Expertenstatement zur gesetzliche Meldepflicht für Cyberangriffe
Gesetzliche Meldepflicht für Cyberangriffe auf kritische Infrastruktur in der Schweiz
Saskia Bormann
Incident Response Engineer
ITRIS One AG
Was gilt als «kritische Infrastruktur»?
Als kritische Infrastruktur (Fachbegriff KRITIS) gelten insgesamt 19 Bereiche (Art. 74b ISG). Bekannteste Beispiele sind Unternehmen aus den Bereichen Energie- oder Wasserversorgung, Transportwesen, Gesundheitswesens, Rundfunk- und Nachrichten, Hochschulen, Banken oder Behörden. Darin gibt es auch Ausnahmen (Art. 74c ISG, Art. 12 CSVO), die die Meldepflicht einschränken, sobald nur geringe Abhängigkeit von Informationstechnik besteht oder Ausfälle geringe Auswirkungen auf die Volkswirtschaft hätten (z.B. ein Imbiss in Lebensmittelsektor).
Explizit eingeschlossen hingegen sind auch die Lieferketten, also Anbieter von Dienstleistungen für KRITIS, wozu wichtige Betreiber von Onlineinfrastruktur und Clouddiensten, sowie Lieferanten von Hard- oder Software gehören.
Wann muss gemeldet werden?
Zwingend ist die Meldung in erster Linie, wenn die Funktionsfähigkeit der KRITIS gefährdet oder von Unterbrüchen betroffen ist (Art. 74d ISG). Dies geschieht in der Regel durch Cyberangriffe, die nicht abgewehrt werden konnten, darunter auch Überlastungsangriffe, wie DDoS-Attacken. Ebenso relevant sind Infiltrationen, die erst nach mehr als 90 Tagen entdeckt werden und möglicherweise der Vorbereitung eines grösseren Angriffs dienen.
Ausserdem schliesst die Regelung die Manipulation oder den Abfluss von Informationen durch Unbefugte ein (Art. 24 DSG). Und weiterhin Erpressungs-, Drohungs- oder Nötigungsaktionen gegen Betreiber kritischer Infrastrukturen oder deren Mitarbeiter.
Darüber hinaus sind Meldungen freiwillig, aber willkommen. Sie sollten mit dem Gedanken geschehen, dass die eigene Erfahrung anderen als Warnung dienen und in Gefahr weiterhelfen kann.
Was ist bei einer Meldung zu tun?
Innerhalb von 24 Stunden nach Bekanntwerden eines erfolgreichen Cyberangriffs oder eines anderen meldepflichtigen Zwischenfalls muss die Meldung beim Bundesamt für Cyber-Sicherheit (BACS) eingehen. Dies kann – entweder durch die betroffene Organisation oder einen Dienstleister – klassisch per E-Mail erfolgen. Alle zu dem Zeitpunkt bekannten Informationen sollten inkludiert werden: Erkenntnisse zur Ausführung des Angriffs und seinen Auswirkungen, die ergriffenen Gegenmassnahmen und das geplante weitere Vorgehen.
Idealerweise geschieht die Meldung jedoch über eine Onlineplattform, den Cyber Security Hub (CSH) des BACS. Dort befindet sich ein Formular, das nicht nur einfache Meldungen erlaubt, sondern eventuelle andere Meldepflichten – wie EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) und FINMA (Eidgenössische Finanzmarktaufsicht) – mit bedienen kann. Ausserdem kann der Antragsteller die dortige Meldung im Verlauf von 14 Tagen mit weiteren Erkenntnissen und hilfreichen Informationen ergänzen.
Das BACS empfiehlt ausdrücklich die kostenlose Mitgliedschaft im CSH, die es KRITIS-Betreibern ausserdem ermöglicht, sich über die aktuelle Bedrohungslage zu informieren und mit anderen als relevant eingestuften Organisationen auszutauschen.
Was passiert nach der Meldung?
Ist der Ernstfall eingetreten, wird das BACS organisatorisch, vermittelnd und mit Hintergrundinformationen zur Seite stehen. Beispielsweise können Erkenntnisse aus früheren Zwischenfällen gezielt zur weiteren Aufklärung und Bewältigung eingesetzt werden. Auf Seiten des BACS dagegen kann der Einfluss des Ereignisses auf die Volkswirtschaft abgeschätzt und bei Bedarf reguliert werden.
Kommentar: Meldepflicht ist Chance, kein notwendiges Übel
Saskia Bormann, Incident Response Engineer, ITRIS-CSIRT
Nichts liegt näher, als das neue Gesetz als eine weitere lästige und plötzliche Compliance-Anforderung für Unternehmen abzutun. Doch das wäre voreilig. Einerseits erfolgte die Ankündigung dieses Gesetzes bereits 2023, im Rahmen europaweiter Massnahmen.
Andererseits hat das Bundesamt für Cyber-Sicherheit (BACS) als ausführende Stelle für die Massnahme klar den unterstützenden Charakter der geforderten Meldungen betont. Es gehe nicht darum, die Opfer von Angriffen zu bestrafen, sondern um die notwendige Unterstützung und Organisation ihrer Verteidigung. Wer einmal Opfer eines Angriffs geworden ist, soll zudem andere an seinen Erkenntnissen teilhaben lassen, egal ob verpflichtend oder freiwillig. Davon können andere Betroffene nur profitieren.
Zunächst gibt es Grenzen für den Geltungsbereich. Neben der Schonfrist bis 1. Oktober bei Nichtbefolgung der Meldepflicht hat das BACS hervorgehoben, dass Sanktionen nicht für Versäumnisse gelten, sondern erst bei bewusster Ignoranz von Tätigkeitsaufforderungen drohen.
Es ist aber zu bedenken, dass die Schweiz eines der auserkorenen Ziele der immer besser organisierten kriminellen sowie staatlichen Akteure ist. Sie schlagen heute häufiger und gezielter zu, um den angerichteten Schaden und damit ihren Erfolg zu maximieren. Auf unserer Seite muss diesem Treiben eine hochwertige Verteidigung koordiniert entgegengesetzt werden.
Mittlerweile wird klar: Die Meldung und die gemeinsame Abwehr von Cybersicherheitsvorfällen ist im Interesse aller. Das Team der ITRIS One steht ihnen tatkräftig mit Unterstützung zur Seite.