INFORMATIONSSICHERHEIT: Wirtschaft gegen Sicherheitsgesetz

Mit dem neuen Informationssicherheitsgesetz sollen Firmen, die sich um öffentliche Aufträge bewerben, durchleuchtet werden. Nun formiert sich Widerstand.

Eva Novak
Drucken
Teilen
Der Bund möchte wissen, wer an seinen Systemen hantiert. (Bild: Martin Rütschi/Keystone (Zürich, 29. Juni 2011))

Der Bund möchte wissen, wer an seinen Systemen hantiert. (Bild: Martin Rütschi/Keystone (Zürich, 29. Juni 2011))

Eva Novak

Der weltweite Angriff mit dem Computer-Schadprogramm WannaCry ist nur das jüngste Beispiel: Lücken in der IT-Sicherheit werden gnadenlos ausgenützt. Doch gegen das neue Informationssicherheitsgesetz, mit dem der Bund diese Lücken schliessen will, formiert sich neuerdings Widerstand. In den Anhörungen vor der Sicherheitspolitischen Kommission des Ständerats haben Wirtschaftsvertreter den Gesetzesentwurf diese Woche regelrecht in der Luft zerrissen. Er drangsaliere Unternehmen und Bürger, schaffe eine Scheinsicherheit und sei gleichzeitig voller Belanglosigkeiten sowie undurchführbarer Bestimmungen, lautet der Tenor.

Dabei schien das Gesetzeswerk noch bis vor kurzem unbestritten. Bestellt hatte es der Bundesrat 2010 beim Verteidigungsdepartement VBS, nachdem Hacker virtuell ins Aussendepartement eingedrungen waren, ­ um geheime Informationen zu stehlen. In der Vernehmlassung brachten vor allem die Kantone Vorbehalte an – denn das Gesetz betrifft sie ebenfalls, soweit sie Aufgaben des Bundes umsetzen.

Wer mit dem Bund arbeitet, wird durchleuchtet

Auf Fundamentalopposition aus der Wirtschaft war niemand gefasst, denn diese hatte zunächst nicht realisiert, dass auch Unternehmen betroffen sind, sobald sie sich um öffentliche Aufträge bewerben. «Weil es als Verwaltungsgesetz verkauft worden war, hat kaum jemand so richtig hingeschaut», räumt Henrique Schneider, stellvertretender Direktor des Schweizerischen Gewerbeverbandes (SGV), selbstkritisch ein. «Erst später ist uns aufgegangen, welches Dynamit drinsteckt», formuliert es Jean-Marc Hensch, der als Geschäftsführer des IT-Anbieterverbandes Swico die Position des Wirtschaftsdachverbandes Economiesuisse vertritt.

Der grösste Teil des Sprengstoffs ist im Kapitel «Betriebssicherheitsverfahren» verborgen. Unter diesem Titel enthält die Vorlage eine Reihe von Vorschriften für öffentliche Beschaffungen – ohne Rücksicht auf die Tatsache, dass es dazu ein eigenes Bundesgesetz über die öffentlichen Beschaffungen gibt, das unter Federführung des Finanzdepar­tements zufällig auch gerade revidiert wird, um es an die neusten Vorschriften der Welthandelsorganisation WTO anzupassen. Koordiniert sind die beiden Revisionen nach Überzeugung der Wirtschaftsvertreter nicht.

Wie sichere Beschaffungen nach Vorstellung des VBS aussehen sollen, demonstriert Schneider am Beispiel eines Kabelverlegebetriebs mit drei Mitarbeitern, der Telefonkabel im Parlamentsgebäude verlegen oder ein Gerichtsgebäude ans Glasfasernetz anschliessen möchte. Egal ob der Kleinstbetrieb selber offeriert oder als Subunternehmen an einer Bietergemeinschaft teilnimmt, er wird auf Herz und Nieren geprüft. Dabei werden nach dem Buchstaben des neuen Gesetzes nicht nur polizeiliche und betriebliche Daten über den Betrieb und seine Mitarbeiter gesammelt, sondern auch nachrichtendienstliche.

«Undurchführbare Heimatschutzbestimmung»

Das ist laut Schneider umso stossender, als «vor knapp einem Jahr hoch und heilig versprochen wurde, das neue Nachrichtendienstgesetz werde nur höchst zurückhaltend verwendet». Als untragbar bezeichnet es der SGV-Vize, dass auch öffentlich zugängliche Daten nicht nur über die Firma, sondern auch über deren Mitarbeiter für die Beurteilung zugezogen werden sollen. Im Extremfall könne das dazu führen, dass die Firma den Auftrag nicht bekommt, weil ein Mitarbeiter in den sozialen Netzwerken einen zweifelhaften Auftritt hinlegt. «Wir leben doch nicht in einer Sklavenhaltergesellschaft, in der ein Arbeitgeber seinen Mitarbeitern vorschreibt, was sie auf Twitter oder Facebook posten», enerviert sich Schneider.

Kleinbetriebe könnten die Bestimmungen fast nicht erfüllen, befindet auch Swico-Chef Hensch. Es brauche abgestufte Verfahren, um das Gesetz KMU-verträglicher zu gestalten.

Kritisch beurteilen die Wirtschaftsvertreter überdies den Gesetzesartikel, wonach ausländische Unternehmen automatisch als Sicherheitsrisiko eingestuft werden. Hensch spricht von einer «aufwendigen, diskriminierenden und praktisch undurchführbaren Heimatschutzbestimmung». Derweil Schneider die Frage aufwirft, ob Bundesangestellte und Bundesparlamentarier künftig noch Apple-Computer, Samsung-Smartphones oder Google einsetzen dürften.

Bis kommenden August hat das VBS Zeit, die Kritik zu entkräften und zu erklären, ob und wozu es all die 92 Artikel zum Schutz der Informationen und Computersysteme beim Bund braucht. Danach wird die Kommission entscheiden, ob sie das Gesetz an den Absender zurückschickt, wie es der Gewerbeverband verlangt. Oder ob sie die Herausforderung annimmt und den Entwurf vollständig überarbeitet – und bei dieser Gelegenheit entschlackt. Zum Beispiel um Bestimmungen wie Artikel 13, Absatz 4: «Die Klassifizierungsvermerke sind in Grossbuchstaben zu schreiben.»