Gesetz zur Informationssicherheit5 min read

Aus sicherheitspolitischen Gründen ist es notwendig, auch beim Bund Mindeststandards im Bereich der Informatiksicherheit zu setzen. Das vom Bundesrat ausgearbeitete Gesetz entspricht den Standards von einem gängigen Schweizer Unternehmen. Das Parlament gab es aufgrund der Kosten zur Überarbeitung an den Bundesrat zurück.

Auch die Informationssicherheit beim Bund muss an die Herausforderungen der Informationsgesellschaft angepasst werden. Mit dem Informationssicherheitsgesetz (17.028) will der Bundesrat einen einheitlichen formell-gesetzlichen Rahmen dafür schaffen.

Meine Voten in den Diskussionen im Nationalrat, in denen sich schlussendlich alles um Geld anstatt um Sicherheit drehte:


Was ist schon sicher? Das ist eine Frage, die vorhin gestellt wurde, um zu rechtfertigen, dass man gar nicht erst in die Diskussion einsteigen will, wie man die Informatiksicherheit im Bund im Zusammenhang mit kritischen Infrastrukturen verbessern kann. Dieses Parlament – oder zumindest diese Kommission – hat schon ein wenig ein Problem der Abwägung. Wenn es darum geht, unbescholtene Schweizerinnen und Schweizer zu überwachen, den Internetverkehr einer Totalüberwachung zu unterziehen, wenn es darum geht, mit Netzsperren neue Märkte zu schaffen, dann ist keine technische Massnahme, keine Ausgabe gross genug. Wenn man dann jeweils sagt, die totale Sicherheit sei nicht erreichbar, wird einem entgegengehalten, man sei ein Träumer.
Hier ist ein Gesetz, das nicht totale Sicherheit will, nicht totale Sicherheit verspricht, sondern das verspricht umzusetzen, was in jedem anständigen Unternehmen in diesem Land Standard ist – nämlich dass man sich Richtlinien gibt, wie man die Informationssicherheit im eigenen Haus kohärent sicherstellt. Man weiss, dass es nichts bringt, wenn jeder für sich etwas bastelt. Man muss Kohärenz haben, weil die verschiedenen Einheiten ja auch miteinander verbunden sind, und wenn irgendwo ein Einfallstor ist, kann dort auch die stark befestigte Vordertür der anderen Abteilung umgangen werden.
Mir scheint auch, dass viele Kolleginnen und Kollegen die Grundlagen der parlamentarischen Mittel nicht ganz begriffen haben. Ich erkläre jeweils unseren neuen Ratsmitgliedern, was der Unterschied ist zwischen Nichteintreten und Rückweisung. Nichteintreten heisst, man sieht keinen Bedarf an Regulierung. Das ist das, was Sie uns jetzt in der Mehrheit beantragen, obwohl Sie gleichzeitig in Ihren Voten immer sagen: Natürlich, die Cybersicherheit, das ist ein grosses Problem.
Wenn Sie meinen, der Bundesrat habe untauglich legiferiert – das darf man ja meinen, ich bin nicht derjenige, der wie eine Salzsäule vor dem Bundesrat erstarrt -, dann geben Sie ihm mit einer Rückweisung einen klaren neuen Auftrag. So macht man das, sorry. Das andere ist einfach Dienstverweigerung.
Dann haben Sie gesagt, man müsse die Frage besser in einzelnen Gesetzen regeln. Ich muss Ihnen sagen, wenn Sie diese Vorlage – 99 Seiten – anschauen, sehen Sie, dass die Hälfte Änderungen in anderen Erlassen betrifft. Das ist genau das: dass man in einzelnen Erlassen eben anpasst, was nötig ist. Dann sagen Sie, man erteile einen Blankoscheck, und überhaupt zielt die ganze Argumentation vor allem auf die Finanzen ab. Jetzt muss ich Ihnen sagen: Ein Informationssicherheitsleck kann nicht nur einen Reputationsschaden zur Folge haben, sondern ganz klar auch finanzielle Auswirkungen. Wir sprechen hier zum Beispiel von sogenannt kritischer Infrastruktur, also von Stromnetzen oder so. Ein Stromausfall ist dann also nicht einfach gratis. Mich würde es eigentlich noch interessieren, ob die ganze Finanzkommission das so sieht oder ob es nur der Vertreter der Finanzkommission war, der eigentlich meinte, man sollte hier im besten Falle gar keinen Franken investieren. Er hat überhaupt nicht davon gesprochen, dass hier nicht nur Sicherheitsrisiken, sondern auch finanzielle Risiken hintendran hängen, wenn wir keine einheitlichen Standards schaffen.
Es kann doch nicht sein, dass man hier jetzt sagt, man wolle alles schon im Detail wissen, was dann in den Verordnungen steht. Man hätte ja die Möglichkeit, die Verordnungen zu sehen – der Bundesrat nickt. Man könnte sogar sagen, man wolle, dass die Verordnungen durchs Parlament müssten. Das kann man. Das ist auch ein parlamentarisches Recht, das man hat, wenn man will.
Hier sagen Sie, dass wir nicht abstimmen, wenn wir nicht alles schon bis ins Detail wissen. Und die Gleichen sind es dann, die vom Volk einen Blankocheck für 8 Milliarden Franken für Rüstungsgeschäfte wollen, bei denen man nicht einmal weiss, wie viel für Flieger und wie viel für Luftverteidigung ausgegeben wird. Also wenigstens ein bisschen Kohärenz möchte ich von Ihnen schon erwarten dürfen; das darf man in der politischen Auseinandersetzung. Und ich muss Ihnen sagen: Wenn Sie hier jetzt nicht eintreten, dann möchte ich einmal ein Moratorium von einem halben Jahr und dass nicht alle immer sagen, Cybersicherheit, Cybersicherheit, Cybersicherheit und der Bundesrat mache seine Aufgaben nicht.


Wir haben nicht nur den Mitbericht, sondern wir haben auch einen Sprecher der Finanzkommission bekommen. Wir wissen ja, Mitberichte sind am Schluss immer Kompromisswerke, die versuchen, die gemeinsame Haltung der Kommission oder der grossen Mehrheit der Kommission darzustellen. Die Art und Weise, wie der Sprecher der Finanzkommission diesen Mitbericht dargestellt hat, das, was wir vom Bericht durch die Livepräsenz mitgekriegt haben, ist einer der wesentlichen Hintergründe dafür, dass jetzt alle so argumentieren, wie sie hier in den letzten 60, 65 Minuten argumentiert haben.
Es haben nämlich alle gesagt: Wir haben Angst vor den finanziellen Folgen. Sie haben aber jene Aufgabe, die Sie, Herr Kollege, zu Recht beschrieben haben, überhaupt nicht gemacht. Sie haben zu Recht gesagt: Unsere Aufgabe als Sicherheitspolitische Kommission ist die Prüfung, ob das aus sicherheitspolitischen Gründen notwendig ist. Da sage ich Ihnen: Ja, es ist aus sicherheitspolitischen Gründen notwendig, Mindeststandards im Bereich der Informatiksicherheit zu setzen. Wer das nicht will, der lebt wirklich auf einem anderen Planeten oder in einer anderen Zeit.