Der Nationalrat schrieb das Postulat Glättli (gp, ZH) zur Prüfung von Sicherheitsstandards für Internet-of-Things-Geräte in der Sommersession 2021 ab, nachdem es der Bundesrat mit einem Bericht erfüllt hatte.

Nachdem der Nationalrat im zweiten Anlauf im Sommer 2020 doch noch auf das Geschäft eingetreten war, widmeten sich die eidgenössischen Räte in der Herbstsession der Differenzbereinigung beim Informationssicherheitsgesetz. Der Ständerat, der als Erstes an der Reihe war, zeigte sich in zwei Punkten nicht bereit, den Beschlüssen des Nationalrats zu folgen. Mit stillschweigender Zustimmung strich er erstens den von der Volkskammer eingefügten Absatz, dass der Bundesrat seine Ziele und die Kosten für die Informationssicherheit zwingend den sicherheitspolitischen Kommissionen zur Konsultation vorlegen muss, wieder aus dem Gesetz. Nach Ansicht der SiK-SR war diese Bestimmung überflüssig, was auch Bundesrätin Viola Amherd bekräftigte: Die Fachkommissionen könnten wie die Finanzkommission und die Finanzdelegation jederzeit verlangen, dass sie zu einem Thema konsultiert würden, und dieser Forderung werde immer nachgekommen. Zweitens hielt die Kantonskammer an ihrem Beschluss fest, dass die AHV-Nummer systematisch zur Personenidentifikation im Rahmen des Informationssicherheitsgesetzes verwendet werden darf. Eine Minderheit Zopfi (gp, GL) hatte beantragt, den Beschluss des Nationalrats zu übernehmen, dass die AHV-Nummer nur vorübergehend zur Erzeugung einer nicht zurückrechenbaren Personennummer verwendet werden darf, unterlag jedoch mit 31 zu 10 Stimmen bei einer Enthaltung klar. VBS-Vorsteherin Viola Amherd hatte dem Rat in Erinnerung gerufen, dass er im Juni der Änderung des AHV-Gesetzes zugestimmt habe, das den Behörden generell die systematische Verwendung der AHV-Nummer erlaube; es mache darum keinen Sinn, hier jetzt eine andere Regelung festzuschreiben. In den übrigen, redaktionellen Differenzen schloss sich der Ständerat stillschweigend dem Nationalrat an.
Die zwei vom Ständerat aufrechterhaltenen Differenzen waren anschliessend im Nationalrat hochumstritten. Während die Mehrheit der SiK-NR sich bereit erklärte, auf die ausdrückliche Erwähnung der Konsultationspflicht des Bundesrates zu verzichten, beantragte eine Minderheit Hurter (svp, SH) deren Beibehaltung. Es handle sich dabei um eine «Notbremse», um zu verhindern, dass die Kosten aus dem Ruder laufen, und er verstehe nicht, so Hurter, «warum Sie sich weigern, Informationen zu erhalten». Abgesehen von der geschlossenen SVP-Fraktion und drei Abweichlern aus der Mitte hielt die grosse Kammer diesen Passus jedoch für unnötig und strich ihn endgültig aus dem Gesetz. Während sich eine Minderheit Riniker (fdp, AG) für die systematische Verwendung der AHV-Nummer und damit die Bereinigung auch dieser Differenz starkmachte, wollte die Kommissionsmehrheit am Beschluss festhalten, dass die AHV-Nummer nur einmalig zur Erzeugung einer nicht zurückrechenbaren Identifikationsnummer verwendet werden darf und aus Gründen des Datenschutzes nachher gelöscht werden muss. Die Grundsatzfrage der systematischen Verwendung der AHV-Nummer durch alle Behörden solle im Rahmen der entsprechenden Revision des AHV-Gesetzes geklärt und nicht bereits hier vorweggenommen werden, argumentierte etwa Grünen-Sprecher Balthasar Glättli (gp, ZH). Äusserst knapp mit 90 zu 87 Stimmen bei 9 Enthaltungen erhielt die grosse Kammer diese Differenz aufrecht, womit sich der Ständerat noch einmal damit befassen muss.

In Erfüllung zweier Postulate Glättli (gp, ZH; Po. 17.4295) und Reynard (sp, VS; Po. 19.3199) erstellte der Bundesrat einen Bericht zu Sicherheitsstandards für Internet-of-Things-Geräte. Er hielt darin mehrere Ansatzpunkte für die Gewährleistung der Sicherheit des Internet of Things (IoT) fest. Erstens seien es oft die Nutzerinnen und Nutzer selber, die die Sicherheit ihrer IoT-Geräte durch leichtfertigen Gebrauch oder Einsatz unsicherer Produkte negativ beeinflussten. Hier gelte es, die Bevölkerung verstärkt zu sensibilisieren und zur Einhaltung grundlegender Verhaltensgrundsätze für einen sicheren Betrieb zu motivieren. Zweitens sei es für den sicheren Einsatz von IoT-Geräten in Unternehmen entscheidend, das IoT als integralen Bestandteil der IT-Infrastruktur zu sehen und bestehende Standards für die IT-Sicherheit auch darauf anzuwenden. Hierzu könnten vom Staat Leitfäden erstellt und der Austausch unter Anwenderinnen und Anwendern gefördert werden. Drittens müssten auch die Hersteller von IoT-Geräten ihre Verantwortung wahrnehmen und Mindestanforderungen an die Informationssicherheit und den Datenschutz erfüllen. Der Staat könne dies durch Erlassen entsprechender Richtlinien und Vorschriften unterstützen. Allerdings müssten neue Vorgaben in internationaler Zusammenarbeit erarbeitet werden, da Vorschriften einzelner Staaten keine ausreichende Wirkung auf die Hersteller hätten und damit höchstens zu Marktverzerrungen führen würden. Alles in allem könne bei konsequenter Umsetzung der bestehenden Richtlinien für IoT-Geräte bereits ein hohes Mass an Cybersicherheit erreicht werden. Das Thema werde vom NCSC im Rahmen der NCS weiterverfolgt, kündigte der Bundesrat abschliessend an. Dabei solle geprüft werden, inwiefern Lösungsansätze wirtschaftsverträglich realisiert werden können.

Wie bereits anlässlich der Überweisung des Postulats Reynard (sp, VS) zur Verbesserung der Sicherheit von mit dem Internet verbundenen Produkten angekündigt, erfüllte der Bundesrat das Anliegen im selben Bericht wie das thematisch verwandte Postulat Glättli (gp, ZH; Po. 17.4295). Der entsprechende Bericht zu Sicherheitsstandards für Internet-of-Things-Geräte wurde Ende April 2020 veröffentlicht.

Mit dem Internet verbundene Produkte – etwa «smarte» Haushaltsgeräte, Spielzeuge oder Fahrzeuge und digitale Heimassistenten wie «Siri» oder «Alexa» – erfassen und übermitteln individuelle Daten über ihre Nutzerinnen und Nutzer. Diese Daten seien oft schlecht gesichert und leichte Beute für eine zweckentfremdete Nutzung, stellte Nationalrat Mathias Reynard (sp, VS) fest. Sein Postulat mit dem Auftrag, zu prüfen, wie der Datenschutz in diesem Bereich verbessert werden könnte, überwies die grosse Kammer in der Sommersession 2019 stillschweigend. Der Bundesrat hatte die Annahme des Postulats beantragt, weil er den Auftrag zusammen mit einem bereits 2017 überwiesenen Postulat Glättli (gp, ZH; Po. 17.4295) erfüllen könne.

Mit der stillschweigenden Überweisung eines Postulats Glättli (gp, ZH) forderte der Nationalrat in der Frühjahrssession 2018 den Bundesrat auf, Sicherheitsstandards für Internet-of-Things-Geräte zu prüfen. In der Begründung des Vorstosses identifizierte der Postulant die ans Internet angebundenen Geräte (sogenanntes Internet of Things) als eine der grössten Bedrohungen für die Cybersicherheit in der Schweiz, weil sie bei der Einfuhr zwar Elektronik- und Funkstandards, nicht aber einfachste Grundsätze der Informationssicherheit erfüllen müssten. Der Bundesrat hatte die Annahme des Postulats beantragt, weil er es als sinnvoll erachtete, die im Vorstoss aufgeworfenen Fragen zu untersuchen.

Wie im vergangenen Dezember schon der Ständerat und dessen sicherheitspolitische Kommission stellte im Frühjahr 2018 auch die SiK-NR Handlungsbedarf im Informationssicherheitsmanagement des Bundes fest. Anders als ihre Schwesterkommission, der die kleine Kammer widerstandslos gefolgt war, zweifelte die nationalrätliche Kommission jedoch am Mehrwert, den das Informationssicherheitsgesetz mit sich brächte. Die bedeutendsten Unbekannten im Gesetzgebungsprojekt waren nach wie vor die Kosten und der Personalaufwand im Zusammenhang mit der Umsetzung. Während sich der Ständerat mit der Zusicherung zufriedengegeben hatte, zu den Kosten später noch einmal konsultiert zu werden, beauftragte die SiK-NR die Verwaltung, die Kosten und den Personalaufwand für verschiedene mögliche Sicherheitsniveaus zu beziffern. Es wurden also drei mögliche Szenarien vorgestellt: Ambitionsniveau 1 mit Kosten von CHF 5 Mio. und 9,5 bis 15,5 zusätzlichen Stellen, Ambitionsniveau 2 mit Kosten von CHF 33 bis 58 Mio. und 42 zusätzlichen Stellen sowie Ambitionsniveau 3 mit Kosten von CHF 62 bis 87 Mio. und 78 zusätzlichen Stellen. Für die Kommissionsmehrheit standen diese beträchtlichen Kosten in einem ungenügenden Verhältnis zum Ertrag und darüber hinaus befürchtete sie, der neu geschaffene, komplexe Informationsschutzapparat könnte eine Eigendynamik entwickeln und sich zunehmend der Kontrolle durch das Parlament entziehen. Aus diesen Gründen beantragte die Mehrheit der SiK-NR ihrem Rat Nichteintreten. Eine Minderheit erachtete hingegen den gesamtheitlichen Ansatz der Vorlage als zentral, um die Informationssicherheit beim Bund zu verbessern. Sie hielt die Kosten für vertretbar, da dadurch Sicherheitslücken geschlossen und die Koordination erheblich verbessert werden könne. Einen drohenden Kontrollverlust des Parlaments sah sie nicht und beantragte folglich Eintreten. Die Eintretensdebatte gestaltete sich dementsprechend umfangreich, kontrovers und emotionsgeladen.

Die bürgerlichen Fraktionen machten sich – mit Ausnahme der BDP – für den Nichteintretensantrag stark. Die Kosten entsprächen einer «Blackbox» und es sei «unseriös», nur auf Annahmen gestützt zu entscheiden; anstatt Experimente zu machen, sollten besser bestehende Gesetze angepasst werden, um die Sicherheit zu gewährleisten, so Ida Glanzmann-Hunkeler (cvp, LU) als Vertreterin der CVP-Fraktion. David Zuberbühler (svp, AR) legte die Ansicht der SVP-Fraktion dar: Das Gesetz sei ein neues «Bürokratiemonster», biete nur «Scheinsicherheit» und sei einen konkreten Nutzennachweis bisher schuldig geblieben, weshalb es «brandgefährlich» sei, darauf einzutreten. Für die FDP-Fraktion waren vor allem die Bedenken bezüglich der Kostenfolgen ausschlaggebend dafür, dass man nicht auf das überladene Gesetz und den damit verbundenen «Blindflug» eintrete. Demgegenüber stellte BDP-Fraktionssprecherin Rosmarie Quadranti (bdp, ZH) Eintreten als alternativlos dar; angesichts des Handlungsbedarfs sei Nichtstun jetzt «fahrlässig». Priska Seiler Graf (sp, ZH) hielt als Vertreterin der SP-Fraktion eine regelrechte Brandrede für Eintreten: Das Gesetz werde dringend benötigt und es sei «fatal», dass anstelle der Sicherheitsfragen vielmehr die finanziellen Folgen im Zentrum der Beratungen in der sicherheitspolitischen Kommission gestanden hätten. Sie warf der SiK «Arbeitsverweigerung» vor und wies darauf hin, dass man nach dem Eintreten die Möglichkeit hätte, das – je nach Ansicht überladene, unberechenbare oder lückenhafte – Gesetz zu «entrümpeln». Arbeitsscheue sei in diesem Fall jedoch «geradezu verantwortungslos», denn auch ein Versäumnis ziehe unbezifferbare Kosten nach sich. Ins gleiche Horn blies auch der Grünen-Vertreter Balthasar Glättli (gp, ZH), indem er Nichteintreten als «Dienstverweigerung» bezeichnete und argumentierte, dass Informationssicherheitslecks sowohl Reputations- als auch Finanzschäden zur Folge hätten. Auch Beat Flach (glp, AG) als Sprecher der GLP-Fraktion erschien es unverständlich, weshalb trotz erkanntem Handlungsbedarf nicht eingetreten werden sollte; ein weiteres Mal fiel das Wort «Arbeitsverweigerung». Die Abstimmung ergab schliesslich 117 zu 68 Stimmen für Nichteintreten (8 Enthaltungen). Obschon die Fraktionen der BDP, der SP, der Grünen und der GLP geschlossen für Eintreten votierten, besiegelte die geballte Stimmkraft des SVP-/FDP-/CVP-Blocks mit nur drei Abweichlern den Nichteintretensentscheid.

Die Schaffung eines Cybersecurity-Kompetenzzentrums auf Stufe Bund war im Ständerat kaum bestritten und auch im Vorfeld an die Plenardebatte in der grossen Kammer wurden die Zeichen auf grün gesetzt. Das auf eine Motion Eder (fdp, ZG) zurück gehende Anliegen fand einstimmige Unterstützung in der sicherheitspolitischen Kommission des Nationalrates. Sie kam nach Gesprächen mit Cybersicherheits-Fachpersonen aus der Bundesverwaltung sowie unter Berücksichtigung der bereits laufenden Arbeiten im Bereich der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) und dem entsprechenden Aktionsplan zum Schluss, dass die Motion unterstützt werden soll, denn tiefer greifende Koordination sei im Cyberbereich notwendig. Ein Kompetenzzentrum für Cybersicherheit sei hierzu der richtige Weg.
Kommissionssprecher Glättli (gp, ZH) präzisierte in seiner Einleitung zur Debatte, dass die MELANI nur über beschränkte Personalressourcen verfüge und zudem ihr Auftrag limitiert sei. MELANI, als verwaltungsinterne Koordinationsstelle auch für Cyberkriminalität zuständig, leiste gute Arbeit, so Glättli weiter, es bedürfe aber weiter reichender Kompetenzen für ein eigentliches Kompetenzzentrum. Der anwesende Bundesrat Maurer vertrat auch im Nationalrat die ablehnende Haltung des Siebnerkollegiums: Es werde bereits viel im Cyberbereich unternommen und diverse Expertengruppen würden bald ihre Arbeiten abschliessen. Insofern bat Maurer die Nationalrätinnen und Nationalräte, nicht vorzugreifen. Im Wesentlichen zielten die gegenwärtig angestossenen Prozesse in die gleiche Richtung, wie der Motionär vorgebe, und dies ohne Aufblähung der Verwaltung. Letzteres befürchtete Maurer, falls eine zusätzliche Verwaltungseinheit geschaffen werden müsste. Kommissionssprecher Glättli entgegnete hierauf, dass mit der Motion noch keine operativen Beschlüsse gefasst und die Ausgestaltung und Umsetzung eines solchen Cyber-Kompetenzzentrums Gegenstand weiterer Diskussionen sein würden.
Das Ratsplenum folgte seiner Kommission und hiess die Motion mit 177 zu 2 Stimmen ohne Enthaltungen deutlich gut.