Resilienz stärken, Schutzschild vor analogen und digitalen Angriffen aufbauen
Die deutsche Industrie ist eng in globale und digitale Wertschöpfungsnetzwerke verflochten. Damit bietet sie eine große Angriffsfläche, die von konkurrierenden Wirtschaftsakteuren, Staaten, Extremisten, Terroristen und Kriminellen zunehmend ausgenutzt wird. Der Aufbau eines Schutzschildes, das analogen Wirtschaftsschutz und Cybersicherheit als Einheit betrachtet, ist schon lange mehr als überfällig.
Mit einem umfassenden Schutzschild kann Deutschland zukünftig deutlich resilienter gegen analoge und digitale Angriffe werden – ein notwendiges „Muss“, angesichts der erhöhten Bedrohungslage. Denn seit dem völkerrechtswidrigen Angriff Russlands auf die Ukraine im Februar 2022 stehen deutsche Unternehmen verstärkt im Fokus von Angreifern: In den vergangenen 12 Monaten waren 72 Prozent der deutschen Unternehmen von Datendiebstahl, Industriespionage oder Sabotage betroffen. Laut BKA-Kriminalstatistik wurden allein 2023 mehr als 134.000 Fälle von Cyberkriminalität angezeigt
– und das dürfte nur die Spitze des Eisbergs sein, denn die Mehrzahl der Betroffenen zeigt Cyberkriminalität nicht an. Ähnliches gilt für physische Angriffe. Diese reichen von Farbschmierereien über zerstörte Glasscheiben und Säureangriffe bis hin zu Brandanschlägen. Die angegriffenen Unternehmen stammen laut Angaben des Bundesamtes für Verfassungsschutz (BfV) aus so unterschiedlichen Branchen wie beispielsweise Energie, Rüstung, Luft- und Raumfahrt, Logistik, Software, Halbleiter, Finanzen, Unternehmensberatung und Wirtschaftsprüfung.
Ein ganzeinheitlicher Präventionsansatz, der alle Bereiche der physischen Sicherheit von Mitarbeitenden, Produktionsstätten, logistischer Infrastruktur und Lieferwegen genauso wie Cyber-Sicherheit, die Auswahl und Überprüfung von Mitarbeitenden, deren Schulung und Sensibilisierung umfasst, kann Risiken bedeutend verringern.
Umfassende Maßnahmen zur Sicherheit unserer Unternehmen fördern zudem langfristige ökonomische Resilienz und verhindern, dass der soziale Zusammenhalt hierzulande gefährdet wird. Schließlich ist eine stabile Wirtschaft Fundament für unsere moderne Gesellschaft, für den Erfolg innovativer Ideen und für das außen-, entwicklungs- und sicherheitspolitische Engagement Deutschlands. Kurzfristige Veränderungen auf Arbeitsebenen in Behörden und Unternehmen sind hierfür nicht ausreichend. Nur eine langfristige und strategische Anpassung der Rahmenbedingungen wird den Schutz und die Resilienz des hiesigen Wirtschaftsstandorts gegenüber Sicherheitsrisiken nachhaltig stärken.
Was ist zu tun?
- Integrierte Sicherheit umsetzen, Wirtschaft schützen, Silodenken überwinden: Als Garant für Wohlstand ist die deutsche Industrie eine zentrale Säule unserer nationalen Sicherheit. Daher begrüßt der BDI, dass die neue Nationale Sicherheitsstrategie dem Leitbild der integrierten Sicherheit folgt: Die geopolitischen und sicherheitspolitischen Herausforderungen, denen unsere global verflochtene Wirtschaft ausgesetzt ist, bedürfen einer kohärenten sowie strategisch geleiteten Außen-, Sicherheits- und Verteidigungspolitik. Hierfür gilt es, die zuständigen Ressorts und Bundesbehörden aufs engste miteinander zu verzahnen und das nach wie vor bestehende Silodenken zu überwinden. Die künftige nationale Wirtschaftsschutzstrategie muss hierfür entsprechend wegweisende Weichen stellen. Ein „Weiter-So“ im Wirtschaftsschutz wird der aktuellen Bedrohungslage nicht gerecht.
- Zuständigkeitswirrwarr zum Schutz von KRITIS beseitigen: Die Erhöhung der Sicherheit kritischer Infrastrukturen (KRITIS) hat vor dem Hintergrund der aktuellen geopolitischen Lage eine neue Dringlichkeit erhalten. Das KRITIS Dachgesetz zur Umsetzung der europäischen CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen kommt somit zum richtigen Zeitpunkt: es ist eine große Chance, das seit Jahren bestehende Zuständigkeitswirrwarr im KRITIS Schutz zu durchbrechen, bundeseinheitliche Regelungen und bundesbehördliche Zuständigkeiten in allen KRITIS-Sektoren festzulegen. Insbesondere föderale Zersplitterungen gilt es zu beseitigen. Nur so kann ein „All-Gefahren-Ansatzes“ deutschlandweit erfolgreich implementiert werden.
- Verzahnung von analogem und digitalem Schutz: Um die deutsche Wirtschaft im Kontext zunehmender hybrider Bedrohungen bestmöglich vor Angriffen zu schützen, bedarf es eines ganzheitlichen Ansatzes, der digitalen und physischen Schutz ressort- und behördenübergreifend aufgreift. Eine Aufteilung behördlicher Zuständigkeiten und unternehmerischer Meldepflichten in analoge und digitale Vorkommen entspricht nicht der aktuellen Gefährdungslage. Zudem befeuern überkomplexe, bürokratische Melde- und Registrierungspflichten den ohnehin bestehenden Fachkräftemangel im Sicherheitsbereich. Die in der nationalen Sicherheitsstrategie anvisierte Weiterentwicklung einer nationalen Wirtschaftsschutzstrategie und der Cybersicherheitsstrategie muss dies unbedingt aufgreifen, wie auch KRITIS-Dachgesetz und NIS2UmsuCG auf regulatorischer Ebene möglichst eng zu verzahnen sind.
- Vertrauenswürdigkeitsüberprüfungen von Mitarbeitenden unterstützen: Staatliche Stellen müssen Unternehmen dabei unterstützen, die Gefahr von sogenannten „Innentätern“ zu minimieren, indem beispielsweise für Mitarbeitende in Cybersicherheitsfunktionen Vertrauenswürdigkeitsüberprüfungen beantragt werden können. Diese Möglichkeit sollte bei der aktuell laufenden Implementierung der NIS-2- und CER-Richtlinie der Europäischen Union flächendeckend für alle Unternehmen erfolgen.
- Digitale Wirtschaftskriminalität entschieden verfolgen: Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sieht vor, dass Unternehmen mit hohen Bußgeldern bestraft werden können, wenn sie nicht alle gesetzlich vorgeschriebenen Cybersicherheitsmaßnahmen umsetzen. Zwar ist es richtig, dass Unternehmen in ihre Cyberresilienz investieren müssen und der Staat eine etwaige Nicht-Compliance ahnden kann, jedoch sollte die Politik vielmehr die Verursacher von Cyberkriminalität bestrafen und dazu die Strafverfolgung im Digitalen durch eine bessere personelle und finanzielle Ausstattung der zuständigen Behörden gewährleisten.
- Cyberresilienz digitaler Produkte stärken: Schwachstellen in Produkten mit digitalen Elementen sind ein potenzielle Angriffsvektor. Mit dem Cyber Resilience Act hat die Europäische Kommission einen wegweisenden Verordnungsvorschlag vorgelegt, um die Cyberresilienz von Produkten signifikant zu erhöhen. Die Einführung von risikoadäquaten Cybersicherheitsanforderungen basierend auf dem New Legislative Framework sowie von Anforderungen an das Schwachstellenmanagement von Herstellern dieser Produkte wird das Sicherheitsniveau Europas nachhaltig erhöhen.