8 Handlungsfelder zur Verbesserung der IT-Sicherheit

Dieser Beitrag wurde am von in Allgemein, News veröffentlicht. Schlagworte: .


8 Handlungsfelder zur Verbesserung der IT-Sicherheit

von Volker Wagner

Die deutsche Wirtschaft befindet sich mitten im Prozess der digitalen Transformation. Durch  unterschiedliche nationale Regulierungen stellt dies insbesondere für global vernetzte Unternehmen eine enorme Herausforderung dar. Auch nach Einführung des IT- Sicherheitsgesetzes im Jahr 2015 hat sich die Cyber-Bedrohungslage trotz großer Anstrengungen seitens der Wirtschaft, der Wissenschaft und des Staates weiter verschärft.

Abwehrmaßnahmen und die Sicherheitsinformationstechnologie haben nicht Schritt gehalten  mit den erfolgten Cyberangriffen. Für Kriminelle wie auch für fremde Nachrichtendienste sind Cyberangriffe über das Internet hochattraktiv, da eine Vielzahl von Schwachstellen in Soft- und Hardwareprodukten permanent neue Ansatzpunkte für die Entwicklung von Schadprogrammen liefern und durch die Möglichkeiten der Anonymisierung die Zurechenbarkeit von Angriffen erschwert wird.

Umgekehrt hat unsere Gesellschaft ein vitales Interesse an sicheren und resilienten Wirtschaftsunternehmen – und dies beschränkt sich nicht nur auf Betreiber kritischer Infrastrukturen und deren Aufgaben für die öffentliche Daseinsvorsorge, sondern gilt auch für Unternehmen mit hohem Schadenspotenzial bei Störfällen und für Unternehmen, deren wirtschaftliches Gedeihen in hohem Maße bedeutsam für das Prosperieren unserer Volkswirtschaft ist.

Cybersicherheit ist ein entscheidender Erfolgsfaktor, da nur ein notwendiges Maß an Sicherheit für Anwender und Kunden Vertrauen in Digitalisierung schafft. Deshalb hat auch die Industrie selbst ein sehr hohes Eigeninteresse, ihre IT-Systeme abzusichern. Nicht zuletzt, um die eigene wirtschaftliche Leistungs- und Wettbewerbsfähigkeit sicherzustellen.

Im Rahmen der Digitalisierung von Gesellschaft und Wirtschaft hat sich das Rollenverständnis von Staat und Wirtschaft gewandelt. Es ist erforderlich, dass der Staat angesichts der Bedeutung von Cybersicherheit stärkere Verantwortung in der Abwehr übernimmt, und dass gleichzeitig die Fähigkeiten der Anwender zur Selbstverteidigung durch Hilfe zur Selbsthilfe verbessert werden.

Daher ist die Zielsetzung der Bundesregierung begrüßenswert, die Cyberresilienz für den Wirtschaftsstandort Deutschland zu erhöhen – auch über kritische Infrastrukturen hinaus, wie es im Referentenentwurf durch die Einbeziehung von „Infrastrukturen im besonderen öffentlichen Interesse“ vorgeschlagen wird. Damit dies gelingen wird, sind nachstehende  Handlungsfelder zu empfehlen:

1. Frühzeitig mehr Regelungstransparenz für Branchen und Unternehmen
Der Begriff „Unternehmen im besonderen öffentlichen Interesse“ führt nicht zu Klarheit, sondern zu Rechtsunsicherheit bei den möglicherweise betroffenen Unternehmen. Die Einführung des Terminus „Unternehmen im besonderen öffentlichen Interesse“ ist zu unbestimmt. Insbesondere fehlt eine Benennung konkreter Kriterien, warum eine Infrastruktur und deren Anlagen als „im besonderen öffentlichen Interesse“ eingestuft werden.

2. Schwellwerte und Zeitspanne für Implementierung an der Praxis ausrichten
Besorgniserregend ist, dass trotz Einführung des ersten IT-SiGe im Jahr 2015 die Bedrohungslage weiter gestiegen ist. Deswegen ist es umso wichtiger, dass bei der Novellierung auf den Erfahrungen der letzten vier Jahre aufgebaut wird. Der Austausch über eindeutige quantitative und qualitative Schwellenwerte zu Meldepflichten ist erforderlich. Vorteilhaft wäre es, hier nicht nach Trial and Error vorzugehen, sondern dazu aus den bisherigen praktischen Erfahrungen zu den Meldungen aus den aktuellen KRITIS-Sektoren zu lernen.

3. Bußgelder: Keine Sanktionierung bei unklaren Regelungen
Solange es keine Klarheit zu den konkreten Anforderungen gibt, darf es keine Sanktionierung geben. Dies gebieten allein schon grundlegende Rechtsprinzipien wie Normenklarheit und Normenbestimmtheit. Generell sind die Unternehmen aus eigenem Antrieb höchst interessiert, IT-Ausfälle zu vermeiden und ihrer unternehmerischen Verantwortung gegenüber Kunden, Aktionären und Investoren nachzukommen. Es bedarf

4. Informationsanspruch der Unternehmen
Sofern Meldepflichten notwendig sind, um ein Lagebild zu bekommen, wäre es wünschenswert, dass der Meldeverpflichtung der Unternehmen auch ein Recht gegenübersteht, bevorzugt mit den Informationen versorgt zu werden, die für ihre Sicherheit von Bedeutung sind. Diese Forderung begründet sich in der Einstufung dieser Unternehmen als Teil der  Sicherheitsarchitektur der Bundesrepublik Deutschland.

5. Konkrete Hilfestellungen und gemeinsames Krisenmanagement
Im Angriffsfall bedarf es einer konkreten Hilfestellung durch das BSI. Es sollte daher über ein Rahmenwerk zur Ergänzung bzw. Erweiterung der mobilen Eingreiftruppen durch Public-Private-Partnerships nachgedacht werden. Dazu gehört auch die Einbindung der Wirtschaft in das Nationale Cyber-Abwehrzentrum und ein Konzept zur gemeinsamen Incident Response von Staat und Wirtschaft. Als Beispiel kann die US National Cyber-Forensics & Training Alliance genannt werden, wo staatliche und privatwirtschaftliche Akteure gemeinsam erfolgreich an der Aufklärung von Cyberattacken und an der Analyse von Tatwerkzeugen arbeiten.

6. Staatliche Nutzung von Schwachstellen begrenzen
Gewonnene Erkenntnisse über Schwachstellen müssen unbedingt mit den KRITIS-Unternehmen und den Unternehmen im besonderen öffentlichen Interesse geteilt werden. Generell sollte gelten, dass staatliche Stellen entsprechend angewiesen werden, bekanntgewordene Sicherheitslücken unverzüglich zu melden. Wir haben Verständnis für das Bedürfnis zur Nutzung von Schwachstellen, um Terrorismus und Kriminalität effektiv bekämpfen zu können. Daher muss dies in begrenztem Umfang – unter Anwendung von klaren Regeln und  Transparenz – ermöglicht werden. Beispielhaft könnten für die Nutzung von Lücken eine zeitliche Begrenzung oder Schwellwerte bezüglich der Anzahl bzw. der Kritikalität der betroffenen Systeme festgelegt werden. Im Zweifelsfall muss gelten: Schließen statt nutzen.

7. Qualitätssicherung über Stichprobenüberprüfung von IT-Komponenten
Das Vorhaben der Bundesregierung, im Projekt IT-Sicherheitskennzeichen ein Gütesiegel für IT-Sicherheit einzuführen, ist richtig. Perspektivisch müssen alle Wertschöpfungspartner entlang der Cybersicherheitswertschöpfungskette (Hersteller von Routern, Switches, Kernkomponenten aus der Produktion) entsprechend ihrer Verantwortung für die Gewährleistung von IT-Sicherheit verpflichtet werden – dies betrifft im besonderen Maße Hard- und Softwarehersteller. Grundsätzlich ist die Erfassung der Kernkomponenten sowie der Hersteller ein erster richtiger Schritt. Auch der eingeschlagene Weg zur Untersuchung der Sicherheit der Informationstechnik muss weiterverfolgt werden. Dies kann aber nur gelingen, wenn ein Weg aufgezeigt wird, wie wirklich allen Marktteilnehmern die gleichen Bedingungen geboten werden. Die letzten Jahre haben weltpolitisch leider gezeigt, dass alte, als unverbrüchlich geltende staatliche Beziehungen ihren Wert verlieren und auch heute bereits die Auswahl von Produkten in zunehmendem Maße auf internationaler Ebene politisch beeinflusst werden. Betreiber benötigen hier Investitionssicherheit und die Sicherheit, nicht indirekt zum politischen Spielball zu werden.

8. Stärkung internationaler Zusammenarbeit zur Bekämpfung der Cyberkriminalität
Im Rahmen der Cyberaußenpolitik muss sich die Bundesregierung dafür einsetzen, dass jeder Staat seine Bemühungen zur Erhöhung der Cybersicherheit intensiviert und kritische IT-Infrastrukturen besser gegen Attacken geschützt werden. Außerdem muss intensiv gegen Cyberkriminalität vorgegangen werden. Mittelfristiges Ziel muss die Verabschiedung eines verbindlichen Abkommens für verantwortliches Handeln im Cyberraum sein. Darüber hinaus bedarf es eines intensiveren Ressourcen- und Kapazitätsaufbaus im Verantwortungsbereich der Staaten, um – gerade häufig auch supranationale – Cyberkriminalität wirksam zu bekämpfen. Hier muss auf internationaler Ebene, über die Multi-Stakeholder- Ansätze hinaus, noch  intensiver zusammengearbeitet werden.

 

Es ist erforderlich, dass der Staat angesichts der Bedeutung von Cybersicherheit stärkere Verantwortung in der Abwehr übernimmt.

Volker Wagner
Vorstandsvorsitzender, ASW Bundesverband (Allianz für Sicherheit in der Wirtschaft e.V.), und Vice President Group Security, BASF SE