Cybersicherheitsagenda: Reaktionen aus Industrie und Wirtschaft

Cybersicherheit ist inzwischen zu einem großen Problem für die Industrie geworden. Nach Angaben des VDMA kosten Ransomware-Angriffe die Unternehmen teilweise mehr als eine Million Euro - pro Tag. Oft muss die Produktion nach solch einer Attacke bis zu acht Wochen stillstehen. Dabei treffen solche Attacken nicht nur Firmen, die keine Sicherheitsmaßnahmen ergriffen haben, sondern durchaus auch Unternehmen, die eine vorhandene Cybersecurity-Infrastruktur haben.

In einer aktuellen Studie der Vereinigung der bayerischen Wirtschaft und des IW Köln gaben 30 Prozent der Befragten an, Cyberkriminalität sei ein großes Risiko. Damit liegen Cyber-Attacken fast gleichauf mit Pandemien (33 Prozent). Nur die Rohstoffverfügbarkeit (36 Prozent), strukturelle Kostensteigerungen (42 Prozent) und der Ausfall kritischer Infrastrukturen (46 Prozent) werden von mehr Unternehmen als Risiko angesehen.

Diese Woche hat Innenministerin Nancy Faeser nun eine Cybersecurityagenda vorgestellt. Wir erklären Ihnen, was es damit auf sich hat und wie Industrie und Wirtschaft darauf reagiert haben.

Faeser hat eine Grundgesetzänderung vorgeschlagen. Der Grund: Momentan liegt die Verantwortung für Cybersicherheit noch bei den Bundesländern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konnte lediglich "Amtshilfe" leisten. Das soll sich nun ändern. Faeser möchte, dass das BSI die zentrale Stelle für den Kampf gegen Cyberattacken wird. Ziel der Agenda sei es, eine effiziente und klare Aufgabenverteilung in der Cybersicherheitsarchitektur zu schaffen. Die Länder seien mit der Aufgabe langfristig überfordert, erklärte die Bundesinnenministerin bei der Vorstellung ihrer Pläne. Für eine Grundgesetzänderung ist eine Zwei-Drittel-Mehrheit notwendig. Das heißt, die Ampel-Koalition bräuchte auch Stimmen aus der Opposition.

Außerdem will sie einige Änderungen und Modernisierungen vornehmen. Zum Beispiel soll ein zentrales Videokonferenzsystem für die Bundesverwaltung eingeführt werden, das höchsten Sicherheitsanforderungen entspricht.

Für die Industrie wichtig: Beim BSI soll für Unternehmen eine Plattform für den Austausch von Informationen zu Cyberangriffen entstehen. Zudem sollen Investitionen in sogenannte Cyber-Resilienzmaßnahmen bei kleinen und mittleren Unternehmen gefördert werden, wenn diese zur "kritischen Infrastruktur" gehören - also aus Branchen wie Verkehr, Ernährung, Gesundheit, Energie und Wasserversorgung.

Der VDMA zeigt sich nach der Vorstellung der Cybersecurityagenda enttäuscht. Obwohl die Bedrohungslage für den industriellen Mittelstand groß sei, fehle es seitens zuständiger Behörden oft an adäquater Unterstützung, insbesondere durch das vom Innenministerium geführte Bundesamt für Sicherheit in der IT (BSI), sagt Claus Oetter, Geschäftsführer VDMA Software und Digitalisierung in einer Pressemitteilung. Der Verband bemängelt, dass die föderale Struktur der Polizeiarbeit den Kampf gegen Cyberkriminelle ebenfalls behindert.

Der VDMA hat deshalb vor allem auf eine breitere Unterstützung und Förderung der Resilienz in der Lieferkette gehofft. "Leider erfüllt die Agenda diesen Anspruch nicht", so Oetter.

Vor allem die Auslegung, wer zur kritischen Infrastruktur gehört, wird vom Verband scharf kritisiert. So sei in der Vergangenheit VDMA-Mitgliedsunternehmen die Unterstützung mit der Begründung, sie seien keine Betreiber kritischer Infrastrukturen, verweigert worden. Der VDMA erklärt: "Dabei sind es gerade die Maschinen- und Anlagenbauer, deren Produkte und Services entscheidend für kritische Dienstleistungen sind - für Trinkwasserversorgung, Strom oder Wärme."

Sich bei der aktiven Unterstützung deshalb weiter nur auf kritische Infrastrukturen zu fokussieren hält Steffen Zimmermann, Leiter Competence Center Industrial Security im VDMA, für falsch. In der heutigen Zeit wäre eine breitere Unterstützung für eine Cyberresilienz der kritischen Lieferkette der richtige Ansatz, um das Selbstverständnis der deutschen Behörden auch zu erfüllen, die für die "IT-Sicherheit in Deutschland verantwortlich" sind, erklärt er weiter.

Der Mittelstand sollte zu einem relevanten Akteur werden und eine bundeseinheitliche Notfallhilfe für die Industrie durch das BSI gesetzlich verankert werden. "Unternehmen brauchen zudem diesen vertrauenswürdigen, unabhängigen Partner nicht nur für den Schutz vor, sondern auch für die Hilfe während und nach Cyberangriffen", sagt Zimmermann. "Das BSI kann und will dies als größte europäische Cybersicherheitsbehörde sicher leisten, das Innenministerium muss dafür die gesetzlichen Grundlagen schaffen."

Der Digitalverband Bitkom sieht Positives, hat aber auch Kritikpunkte an der Agenda. Sie sieht der Verband es als wichtig an, dass das BSI gestärkt und zentrale Anlaufstelle wird. So könne effektiver auf die sich verschärfende Bedrohungslage reagiert werden.

Bitkom-Präsident Achim Berg kritisiert, dass künftig mehr in die Privatsphäre der Menschen eingegriffen werden soll. "Eine Auflösung der Ende-zu-Ende-Verschlüsselung bei digitaler Kommunikation darf es nicht geben", erklärt er. Neben Entschlossenheit brauche die Agenda für Cybersicherheit zudem mehr Augenmaß. Es sei wichtig, dass die angekündigte Cybersicherheitsstrategie nun zeitnah folge und nicht auf die lange Bank geschoben werde. Die Umsetzung der vorgestellten Maßnahmen müsse schnell spezifiziert und die kritischen Themen geklärt werden.

Ebenfalls zu Wort gemeldet hat sich Tim Berghoff, IT Security Evangelist beim Softwareunternehmen G Data. "Diese sogenannte Cybersicherheitsagenda – man verzeihe mir einen gewissen Sarkasmus an dieser Stelle – ist ein weiterer Schlag ins Gesicht derer, denen ein überlegter, evidenzbasierter und langfristiger Ansatz bei der Verbesserung der Sicherheit wichtig ist", sagt er.

Der Deutsche Handelsverband (HDE) erklärt, es bleibe fraglich, inwieweit die Beschleunigung der Gefahrenabwehr ohne bundesweiten Chief Information Security Officer (CISO) möglich sei. Dieser soll laut Verband als übergreifender Koordinator auf strategischer Ebene eine direkte Sichtbarkeit für das Thema Informationssicherheit schaffen, das Informationssicherheitsmanagement des Bundes bündeln, aber auch bei der operativen Umsetzung der IT-Sicherheitsanforderungen unterstützen.

Die diskutierte aktive Cyberabwehr, sogenannte Hackbacks, kritisiert Stephan Tromp, stellvertretender HDE-Hauptgeschäftsführer: „Wir sollten den Schutz des Staates und der Unternehmen in den Vordergrund stellen und hierfür die begrenzten vorhandenen Ressourcen einsetzen. Eine Angriffsinfrastruktur aufzubauen, ist aufwendig und langwierig.“ Hacker könnten zudem ihre Infrastruktur schnell auf andere Server und Botnetze verlagern, insbesondere wenn sie mit Gegenangriffen rechneten. Insgesamt bewertet der Verband die vorgestellten Maßnahmen als wichtigen Schritt im Umgang mit Cyberangriffen und Cyberspionage auf deutsche Unternehmen.

"Der Informationsaustausch zwischen Wirtschaft und Verwaltung muss dringend verbessert werden, so dass bestehende Sicherheitslücken möglichst schnell geschlossen werden können", sagt Prof. Dr. Norbert Pohlmann, Vorstand IT Sicherheit beim Verband der Internetwirtschaft. Eine engere und gezielte Zusammenarbeit zwischen allen Stakeholdern wie Staat, Anwenderwirtschaft, Anbieterwirtschaft und Forschung im Bereich Cyber-Sicherheitstechnologien werde helfen, die Mammut-Aufgaben Cyber-Sicherheit für alle, gemeinsam zu bewältigen.

"Gleichzeitig weisen wir aber auch darauf hin, dass Teile der vorgelegten Agenda aktuell noch zu unbestimmt formuliert sind und daher kritisch hinterfragt werden müssen", so Pohlmann weiter. Als Beispiel nannte er die geplante Ausweitung der staatlichen Befugnisse zur Aufklärung technischer Sachverhalte.