiheit im Rahmen von Responsible Disclosure zugesichert werden.

Die Piratenpartei Schweiz kritisiert die Vorlage des Informationssicherheitsgesetzes in der aktuellen Form und bemängelt insbesondere auch die geforderte Weiterleitung von Informationen aus Meldungen an den NDB gemäß Art. 73d Abs. 2. Dieser Absatz muss unbedingt korrigiert werden, damit Sicherheitslücken in kritischen Infrastrukturen beseitigt und nicht für Spionage oder andere offensive Cyberspielchen missbraucht und zurückgehalten werden. Die Piratenpartei Schweiz fordert, dass die zu schaffende unabhängige Behörde die gemeinsame Cyberlage führt, dokumentiert und kontinuierlich und zeitnah transparent veröffentlicht. Des Weiteren ist die Öffentlichkeit über Meldungen zu Cyberangriffen, nach nützlicher Frist zur Behebung der Sicherheitslücken, zu informieren. Art. 73b Abs. 3 ist deshalb entsprechend von „kann“ auf „muss“ abzuändern. Nur Transparenz schafft Vertrauen und Sicherheit im Cyberraum.

2021 wurde im Bundestag das Informationssicherheitsgesetz überarbeitet [3] und Manuel ‚Honkhase‘ Atug, Gründer und Sprecher der unabhängigen AG Kritis als Sachverständiger geladen [4]. In Deutschland existiert bereits seit 1991 ein im Innenministerium angesiedeltes Bundesamt für Sicherheit in der Informationstechnik (BSI). Manuel Atug hat sich intesiv mit den Konstruktionsfehlern des BSI befasst. Die Schweiz könnte nun wertvolle Lehren aus den langjährigen Erfahrungen aus unserem Nachbarland ziehen.

Manuel Atug kritisiert die in der Vorlage vorgesehen Strategie scharf: „Wer Sicherheitslücken zurückhält, um die gesamte Sicherheit im Cyberraum durch offensive Vorgehensweisen zu unterwandern, hat nicht verstanden, wie Resilienz in Systeme eingebracht werden kann. Durch eine strikt defensive Cybersicherheitsstrategie.“

Die Piratenpartei Schweiz fordert die Regierung und das Parlament auf, das Informationssicherheitsgesetz entsprechend zu überarbeiten und den Schutz der Privatsphäre und der Sicherheit im Cyberspace sicherzustellen.

Zum Abschluss fordert die Piratenpartei erneut eine angemessene Berücksichtigung der Digitalisierung in der Bundesverwaltung. Es ist dringend notwendig, dass ein eigenes Departement für Digitalisierung geschaffen wird (mit einem dort angesiedelten Bundesamt für Informationssicherheit), um den Anforderungen der Menschen im täglichen Leben gerecht zu werden. Die Politik muss sich endlich der Bedeutung dieses Themas bewusst werden und entsprechende Massnahmen ergreifen, um eine Digitalisierung im Sinne der Allgemeinheit voranzutreiben.

Quellen:
Aktueller gesetzesentwurf: https://www.fedlex.admin.ch/eli/fga/2023/85/de
Vernehmlassungsantwort Piratenpartei: https://www.piratenpartei.ch/wp-content/uploads/sites/2/2022/04/20220414-Vernehmlassung-ISG-PPS.pdf
[1] https://www.republik.ch/2023/01/19/wie-die-cybersicherheit-bei-amherd-landete
[2] https://www.nzz.ch/schweiz/amherd-holt-das-neue-bundesamt-fuer-cybersicherheit-ins-vbs-ld.1715246
[3] https://ag.kritis.info/2021/03/01/ergebnis-der-sachverstaendigenanhoerung-zum-it-sicherheitsgesetz-2-0/
[4] https://ag.kritis.info/wp-content/uploads/2021/03/A-Drs-19-4-741-C-data.pdf
[5] https://www.piratenpartei.ch/2022/05/31/bundesratserweiterung-und-departement-fuer-digitalisierung/