Dass die Digitalisierung immer mehr Lebensbereiche durchdringt, ist bekannt. Allerdings halten sich Bedenken bezüglich der Cyber-Sicherheit vehement. Genau das wird zu einem Problem. Denn: Das Vertrauen von Unternehmen in das digitale Netz ist eine Grundvoraussetzung für den Wirtschaftsstandort Deutschland. Deshalb klärt die acatech jetzt über Cyber Security auf.
Wir stellen Ihnen die aktuelle acatech-Publikation vor.
acatech – was ist das eigentlich?
Falls Sie nicht mit der acatech vertraut sind: Es handelt sich dabei um die Deutsche Akademie der Technikwissenschaften. Sie wird von Bund und Ländern gefördert und gilt sozusagen als „Stimme der Technikwissenschaften“ im In- und Ausland. Ein besonderer Wert kommt ihr wegen ihrer Beraterrolle für Politik und Gesellschaft zu.
Mitglieder dieser nationalen Akademie sind Wissenschaftler aus Ingenieur- und Naturwissenschaften, aus Medizin, Geistes- und Sozialwissenschaften. Dazu gesellen sich sogenannte Senatoren. Sie sind Vertreter aus technologieorientierten Unternehmen, Vereinigungen und Wirtschaftsorganisationen. Kurz gesagt: Hier trifft geballtes Wissen aufeinander, mit dem gemeinsamen Ziel, die Innovationskraft und technologische Leistungsfähigkeit Deutschlands zu stärken.
Als ein probates Mittel für den wissenschaftsbasierten Dialog über technologiebezogene Zukunftsfragen haben sich die zahlreichen Projekte und Publikationen des Zusammenschlusses erwiesen – darunter die Publikationsreihe acatech Horizonte. In ihnen findet das Expertenwissen Ausdruck und fließt sowohl in Gesellschaft als auch in politische Entscheidungsprozesse ein.
acatech Horizonte widmet sich Cyber Security
Für die neueste Ausgabe der Publikationsreihe acatech Horizonte (Juli 2019) haben sich die Experten das Thema Cyber Security vorgenommen. Warum? Weil Politik, Wirtschaft und Privatleute um dieses Thema einfach nicht mehr drumrum kommen. Stichwort: Digitalisierung. Ihr werden zwar entscheidende Potenziale zugeschrieben, aber zugleich öffnet sie Tür und Tor für jene, die Böses im Schilde führen.
Dazu liefert das Vorwort eine wichtige Hintergrundinformation: Jedes zweite deutsche Unternehmen ist aktuell von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen. Und eine weitere: Weltweit kursierten im Jahr 2018 geschätzt sieben Millionen geklaute Identitäten von Privatpersonen, die von Cyber-Kriminellen missbraucht werden könnten.
Nun können solche Informationen – durch die Medien aufgebauscht – die weit verbreitete Angst vor der Digitalisierung schüren. Das ist aber nicht das Ziel. Vielmehr geht es den acatech-Experten darum, eine fundierte, seriöse Diskussionsgrundlage zu schaffen und Handlungsempfehlungen zum Thema Cyber Security auszusprechen. Die genauen Inhalte stellen wir Ihnen im Folgenden vor.
Die neun Kernbotschaften der acatech
Die acatech stellt in ihrer 68 Seiten starken, sehr interessanten Veröffentlichung neun Kernbotschaften voran. Wir fassen diese kurz und knapp für Sie zusammen:
- Cyberangriffe nehmen weltweit zu, mit komplexer werdenden IT-Systemen steigen die Risiken, Angreifer lernen ständig dazu – deshalb reicht es nicht, nur aus Fehlern der Vergangenheit zu lernen.
- Größtes Gefahrenpotenziel für die Innere Sicherheit, Wirtschaft und Demokratie Deutschlands bergen die Bereiche Gesundheit, Stromversorgung, Industrie 4.0, Smart Home, IoT-Geräte, vernetzte Fahrzeuge und Medien – sie bedürfen daher besonderen Schutz vor Cyberattacken.
- In einigen Bereichen der Cyber Security (Kryptographie, Quantencomputing und Security Engineering / Security by Design) zählen deutsche Forscher zur Spitzenklasse – insgesamt ist Deutschland hier in Sachen Cyber Security gut aufgestellt.
- Es mangelt bei uns noch an der Übertragung wissenschaftlicher Forschungsergebnisse in die Praxis, das heißt in wirtschaftlich erfolgreiche Sicherheitsprodukte und -dienstleistungen – dadurch besteht in Sachen Cloud-Lösungen, Software- und Hardware-Produkte eine zu große Abhängigkeit von Produkten internationaler Zulieferer.
- Akteure aus Politik, Wirtschaft und Wissenschaft arbeiten zu wenig zusammen – daher bedarf es einer übergeordneten Plattform für Wissensaustausch und Ursachenforschung im Schadensfall.
- IT-Sicherheit wird oft nicht erst genommen – anzustreben sind daher Mindestsicherheitsstandards für IT-Produkte und IT-Dienstleistungen, die für alle Unternehmen verpflichtend sind.
- Die digitale Bildung ist in kleinen und mittelständischen Unternehmen noch nicht überall angekommen – deshalb sind Mitarbeiter und IT-Fachkräfte bezüglich Cyberbedrohungen zu schulen.
- Es fehlt ein effektiver Schutz gegen Angriffe von außen – daher muss in die Entwicklung und Herstellung sicherer Software- und Hardware-Systeme investiert werden.
- Politisch motivierte Hacker, Terrororganisationen und Geheimdienste streuen vermehrt Fake News – hier gilt es Vorsorge zu treffen.
Durch die in diesen Kernaussagen abgebildete thematische Bandbreite ist klar: Bis Deutschland in Sachen Cyber Security gut aufgestellt ist und vielleicht auch eine Vorreiterrolle spielen kann, ist noch viel zu tun.
Vision einer sicheren Cyberwelt
Bis zum Jahr 2012 werden laut einer Studie weltweit Schäden von jährlich sechs Billionen Dollar, verursacht durch Cyberkriminalität, erwartet – im Vergleich zu 2015 wäre das eine Verdoppelung. Den Grund dafür sieht die acatech in der Schnelllebigkeit, Komplexität und hohen Vernetzung von IT-Systemen. Risiken seien dadurch immer schwerer zu kalkulieren.
Daraus zieht die acatech die Vision einer sicheren, beherrschbaren Cyberinfrastruktur. Aber ob sie realisierbar ist? Es sollte zumindest versucht werden, so nah wie möglich an dieses Ziel heranzukommen. Denn: Die Wirtschaft im Ganzen und jedes Unternehmen im Einzelnen hängen davon ab.
Man denke hier an die Entwicklungen im Zuge von Industrie 4.0. Auf der einen Seite kommunizieren Maschinen, Betriebsmittel, Produkte, Werkstücke, Lager- und Transportsysteme verstärkt miteinander. Auf der anderen Seite wachsen IT-Infrastrukturen in Produktion, Logistik, Vertrieb, Einkauf und Verwaltung an einem Unternehmensstandort, aber auch über mehrere Standorte hinweg immer mehr zusammen.
Vernetzung nimmt zu, Risiken steigen
Das Problem der zunehmenden Vernetzung ist, dass ein einziges schwaches Glied Cyberkriminellen Tür und Tor zu Produktionssystemen öffnet. Die Folgen: Maschinen können manipuliert und Produkte fehlerhaft produziert werden; einzelne Anlagen können zerstört werden; und im schlimmsten Fall wird die gesamte Produktion lahmgelegt. Ein Horrorszenario für jeden Unternehmer.
Als weitere Gefahr von Cyberattacken kommt die Industriespionage hinzu. Hätten Sie gedacht, dass zwischen 2012 und 2014 jedes zweite deutsche Unternehmen entweder einen bewiesenen Fall von Wirtschaftsspionage oder einen Verdachtsfall zu vermelden hatte? Die Münchener Sicherheitsfirma Corporate Trust geht davon aus, dass der wirtschaftliche Schaden dadurch von 2,8 Milliarden Euro (2007) auf 4,2 Milliarden Euro (2012) und weiter auf 11,8 Milliarden Euro (2014) gestiegen ist.
Eine Studie des Digitalverbands Bitkom liefert ebenfalls Zahlen: 43,3 Milliarden Euro Verlust sollen deutsche Unternehmen von 2016 und 2018 aufgrund von Cyberangriffen gemacht haben; die Zahl der von einem Cyberangriff betroffenen Industrieunternehmen stieg von 50 Prozent (2014) auf 70 Prozent (2018).
Bewusstsein für die Gefahr fehlt
In der acatech-Publikation heißt es weiterhin, unzureichend ausgebildete Mitarbeiter seien über alle Branchen und Unternehmensgrößen hinweg das größte Sicherheitsrisiko. Es mangele häufig am Bewusstsein sowie an einem Grundwissen zur Handhabung von Sicherheitslösungen. Damit sich der Faktor Mensch als Risikofaktor ausmerzen lässt, muss jeder einzelne Mitarbeiter ein Gespür für mögliche Gefahren entwickeln.
Andererseits geht es um die Ängste kleiner und mittlerer Unternehmen (KMU): Sie fürchten zwar, nicht gut abgesichert zu sein, scheuen sich aber, viel Geld für Sicherheitslösungen in die Hand zu nehmen, denn wer weiß wie effektiv sich die Lösung später tatsächlich erweist. Es ist nicht daran zu rütteln, dass ein umfassender Cyberschutz nicht billig ist. Und dann gibt es noch diesen gefährlichen Gedanken: Unser Unternehmen ist so klein, dass sich sicher niemand für uns interessiert.
Gerade wegen eines solchen Denkens und der daraus resultierenden Sorglosigkeit wird der deutsche Mittelstand laut acatech als Innovations- und Technologiemotor des Landes zur Zielscheibe für Cyberangriffe und den Diebstahl geistigen Eigentums.
Unternehmen sicherer machen
Die acatech gibt diverse Handlungsempfehlungen, um die Vision der sicheren Cyberwelt zu realisieren – speziell auch für Unternehmen. Da Cyber Security ein wichtiger Bestandteil eines jeden Unternehmens ist, sieht es die acatech als Grundvoraussetzung, dass auch IT-Laien und kleinere Firmen die Qualität von IT-Produkten und Sicherheitslösungen überhaupt bewerten können.
Dafür gibt es seit 2006 die IT-Grundschutz-Zertifikate des BSI für IT-Produkte und -Dienstleistungen und seit 2018 im Rahmen des Cybersecurity-Acts auch EU-flächendeckende, einheitliche Cyber-Security-Zertifizierungen. Diese Zertifizierungen erfolgen aber auf freiwilliger Basis. Zu überlegen wäre, das zu ändern und eine zentralisierte, verpflichtende Zertifizierung einzuführen. Dem steht die Schnelllebigkeit der IT-Produkte gegenüber – alle paar Monate werden sie durch neue Produkte, Versionen oder Updates verändert oder abgelöst.
Ein Vorteil dessen wäre, dass für die Hersteller von IT-Produkten und -Dienstleistungen der Anreiz steigen würde, die Sicherheit bei der Entwicklung neuer Produkte ganz im Sinne des Security-by-Design-Prinzips von Anfang an mitzudenken.
Sicherheitscheck für Unternehmen
Auch ein sogenannter Cyber Maturity Index wird angedacht. Die Idee dahinter ist, dass ein BSI-Auditor Unternehmen in Sachen Sicherheitsstandard unter die Lupe nimmt und einer Sicherheitsstufe zuordnet. Das wäre mit einigem Aufwand verbunden, aber für Unternehmen könnten sich große Vorteile ergeben. Sie hätten einen Anhaltspunkt dafür, wie es um ihre IT-Sicherheit bestellt ist; und sie sichern sich bei einem guten Ergebnis das Vertrauen ihrer Kunden.
Thema ist auch eine Meldepflicht für Cyberattacken. Zwar müssen Unternehmen seit Inkrafttreten der DSGVO melden, wenn durch eine Cyberattacke der Schutz personenbezogener Daten verletzt wurde und damit ein Risiko für persönliche Rechte vorliegt; ist das aber nicht der Fall, besteht keine Pflicht, einen Angriff zu melden. Entsprechend hoch ist die Dunkelziffer.
Dass Unternehmen davor zögern, einen Angriff publik zu machen, ist verständlich. Aber: Aus den Angriffen könnte die Forschung wertvolle Erkenntnisse ziehen, was wiederum die Cyber-Sicherheit verbessern könnte. Hier sind Daten zu anonymisieren, sodass Unternehmen ihren Ruf nicht aufs Spiel setzen.
Sichern Sie sich ab!
Vor dem Hintergrund der acatech-Publikation möchten wir Ihnen folgende Ratschläge mit auf den Weg geben: Achten Sie darauf, sämtliche Mitarbeiter und insbesondere IT-Fachkräfte regelmäßig zu schulen und sichern Sie Ihr Unternehmensnetz so gut wie möglich ab. Wenn Sie selbst Schwierigkeiten damit haben, die Qualität von Sicherheitslösungen zu bewerten, ziehen Sie doch einfach einen Profi auf diesem Gebiet zu Rate – zum Beispiel einen Experten aus dem IT-SERVICE.NETWORK.
Wir beschaffen und entwickeln neue Software-Lösungen, die genau auf Ihre Anforderungen und Arbeitsprozesse abgestimmt sind. Mit einem Penetrationstest decken wir Schwachstellen innerhalb Ihrer IT-Infrastruktur auf und stellen einen Maßnahmenkatalog auf, mit dem sich die Sicherheitslücken stopfen lassen. Und mit Desktop-Management, Patch-Management und Backup bieten unsere Profis ein umfassendes Monitoring an, durch das sie mögliche Bedrohung frühzeitig erkennen.
Nehmen Sie einfach Kontakt zu unseren Spezialisten auf und lassen sich umfassend zu den verschiedenen Möglichkeiten rund um die IT-Sicherheit beraten!
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung