„Wirtschaften ist im Digitalzeitalter ohne Cybersicherheit nicht möglich!“
Entscheiderinnen und Entscheider der deutschen Wirtschaft sehen Cybervorfälle als zweitgrößtes Geschäftsrisiko. Informationen zur aktuellen Cyberlage und ein solides persönliches Netzwerk sind neben technischen und organisatorischen Cybersicherheitsmaßnahmen von herausgehobener Bedeutung, um sich bestmöglich vor Cyberkriminalität zu schützen. Daher haben das Bundesministerium des Innern und für Heimat (BMI), die Deutsche Industrie und Handelskammer und der BDI Ende November 2023 im Rahmen des Nationalen Cyber-Sicherheitsrats der Bundesregierung (NCSR) den ersten Berliner Cybersicherheitsgipfel veranstaltet. Unter dem Motto „Deutschlands Cyberresilienz strategisch stärken“ haben 270 Teilnehmerinnen und Teilnehmer sich zu aktuellen Cyberbedrohungen ausgetauscht, die aktuelle Cybersicherheitsgesetzgebung analysiert und notwendige Schritte zur Weiterentwicklung der Nationalen Cyber-Sicherheitsstrategie diskutiert.
BDI-Präsident Siegfried Russwurm betonte: „Die Stärkung der Cyberresilienz der InnoNation – des Industrie- und Innovationsstandorts Deutschland – ist eine Herkulesaufgabe. Nur wenn wir täglich in Cybersicherheit investieren, können wir die Potenziale der digitalen Transformation heben, Prozesse in Staat und Wirtschaft am Laufen halten und damit auch unsere globale Wettbewerbsfähigkeit aufrechterhalten.“
Deutsche Industrie investiert in Cyberschutz
Wirtschaften ist im Digitalzeitalter ohne Cybersicherheit nicht möglich. Diesem Grundsatz folgend, investieren Industrieunternehmen zunehmend in Cybersicherheit, setzen komplexe, risikoadäquate Cybersicherheitsmaßnahmen um und kommen damit den gestellten gesetzlichen Anforderungen nach. Zudem schulen immer mehr Unternehmen ihre Mitarbeiterinnen und Mitarbeiter.
Aktuelle Studien zeigen, dass im vergangenen Jahr die durchschnittlichen Cybersicherheitsaufgaben deutlich gestiegen sind. Gaben Unternehmen im Jahr 2022 noch neun Prozent ihres IT-Budgets für Cybersicherheitsmaßnahmen aus, so sind es aktuell bereits 14 Prozent. Das macht sich auch bei der deutsche IT-Sicherheitsindustrie bemerkbar: Ihre IT-Sicherheitslösungen sind gefragt wie nie. Der deutsche IT-Sicherheitsmarkt beläuft sich auf 8,5 Milliarden Euro und weist ein jährliches Wachstum von zehn Prozent auf.
Die Deutsche Industrie spricht sich zudem für einheitliche Cybersicherheitsanforderungen an digitale Produkte aus. Der von der EU-Kommission vorgelegte Cyber Resilience Act geht maßgeblich auf eine Initiative der deutschen Industrie und der deutschen Standardisierungsorganisationen zurück. Die Verordnung wird ab 2027 dafür sorgen, dass in Europa nur noch solche vernetzbaren Produkte, wie Smartphones, Industrieroboter oder Smart Home Devices, erwerbbar sind, die risikoadäquate Cybersicherheitsanforderungen umsetzen. Denn wir sind überzeugt: Alle vernetzbaren Produkte müssen ein risikoadäquates Cybersicherheitsniveau erfüllen.
Auch die besten Cyberschutzmaßnahmen können jedoch nicht verhindern, dass Cyberkriminelle ein Unternehmen erfolgreich angreifen. Das verdeutlichen die unlängst bekanntgewordenen Angriffe auf Industrieunternehmen, Betriebskrankenkassen und den Einzelhandel. Je professioneller die IT- und OT-Sicherheit eines Unternehmens aufgestellt ist, desto souveräner kann es im Fall der Fälle jedoch mit einem Angriff umgehen, desto schneller ist das Unternehmen wieder voll handlungsfähig. Investitionen in die Cybersicherheit sind daher essenzieller Beitrag für zur Business-Continuity.
Cyberresilienz verlangt kollektives Handeln
Mit der NIS-2-Richtlinie und der Richtlinie zum Schutz kritischer Einrichtungen hat der europäische Gesetzgeber den rechtlichen Rahmen an die aktuellen Sicherheitsherausforderungen angepasst. Jetzt gilt es, die darin enthaltenen Anforderungen konsequent und möglichst bürokratiearm umzusetzen.
Dafür muss die Bundesregierung folgende Schritte ergreifen:
- Physischen und digitalen Schutz konsistent regulieren und implementieren: Gute Regulierung ist leicht verständlich, praxisnah und umsetzbar. Daher muss beim NIS-2-Umsetzungsgesetz und dem KRITIS-Dachgesetz gelten: Beide Gesetze müssen „Kritische Anlagen“ identisch definieren und nach einheitlichen Schwellenwerten identifizieren. Bereits ohne die neuen gesetzlichen Anforderungen fehlen in Deutschland über 100.000 IT-Security-Expertinnen und -Experten. Der bestehende Fachkräftemangel darf nicht künstlich durch überkomplexe, bürokratische Melde- und Registrierungspflichten befeuert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sollten für die Meldung und Registrierung auf das von Bayern und Bremen geschaffene Organisationskonto setzen.
- Cyberresilienz der öffentlichen Verwaltung stärken: Der BSI-Lagebericht hat es unlängst gezeigt: Jeden Monat wurden zwei Kommunen Opfer von Ransomware. Ende Oktober 2023 hatte der Cyberangriff auf einen IT-Dienstleister weitreichende Auswirkungen auf 70 nordrhein-westfälische Kommunen. Personalausweise und Kfz-Zulassungen konnten in Folge nicht mehr beantragt und Bauanträge nicht mehr geprüft werden. Cyberangriffe auf Kommunen bedrohen zunehmend die digitale und grüne Transformation Deutschlands. Der Gigabitausbau und die Energiewende kommen zum Erliegen, wenn Kommunen über Wochen aufgrund eines Cyberangriffs handlungsunfähig sind und ohnehin langwierige Verwaltungsverfahren zusätzlich ausgebremst werden. Daher ist es zwingend erforderlich, auch die Länder und Kommunen zu verpflichten die Cybersicherheitsanforderungen der NIS-2-Richtlinie zu implementieren.
- Staat-Wirtschafts-Kooperation intensivieren: Die Stärkung der Cyberresilienz des Standorts kann nur als Team erfolgreich gelingen. Daher sind Kooperationsformate wie der Nationale Cyber-Sicherheitsrat und die Allianz für Cybersicherheit, von herausgehobener Bedeutung. Staat und Wirtschaft müssen diese Initiativen für den Informationsaustausch zu aktuellen Cybersicherheitsmaßnahmen sowie -bedrohungen besser als bisher nutzen.