Regulierung von IT-Schwachstellen: wirkungslos und unnötig

Was haben ein Flughafen, ein Energieversorger, ein Telekommunikationsanbieter, Banken und die Post gemeinsam? Sie alle gehören zu den kritischen Infrastrukturen der Schweiz. Im Hinblick auf betriebskritische Informatikmittel hingegen sind praktisch keine Gemeinsamkeiten mehr zu entdecken. Als solche gelten Systeme, die für das Funktionieren der jeweiligen Infrastruktur zentral sind. Während in der Aviatik u. a. die Luftverkehrsüberwachung als betriebskritisch gilt, sind es bei der Energieversorgung die Stromproduktion und der Netzbetrieb oder bei Banken das Zahlungssystem. Mit anderen Worten: Betriebskritische IT-Systeme von kritischen Infrastrukturen können nicht pauschal miteinander verglichen werden, weil kaum die gleichen Systeme und Softwares eingesetzt werden (siehe Box unten).

Im Rahmen der Differenzbereinigung des Informationssicherheitsgesetzes will die sicherheitspolitische Kommission des Nationalrats an ihrer Bestimmung festhalten, wonach eine Meldepflicht nicht nur für Cyberangriffe, sondern auch für nicht öffentlich bekannte Schwachstellen bei betriebskritischen Informatikmitteln gelten soll. Die Kommission erhofft sich einen besseren Überblick über die Situation und eine präventive Wirkung. Fälschlicherweise wird aber angenommen, dass die gleichen IT-Komponenten in verschiedensten Infrastrukturen eingesetzt werden. Für Standard-Software wie beispielsweise Microsoft Word mag dies zwar gelten, diese sind jedoch nicht betriebskritisch.

Zwar sollen gemäss der Kommission Eigenentwicklungen von der Meldepflicht ausgenommen werden. Dies ist ein positiver Schritt, geht aber zu wenig weit. Denn viele kritische Infrastrukturen, darunter auch jene der Flughafen Zürich AG, verfügen über massgeschneiderte und individuelle IT-Systeme von Drittanbietern. Diese sind in ihrer Architektur und im Nutzen einzigartig und werden in der Schweiz (oder sogar weltweit) von keiner weiteren Infrastruktur identisch verwendet. Eine Meldepflicht für Schwachstellen ist daher wirkungslos, da andere nicht von dieser profitieren können.

Eine Meldepflicht, ohne dass andere Organisationen einen Mehrwert davon haben, führt lediglich zu einem zusätzlichen administrativen Aufwand. Dazu kommt: Durch die Sammlung und zentrale Speicherung der IT-Schwachstellen kritischer Infrastrukturen beim Bund entsteht für potentielle Angreifer ein sehr spannendes Ziel. Die Gefahr ist gross, dass im Fall eines Cyberangriffs auf die staatliche Behörde, diese Schwachstellen offengelegt werden – und im äussersten Fall gezielt für Cyberangriffe auf die kritischen Infrastrukturen genutzt werden. Dies kann nicht im Sinne der Betreiber kritischer Infrastrukturen noch des Gesetzgebers sein.

Mit der Streichung der Meldepflicht für Schwachstellen könnte das Gesetz vom Nationalrat final verabschiedet werden. Die Flughafen Zürich AG unterstützt die Einführung einer Meldepflicht für erfolgreiche Cyberangriffe seit Beginn an. Der Nationalrat wird deshalb aufgerufen, der Version von Bundesrat und Ständerat zuzustimmen.