Einen «Meilenstein für die Cybersicherheit in der Schweiz» nennt die zuständige Behörde die Meldepflicht, die am 1. April in Kraft tritt. Im Fall einer Cyberattacke müssen die Betreiber kritischer Infrastrukturen den Vorfall künftig innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (Bacs) melden.
SRG und Keystone-SDA gelten als kritische Infrastruktur
Die neue Regelung betrifft neben staatlichen Einrichtungen aus Bereichen wie der Energie- oder Gesundheitsversorgung auch Medienunternehmen. SRG und Keystone-SDA gelten gemäss Gesetz als kritische Infrastruktur. Sie «nehmen im Schweizer Mediensystem eine spezifische Rolle ein, insbesondere im Bereich der Grundversorgung mit Informationen sowie im Krisen- und Katastrophenfall», erklärt eine Bacs-Sprecherin die Beschränkung der Meldepflicht auf diese beiden Unternehmen im Medienbereich.
Für SRG und Keystone-SDA ändere sich ab 1. April nicht viel, erklären beide Medienunternehmen auf Anfrage, zumal sie schon heute eng mit den Behörden kooperieren. Neu sei lediglich die Pflicht für eine entsprechende Meldung, teilt ein SRG-Sprecher mit. Keystone-SDA sieht das ebenso. Den Mehrwert der Meldepflicht sieht CEO Hanspeter Kellermüller darin, dass dadurch die Frühwarnung und Reaktionsfähigkeit gestärkt werden und ein umfassenderes Lagebild der Cyberrisiken in der Schweiz entsteht. «Angesichts des enormen Gefahrenpotenzials ist das bestimmt ein wichtiger Schritt», so Kellermüller.
Piraten plädierten für breitere Meldepflicht
Das Lagebild wäre vielleicht noch umfassender, wenn nicht nur die SRG und Keystone-SDA der Meldepflicht unterlägen. Eine solche Ausweitung auf die grossen privaten Medienunternehmen forderte etwa die Piratenpartei im Rahmen der Vernehmlassung zur Einführung der Meldepflicht. «Unserer Ansicht nach sind grosse Medienkonzerne wie Tamedia, NZZ oder Ringier genauso relevant wie SRG und SDA und haben eine ähnliche Verantwortung», teilt Jorgo Ananiadis, Präsident der Piratenpartei Schweiz, auf Anfrage mit. Der Hackerangriff auf den Login-Dienst OneLog und die bis heute ausgebliebenen Informationen für die Nutzerinnen und Nutzer zeigten, dass «es auch für solche grossen Medienunternehmen strengere gesetzliche Auflagen» brauche, so Ananiadis.
Ganz am Anfang des Gesetzgebungsverfahrens wurde die Frage tatsächlich diskutiert, ob weitere Medienunternehmen in die Meldepflicht einbezogen werden sollten, wie das Bacs auf Anfrage bestätigt. «Man hat sich jedoch für eine fokussierte Lösung entschieden und den Kreis der meldepflichtigen Organisationen auf diejenigen beschränkt, deren Ausfall oder Beeinträchtigung weitreichende Auswirkungen auf das Funktionieren von Staat, Wirtschaft und Gesellschaft haben würde», heisst es heute beim Bacs.
VSM wollte «möglichst liberale Umsetzung»
Gegen eine Ausweitung der Meldepflicht auf private Medien machte sich der Verlegerverband Schweizer Medien (VSM) stark. Man habe sich zusammen mit anderen Akteuren für «eine möglichst liberale Umsetzung eingesetzt», erklärt Andreas Zoller, verantwortlich für Public Affairs beim VSM. Wobei «liberal» in diesem Zusammenhang freiwillig bedeutet. Genau so wollen es die grossen Verlage auch handhaben. CH Media etwa, vor zwei Jahren selbst Opfer eines Cyberangriffs, will aus freien Stücken mit den Behörden zusammenarbeiten, sollte es wieder zu Vorfällen kommen. «Auch wenn wir nicht zur Meldung von Cybervorfällen verpflichtet sind, werden wir relevante Vorfälle dennoch proaktiv melden», teilt die Medienstelle von CH Media auf Anfrage mit. Die NZZ, die damals vom gleichen Angriff wie auf CH Media betroffen war, will sich heute nicht zum Thema äussern.
Die Branchenverbände von Privatradio und -fernsehen, VSP und Telesuisse, empfehlen ihren Mitgliedern, allfällige Angriffe dem Bacs zu melden und «die hilfreiche Unterstützung wahrzunehmen», so VSP-Geschäftsführer Peter Scheurer. Das Bundesamt begrüsst die freiwilligen Meldungen. Ja mehr noch: «Dies ist sogar ausdrücklich erwünscht, um eine möglichst vollständige Lagebeurteilung zu ermöglichen und andere potenziell Betroffene warnen zu können», erklärt das Bacs auf Anfrage.
