Der Bund möchte Unternehmen verpflichten, Hackerangriffe künftig zu melden. Wie die
"NZZ" in einem Bericht schreibt, soll die Meldepflicht in einem ersten Schritt für kritische Infrastrukturen gelten. Damit seien Wirtschaftssektoren gemeint, die für das Funktionieren des Landes zentral sind, wie beispielsweise die Energieversorgung, der Verkehr, die Finanzbranche oder die öffentliche Sicherheit. Dafür hat der Bundesrat dem Cyberdelegierten des Bundes und dem Bundesamt für Bevölkerungsschutz den Auftrag erteilt, bis Ende des Jahres eine entsprechende Vorlage auszuarbeiten. Hintergrund des Vorstosses des Bundes ist das Fehlen einer allgemeinen Meldepflicht, wodurch Daten zu Cyberangriffen schwer beizukommen ist, was auch die Entwicklung von Gegenmassnahmen erschwere, so die "NZZ".
Zwar begrüsse die Wirtschaft die Einführung einer Meldepflicht, das Vorhaben stösst jedoch auch auf Skepsis, denn es bringe auch einen Mehraufwand für die Unternehmen. Ausserdem sei für viele noch unklar, was der Bund mit den so gewonnenen Informationen anfangen wolle, wie etwa der Verband der Telekommunikation (Asut) zu bedenken gibt. Darüber hinaus würden viele kritische Infrastrukturen Regulierungen und Meldepflichten für sogenannte ausserordentliche Ereignisse kennen, auch wenn diese sich nicht zwingend und explizit auf Cybervorfälle beziehen würden.
Noch ist aber vieles offen. So ist etwa unklar, welche Art von Angriffen unter die Meldepflicht fallen sollen, denn diese Frage sei äusserst schwierig zu beantworten, wie einem Bericht des Bundesraest vom letzten Dezember zu entnehmen ist. Auch ist noch nicht entschieden, ob Meldungen auch anonym erfolgen dürften, in welchem Zeitraum ein Unternehmen einen Vorfall melden müsste und ob dieses sanktioniert werden könnte, wenn ein Cyberangriff nicht gemeldet wird.
(luc)