Meldepflicht für IT-Schwachstellen

Die Einführung einer Meldepflicht für erfolgreiche Cyberangriffe bei kritischen Infrastrukturen ist richtig und wichtig. Eine Ausdehnung auf Schwachstellen von betriebskritischen Informatikmitteln ist allerdings kontraproduktiv. Sie erhöht das Sicherheitsrisiko für die Schweiz – und für den Flughafen Zürich. Der Ständerat wird aufgerufen, der ursprünglichen Version des Bundesrates zuzustimmen.

Cyberrisiken ernst nehmen

In den vergangenen Jahren und Monaten ist die Bedrohung durch Cyberrisiken auch für die Schweiz mit ihrer ausgebauten und hoch vernetzten Infrastruktur deutlich ins öffentliche Bewusstsein getreten. Flughäfen, Energieversorger und Telekommunikationsdienstleister zählen zu den kritischen Infrastrukturen und stehen in der Verantwortung. Deshalb unterstützt die Flughafen Zürich AG die Einführung einer Meldepflicht für erfolgreiche Cyberangriffe.

Gut gemeint, aber gefährlich

Allerdings will neben dem Nationalrat auch die sicherheitspolitische Kommission des Ständerats weiter gehen als der Bundesrat. So sollen auch betriebskritische Schwachstellen von Informatik und Computersystemen von kritischen Infrastrukturen meldepflichtig werden. Diese Informationen beschreiben genau die Angriffspunkte für eine Cyberattacke und legen die Schwachstellen offen. Die Gefahr ist gross, dass diese Auflage die Sicherheit der Systeme von kritischen Infrastrukturen nicht stärkt, sondern potenziell gefährdet. Eine Meldung von IT-Schwachstellen und ihre Sammlung an zentraler, staatlicher Stelle setzt voraus, dass das Sicherheitssystem der Behörde absolut geschützt ist. Mögliche Lecks müssen zu jeder Zeit komplett ausgeschlossen werden können. Dass diese Anforderung wenig realistisch und kaum zu erfüllen ist, zeigen verschiedene Vorfälle aus jüngster Vergangenheit, bspw. die Angriffe auf die US-Administration oder den Deutschen Bundestag.

Das Sicherheitsrisiko reduzieren, nicht erhöhen

Ein Grundsatz lautet, dass sicherheitskritische Informationen nie zentral gelagert werden sollen. Dieser wird durch die Meldepflicht nicht eingehalten. Mit der zentralen Sammlung und Speicherung in einer Behörde könnten die Schwachstellen in den Informatiksystemen kritischer Infrastrukturen bei einem Cyberangriff offengelegt werden – und im schlimmsten Fall weitere Angriffe provozieren. Potenziellen Gegnern würde Tür und Tor geöffnet, um kritische Infrastrukturen gezielt anzugreifen und still zu legen. Dies kann weder im Interesse der Betreiber kritischer Infrastrukturen noch des Gesetzgebers sein. 

Mehr Aufwand, weniger Sicherheit

Mit einer Meldepflicht werden diejenigen kritischen Infrastrukturen bestraft, die vorausschauend arbeiten und ihre eigenen Risiken bzw. Schwachstellen kennen. Mit anderen Worten: Wer seine Risiken nicht kennt oder nicht kennen will, kann und muss sie nicht melden. Ein aktives Risikomanagement ist integraler Bestandteil einer gesunden kritischen Infrastruktur und den vorgegebenen Information Security Management Systemen, auch wenn sie dadurch trotzdem nicht von Cyberangriffen gefeit ist. Die Meldepflicht für Schwachstellen in IT- und Computersystemen trägt schliesslich weder den betriebswirtschaftlichen noch den operationellen Möglichkeiten von Unternehmen Rechnung. Für die tägliche Meldung einer hohen Anzahl an Datenpunkten pro Organisation müssten in allen Unternehmen mehr Stellen geschaffen werden, um alle Daten- und Referenzpunkte auswerten zu können. Dies gilt ebenso für den Staat selbst.

Kein Zusatznutzen

Hinzu kommt: Die Meldung von Schwachstellen ergibt kein auswertbares Lagebild. Denn die Kritikalität der Schwachstellen ist von verschiedenen Komponenten abhängig und kann mit unterschiedlichen kompensierenden Massnahmen entschärft werden. Zudem sind nicht alle Schwachstellen gleichermassen exponiert. Der Ständerat wird deshalb aufgerufen, im Sinne der Sicherheit auf die Einführung einer Meldepflicht für IT-Schwachstellen zu verzichten.

Das Thema Cybersicherheit beschäftigt aktuell das nationale Parlament, dich als Leiter ICT schon deutlich länger. Wie hoch steht es bei dir auf der Agenda und was unternimmt die Flughafen Zürich AG in diesem Bereich?

Cybersicherheit ist für uns essenziell und wie eine Endlosschleife: Wir setzen Massnahmen um, die Angreifer finden neue Angriffsmöglichkeiten, wir kontern wiederum usw. Für diesen Wettlauf brauchen wir solid gebaute Anwendungen und Infrastrukturen (Grundschutz), gute Möglichkeiten zur Detektion von Angriffen und Mittel für die Reaktion, falls ein Angriff erfolgreich sein sollte. In der Konsequenz bedeutet dies, dass wir in all diesen Themengebieten regelmässig investieren.

Neu will der Bund ein nationales Zentrum für Cybersicherheit schaffen und eine Meldepflicht einführen. Wie siehst du diese Entwicklung?

Die Gefahr von Cyberangriffen ist ein internationales Problem, welches im virtuellen Raum besteht und kaum Grenzen kennt. Ich begrüsse es daher sehr, dass dem Thema auf nationaler Ebene mehr Gewicht verliehen wird. Die Meldepflicht für erfolgreiche Cyberangriffe auf kritische Infrastrukturen finde ich gut. Dies erlaubt uns, die entsprechenden Angriffsvektoren zu schliessen, falls diese auch bei uns bestehen. Der Austausch zwischen dem Nationalen Zentrum für Cybersicherheit (NCSC) und den kritischen Infrastrukturen schafft für uns Mehrwert und erhöht die Cybersicherheit. Schon heute befinden wir uns in einem konstruktiven Austausch mit dem NCSC.

Nicht einverstanden ist die Flughafen Zürich AG mit der geplanten Meldepflicht für betriebskritische IT-Systeme. Was sind deine Bedenken?

Auf den Gesetzesentwurf bezogen sehe ich die Problematik einerseits in der Definition und Interpretation dessen, was eine Schwachstelle ist. Andererseits gehen von solchen zentralen Sammlungen grosse Gefahren aus. Es wäre sehr kritisch, wenn die Informationen über die Schwachstellen in die Hände eines Angreifers gelangen. Dazu kommt: Als Flughafen setzen wir kaum gleiche Systeme und Software ein, wie die anderen Flughäfen bzw. wie andere kritische Infrastrukturen. Die zentrale Erfassung der Schwachstellen ergibt so keinen Mehrwert, führt aber zu potenziell viel Aufwand bei hohem Risiko.