Cyberbedrohungen – Politik will Hosting und Cloud-Anbieter stärker in die Pflicht nehmen

Nachdem der Nationalrat in der Sommersession die Motion 25.3011 „Die Rolle von Hosting- und Cloud-Anbietern bei der Bewältigung von Cyberbedrohungen stärken“ seiner sicherheitspolitischen Kommission (SiK-N) angenommen hat, hat nun auch der Ständerat die Motion angenommen. Damit beauftragt das Parlament den Bundesrat, gesetzliche Grundlagen zu schaffen, welche Hosting und Cloud-Anbieter bei der Bewältigung von Cyberbedrohungen mit „den nötigen“ Rechten und Pflichten ausstatten soll.  

Swico erachtet Cybersicherheit als ein gemeinsames Anliegen von Staat und Privatwirtschaft. Die aktuelle Regulierung und private Massnahmen (namentlich der Code of Conduct Hosting (CCH) ) funktionieren bereits heute. Zudem waren für die Branche die Zielsetzung und das Anliegen der Motion unklar. Sie bringt unseres Erachtens nicht mehr Cybersicherheit, sondern mehr Bürokratie. Es drohen überdies Rechtsunsicherheit und Umsetzungsprobleme. Swico hat daher bereits im Vorfeld empfohlen, die Minderheit der Kommission zu unterstützen, die den gesetzgeberischen Handlungsbedarf zuerst eruieren wollte, bevor reguliert wird. Hätte der Gesetzgeber Regulierungsbedarf gesehen, dann wäre unseres Erachtens das Informationssicherheitsgesetz der richtige Regulierungsort und nicht das Fernmeldegesetz (FMG).  

Dies scheint auch Bundesrat Rösti so zu sehen. Er nahm in seinem Votum Bezug auf die Bedenken der Branche und deutete an, dass das Informationssicherheitsgesetz der Regulierungsort sein dürfte. Er betonte überdies, dass es um Massnahmen gehe, die auf technische und operative Aufgaben und Aspekte beschränkt sind. Sie beziehen sich nicht auf die gehosteten Inhalte. 

Fernmeldegesetz als der falsche Ansatz 

Die Regulierung über das Fernmeldegesetz wäre für Swico sachfremd und würde weitere Rechtsunsicherheit schaffen. Die Motion zieht falsche Analogien zwischen Fernmeldedienstanbietern (FDA) sowie Hosting und Cloud-Anbietern. FDA müssen die fernmeldetechnische Übertragung von Informationen sicherstellen. Hosting- und Cloud-Anbieter hingegen sind privatrechtlich geregelt und unterliegen weder der Netzneutralität noch der Transportpflicht. Unseres Erachtens würde die Unterstellung unter das FMG zu Abgrenzungsschwierigkeiten bei den Rechten und Pflichten führen. Die Motion würde de facto den Datenschutz schwächen und zentrale rechtsstaatliche Grundlagen wie das Fernmeldegeheimnis in Frage stellen, da die Hosting- und Cloud-Anbieter die Daten ihrer Kunden überwachen müssten.  

Eine Überregulierung soll dringend vermieden werden

Ständerätin Andrea Gmür legt in der Debatte dar, dass Hosting- und Cloud-Anbieter bei der Bewältigung von Cyberbedrohungen eine zentrale Rolle spielen. Das ist unseres Erachtens korrekt und wir möchten betonen, dass Hosting- und Cloud-Anbieter bereits über die notwendigen Rechte und Pflichten verfügen, um mit Cyberbedrohungen umzugehen. Sie ergreifen eigenständig Schutzmassnahmen und halten sich an geltendes Recht.

FDP-Ständerat Hans Wicki brach eine Lanze für die IT-Branche und betonte, dass sich diese bereits heute für die Cybersicherheit einsetze und im internationalen Vergleich sehr gut dastehe. Darum müsse zuerst geklärt werden, ob überhaupt Regulierungsbedarf bestehe.

Der Ständerat sprach sich mit 26 zu 14 Stimmen für die Motion aus. Das heisst, dass die Motion überwiesen und umgesetzt wird. Swico wird die Umsetzung verfolgen und darauf pochen, dass diese schlank umgesetzt wird. Wir fordern insbesondere, dass bei der Umsetzung der Motion auf die Einführung von weiteren Pflichten für Schweizer Anbieter mit Sitz in der Schweiz und kooperierenden Unternehmen zwingend zu verhindern sind. Unseres Erachtens müsste die Praxis bei Zuständigkeiten und Meldewegen präzisiert und den kooperierenden Unternehmen nicht unnötige neue Pflichten auferlegt werden. Die kommende Regulation muss schlank umgesetzt werden und darf keinesfalls im Fernmeldegesetz erfolgen, sondern wie vom Bundesrat Rösti signalisiert im Informationssicherheitsgesetz.