Schutzschild vor analogen und digitalen Angriffen

Die deutsche Industrie ist eng in globale und digitale Wertschöpfungsnetzwerke verflochten. Damit bietet sie eine große Angriffsfläche, die von konkurrierenden Wirtschaftsakteuren und Staaten zunehmend ausgenutzt wird. Für die Zukunft muss ein Schutzschild aufgebaut werden, das analogen Wirtschaftsschutz und Cybersicherheit als Einheit betrachtet. Eine ganzheitliche Sicherung der Industrie bis 2025 braucht politische Strategien bis hin zu operativen Maßnahmen.

Mit einem umfassenden Schutzschild kann Deutschland zukünftig deutlich resilienter gegen analoge und digitale Angriffe werden. In den vergangenen 12 Monaten waren 84 Prozent der deutschen Unternehmen von Datendiebstahl, Industriespionage oder Sabotage betroffen. Laut BKA-Kriminalstatistik wurden allein 2021 12,1 Prozent mehr Fälle (146.363) von Cyberkriminalität angezeigt als 2020. Mit einem ganzeinheitlichen Ansatz kann vermieden werden, dass Know-how an Dritte abfließt und damit die langfristige ökonomische Resilienz und der soziale Zusammenhalt hierzulande gefährdet wird. Schließlich ist eine stabile Wirtschaft Fundament für unsere moderne Gesellschaft, für den Erfolg innovativer Ideen und für das außen-, entwicklungs- und sicherheitspolitische Engagement Deutschlands. Kurzfristige Veränderungen auf Arbeitsebenen in Behörden und Unternehmen sind hierfür nicht ausreichend. Nur eine langfristige und strategische Anpassung der Rahmenbedingungen wird den Schutz und die Resilienz des hiesigen Wirtschaftsstandorts gegenüber Sicherheitsrisiken nachhaltig stärken.

Was ist zu tun?

• KRITIS-Dachgesetz zusammen mit der Wirtschaft entwickeln: Das Bundeskabinett hat am 7. Dezember 2022 auf Empfehlung des Bundesministeriums des Innern und für Heimat die Eckpunkte für ein KRITIS-Dachgesetz angenommen. Der BDI begrüßt die Erarbeitung eines KRITIS-Dachgesetzes ausdrücklich, sieht für dessen Erfolg jedoch eine enge Einbindung als zwingend. Ferner müssen der Schutz vor physischen und digitalen Bedrohungen ganzheitlich gedacht und regulatorisch umgesetzt werden. Eine Aufteilung behördlicher Zuständigkeiten und unternehmerischer Meldepflichten in analoge und digitale Vorkommen entspricht nicht der aktuellen Gefährdungslage.
• Schutz der Wirtschaft in Nationale Sicherheitsstrategie einbetten: Das Auswärtige Amt erarbeitet federführend für die Bundesregierung die im Koalitionsvertrag vorgesehene Nationale Sicherheitsstrategie. Die erste ihrer Art in der 73-jährigen Geschichte der Bundesregierung. Vor dem Hintergrund des völkerrechtswidrigen russischen Angriffskriegs gegen die Ukraine ist die Erarbeitung einer ganzheitlichen und ambitionierten sicherheitspolitischen Strategie mehr als angezeigt. Als Garant für Wohlstand sollte die deutsche Industrie zentrale Säule der Nationalen Sicherheitsstrategie werden und die angelsächsische Prämisse „economic security is national security“ auch in Deutschland gelten.
• Sicherheitsüberprüfungen von Mitarbeitenden unterstützen: Staatliche Stellen müssen Unternehmen dabei unterstützen, die Gefahr von sogenannten „Innentätern“ zu minimieren, indem beispielsweise für Mitarbeitende in Cybersicherheitsfunktionen Sicherheitsüberprüfungen (Ü1) beantragt werden können. Diese Möglichkeit sollte spätestens 2024 bei Implementierung der NIS-2- und CER-Richtlinie der Europäischen Union flächendeckend für alle Unternehmen erfolgen.
• Digitale Wirtschaftskriminalität entschieden verfolgen: Das IT-Sicherheitsgesetz 2.0 sowie die europäische NIS 2-Richtlinie sehen vor, dass Unternehmen mit hohen Bußgeldern bestraft werden können, wenn sie nicht alle gesetzlich vorgeschriebenen Cybersicherheitsmaßnahmen umsetzen. Zwar ist es richtig, dass Unternehmen in ihre Cyberresilienz investieren müssen und der Staat eine etwaige Nicht-Compliance ahnden kann, jedoch sollte die Politik vielmehr die Verursacher von Cyberkriminalität bestrafen und dazu die Strafverfolgung im Digitalen durch eine bessere personelle und finanzielle Ausstattung der zuständigen Behörden gewährleisten.
• Cyberresilienz digitaler Produkte stärken: Schwachstellen in Produkten mit digitalen Elementen sind ein potenzielle Angriffsvektor. Mit dem Cyber Resilience Act hat die Europäische Kommission einen wegweisenden Verordnungsvorschlag vorgelegt, um die Cyberresilienz von Produkten signifikant zu erhöhen. Die Einführung von risikoadäquaten Cybersicherheitsanforderungen basierend auf dem New Legislative Framework sowie von Anforderungen an das Schwachstellenmanagement von Herstellern dieser Produkte wird das Sicherheitsniveau Europas nachhaltig erhöhen.