Der Bundesrat will dafür sorgen, dass Computersysteme in der Bundesverwaltung besser vor Angriffen und Missbrauch geschützt sind. Das geplante Gesetz fällt im Nationalrat jedoch durch. Die Ratsmehrheit zweifelt am Nutzen und fürchtet hohe finanzielle Folgen.
Mit 117 zu 68 Stimmen bei acht Enthaltungen beschloss der Nationalrat am Dienstag, nicht auf das Gesetz einzutreten. Die Mehrheit war der Auffassung, dass ein zu grosser und zu komplexer Informationsschutzapparat aufgebaut würde, der eine Eigendynamik entfalten und sich zunehmend der Kontrolle des Parlaments entziehen könnte.
Der Handlungsbedarf wurde dabei von den meisten Rednern nicht grundsätzlich in Frage gestellt. Erkannte Probleme sollten aber mit bestehenden Gesetzen und mit einer besseren Koordination beim Bund gelöst werden, erklärte Alois Gmür (CVP/SZ) im Namen der Kommission.
Ein Kritikpunkt waren auch die unklaren Kosten. Je nach Umsetzung müssten zwischen neun und 78 Stellen geschaffen werden, monierte David Zuberbühler (SVP/AR). Marcel Dobler (FDP/SG) forderte eine klare Kostenplanung mit einem Preisschild.
Kommission im Rat unter Beschuss
Eine Minderheit sah dagegen einen klaren Handlungsbedarf für einen gesamtheitlichen Ansatz. Mit dem neuen Gesetz könnten die Sicherheitslücken geschlossen und die Koordination stark verbessert werden, argumentierte Carlo Sommaruga (SP/GE).
Nicht gelten liess er auch den Einwand, das Gesetz könnte sich zunehmend der Kontrolle des Parlaments entziehen. Die Räte besässen die Budgethoheit, die nötige Kontrolle sei gewährleistet.
Für Kritik sorgte das Vorgehen der Kommission. Es sei fahrlässig, nicht auf das Gesetz einzutreten, betonte Rosmarie Quadranti (BDP/ZH). Priska Seiler Graf (SP/ZH) warf der Kommission gar Arbeitsverweigerung vor. «Sie hätten es in der Hand gehabt, das Gesetz zu entrümpeln.»
Balthasar Glättli (Grüne/ZH) argumentierte, es sei kurzsichtig, nur auf die Finanzen zu schielen und die Sicherheit davon abzukoppeln. Cyberangriffe auf kritische Infrastrukturen wie etwa Stromnetze seien kostspielig.
Bundesrat will günstiges Szenario
Verteidigungsminister Guy Parmelin plädierte vergeblich dafür, auf das Gesetz einzutreten. Dieses sei einer der Grundpfeiler der Cyberstrategie des Bundes. Parmelin räumte ein, das Gesetz sei technisch und kompliziert, müsse aber an die digitale Zeit angepasst werden.
Zu den Kosten sagte Parmelin, der Bundesrat sehe das günstigste Szenario vor, das er vorgeschlagen habe. Dies führe zu Kosten von fünf Millionen Franken pro Jahr. Die Details würden in der Verordnung festgelegt werden. Dafür müsse das Parlament aber zuerst das Gesetz verabschieden.
Standards für Schutz
Mit dem Entscheid des Nationalrates geht die Vorlage zurück an den Ständerat, der das Gesetz ohne Gegenstimme angenommen hatte. Heute finden sich die rechtlichen Grundlagen verstreut in verschiedenen Erlassen. Mit dem neuen Gesetz soll ein einheitlicher Rahmen für alle Bundesbehörden geschaffen werden. Es enthält auch Grundsätze zum Schutz von Informationssystemen.
Unbestritten war im Ständerat auch eine Ergänzung, welche die vorberatende Kommission vorgeschlagen hatte. Demnach sollen die Behörden künftig die AHV-Nummer systematisch als Personenidentifikator verwenden dürfen.
Damit stellt sich die Kommission gegen die kantonalen Datenschutzbeauftragten. Diese wünschen eine Entwicklung in die andere Richtung: Vor kurzem forderten sie die Kantone auf, künftig auf den Gebrauch der AHV-Nummern zur Personenidentifikation zu verzichten. Das Risiko einer missbräuchlichen Verwendung ist aus ihrer Sicht zu hoch. (sda)