IT-Security

Keine Entspannung! Kriminelle Wertschöpfungsketten: Zum Stand der Cyberbedrohung der deutschen Wirtschaft

01.12.2020 - Beim Thema Cybersecurity fangen die deutschen Unternehmen nicht von Null an

Beim Thema Cybersecurity fangen die deutschen Unternehmen nicht von Null an: Sie haben kräftig investiert in IT-Sicherheit – in Technik, Prozesse und Personal. Das hat den Schutz vor Cyberkriminalität zwar ­verbessert – andererseits steigt die Zahl der erfolgreichen Hackerangriffe. „Das ­Bewusstsein ist mittlerweile vorhanden, bei der konsequenten ­Umsetzung von Abwehrmaßnahmen besteht noch Handlungsbedarf, aber auch der Staat muss nachlegen“, sagt ASW-Vorstandsvorsitzender ­Volker Wagner im Gespräch mit GIT SICHERHEIT.

GIT SICHERHEIT: Herr Wagner, als wir uns vor rund vier Jahren hier in der GIT SICHERHEIT über die aktuelle Gefährdungslage der deutschen Wirtschaft unterhielten, diagnostizierten Sie sehr klar eine Zunahme der Cyber-Bedrohung. Angriff und Abwehr beschrieben jeweils ansteigende Kurven, wobei aber die Angriffskurve steiler sei… Würden Sie das heute wieder so formulieren?

Volker Wagner: Ich würde gerne etwas anderes sagen, aber leider ist die Situation nicht besser geworden. Bei der Cybersicherheit erlebe ich nach wie vor, dass die Schere weiter auseinandergeht. Beispielsweise zeigt eine aktuelle Studie des Bitkom auf, dass 2019 drei von vier deutschen Unternehmen Opfer von Sabotage, Datendiebstahl oder Spionage waren. Ende September hat das BKA das aktuelle Lagebild zum Cybercrime veröffentlicht und die Fakten sprechen auch hier eine eindeutige Sprache. 2019 wurde eine Zunahme von Cybercrime um 15 % auf über hunderttausend Fälle registriert. Zudem gab es im letzten Jahr ca. 114 Mio. neue Malware-Varianten. Das BKA zieht dabei u. a. folgendes Fazit: Die Professionalität von Cyberkriminellen steigt weiter an. Cybercrime erschafft und basiert auf kriminellen Wertschöpfungsketten. Ransomware und DDoS-Angriffe sind die größten Bedrohungen. Von einer Entspannung der Situation können wir daher nicht sprechen.

Ist denn das Bewusstsein für diese Problematik in den Unternehmen aus Ihrer Sicht spürbar stärker ausgeprägt – und zieht man die richtigen Schlüsse daraus?

Volker Wagner: Es ist wahnsinnig viel gemacht worden, darauf kann man auch stolz sein. Die großen Unternehmen haben alle ihre IT-Sicherheitsabteilungen ausgebaut und sachkundiges Personal eingestellt, Prozesse etabliert und neue Technik eingesetzt. Da ist wirklich viel Geld investiert worden. Und der Schutz ist auch deutlich besser als noch vor fünf oder zehn Jahren. Aber die Bedrohungslage hat sich im gleichen Zeitraum extrem verschärft. Mittlerweile sind fast unglaubliche eine Milliarde Varianten von Schadprogrammen im Umlauf. Gleichzeitig stellen wir im Rahmen der Digitalisierung von Wirtschaft und Gesellschaft immer mehr Geräte ins Internet. Je mehr Systeme miteinander vernetzt und ans Internet angeschlossen werden, desto mehr Angriffsfläche bietet sich. Es ist daher auch logische Konsequenz, dass die Anzahl von erfolgreichen Hackerangriffen steigt. Im gerade veröffentlichten Allianz Risk Barometer ist Cybercrime erstmals das am höchsten bewertete Risiko für die Wirtschaft. Das Bewusstsein ist also mittlerweile vorhanden, bei der konsequenten Umsetzung von Abwehrmaßnahmen besteht noch Handlungsbedarf.

Sie sehen sich beim ASW Bundesverband an der Schnittstelle von Staat und Wirtschaft – und gerade jüngst äußerten Sie sich sowohl lobend als auch kritisch bezüglich des geplanten IT-Sicherheitsgesetzes. Derzeit ist wohl der dritte Entwurf in Arbeit…?

Volker Wagner: Die ersten beiden Entwürfe haben wir von der ASW – wie auch einige andere Verbände – zum Anlass genommen, mit unseren Positionspapieren auf entscheidende Verbesserungspotenziale hinzuweisen. Wir erwarten nun den dritten Entwurf und damit den Start der Novelle des IT-Sicherheitsgesetzes noch in diesem Herbst. Nach meiner Kenntnis ist ein Kabinettsbeschluss noch für dieses Jahr vorgesehen und die Verabschiedung im Bundestag für Anfang nächsten Jahres geplant. Selbstverständlich werden wir uns im politischen Diskurs für die wichtigen Punkte aus Sicht der Wirtschaft einsetzen. Dabei möchte ich unterstreichen, dass wir die Novelle ausdrücklich befürworten. Uns geht es mit unseren Punkten darum, die Qualität und Praktikabilität zu erhöhen.

Sie sehen neben den Unternehmen selbst den Staat in der Pflicht, wenn es um „Cyberresilienz“ geht. Überhaupt haben Sie ja zu dem Fragenkomplex der Aufgabenteilung zwischen Staat und Wirtschaft bei der Bekämpfung von Cyberkriminalität vor einiger Zeit sogar ein Positionspapier vorgelegt. Was kann denn, in groben Zügen formuliert, der Staat realistischerweise mehr leisten als bisher?  

Volker Wagner: Hier sehen wir schon noch deutliches Verbesserungspotenzial. Beispielsweise bedarf es einer Meldepflicht für kritische Schwachstellen in Software und eine Verpflichtung für Software-Updates sowie Haftung bei Nicht-Behebung. Derzeit gibt es keine Haftung für fehlerhafte Software. Es sollte jedoch ein Haftungsanspruch entstehen, wenn bekannte Schwachstellen und Fehler nicht behoben werden.

Es sollte eine Novelle des Produkthaftungsrechts erfolgen, durch die Soft- und Hardwarehersteller gesetzlich verpflichtet werden, für sicherheitskritische Schwachstellen tatsächlich auch zeitnah Sicherheits-Updates bereitzustellen und bei Unterlassung in Haftung genommen werden können. Ebenso müssen Hersteller verpflichtet werden, Transparenz über den jeweiligen Lebenszyklus von softwarebasierten Produkten zu schaffen. Produkte, deren bekannte Schwachstellen nicht vom Hersteller bereinigt wurden, müssen kenntlich gemacht werden. Ebenso sind Verfahren zu definieren, wie mit Software, die ihren End-of-life-Zeitpunkt erreicht hat, umzugehen ist. Veraltete Software, die nicht mehr unterstützt wird, bietet eine große Angriffsfläche. Die Haftung könnte nach diesem Leitgedanken geregelt werden: Hersteller und Betreiber haften für unterlassene Software-Updates, Verbraucher haften für nicht eingespielte Patches, Restrisiken werden über Risikogemeinschaften in Cyberversicherungen abgedeckt.

Darüber hinaus muss sich die Bundesregierung im Rahmen der Cyberaußenpolitik dafür einsetzen, dass jeder Staat seine Bemühung­en zur Erhöhung der Cybersicherheit intensiviert und kritische IT-Infrastrukturen besser gegen Attacken geschützt werden sowie intensiv gegen Cyberkriminalität vorgegangen wird. Mittelfristiges Ziel muss die Verabschiedung eines verbindlichen Abkommens für verantwortliches Handeln im Cyberraum sein.

In der Praxis bleibt für einzelne Unternehmen oft unklar, welche Sicherheitsbehörde mit welchen Kompetenzen ausgestattet ist und wie die Aufgaben zwischen Bundes- und Landesämtern abgegrenzt sind. Im konkreten Angriffsfall wird es gerade für kleine und mittelständische Unternehmen zunehmend von Bedeutung sein, dass auch die örtliche Polizeibehörde im Sinne eines Ersthelfers in die Lage versetzt wird, die richtigen Stellen in eine Strafverfolgung einzubeziehen.

Sie wünschen sich bei staatlichem Handeln im Rahmen des künftigen IT-Sicherheitsgesetzes mehr Transparenz für die jeweils betroffenen Unternehmen. Was genau stellen Sie sich vor?

Volker Wagner: Besorgniserregend ist, dass trotz Einführung des ersten IT-SiGe 2015 die Bedrohungslage weiter gestiegen ist. Deswegen ist es umso wichtiger, dass bei der Novellierung auf den Erfahrungen der letzten vier Jahre aufgebaut wird. Wir fordern weiterhin den Austausch über eindeutige quantitative und qualitative Schwellenwerte zu Meldepflichten. Vorteilhaft wäre es hier, nicht nach Trial and Error vorzugehen, sondern dazu aus den bisherigen praktischen Erfahrungen zu den Meldungen aus den aktuellen Kritis-Sektoren zu lernen.

Der in der Novelle des IT-Sicherheitsge­setzes eingeführte Begriff „Unternehmen im besonderen öffentlichen Interesse“ führt nicht zu Klarheit, sondern zu Rechtsunsicherheit bei den möglicherweise betroffenen Unternehmen. Die Einführung des Terminus „Unternehmen im besonderen öffentlichen Interesse“ ist zu unbestimmt. Insbesondere fehlt eine Benennung konkreter Kriterien, warum eine Infrastruktur und deren Anlagen als „im besonderen öffentlichen Interesse“ eingestuft werden.

Behörden sollen, Ihrer Auffassung nach, möglichst privates Know-how und Mitwirken ins Boot holen – zum Beispiel in Form von Public-Private-Partnerships. Haben Sie hier bestimmte Vorbildprojekte im Auge, vielleicht auch aus anderen Ländern?

Volker Wagner: Im Angriffsfall bedarf es einer konkreten Hilfestellung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es sollte daher über ein Rahmenwerk zur Ergänzung bzw. Erweiterung der mobilen Eingreiftruppen durch Public-Private-Partnerships nachgedacht werden. Dazu gehört auch die Einbindung der Wirtschaft in das Nationale Cyber-Abwehrzentrum und ein Konzept zum gemeinsamen Incident Response von Staat und Wirtschaft. Als Beispiel kann die US National Cyber-Forensics & Training Alliance genannt werden, wo staatliche und privatwirtschaftliche Akteure gemeinsam erfolgreich an der Aufklärung von Cyberattacken und an der Analyse von Tatwerkzeugen arbeiten.

Wie genau könnte so eine Public-Private-Partnership aussehen – und wer genau könnten dabei die Protagonisten sein?

Volker Wagner: Unter den vorgenannten Gesichtspunkten ist es erforderlich, dass das Cyber-Threat-Intelligence-System überdacht wird. Aus dem derzeitigen Gesetzestext geht nicht hervor, dass das BSI dazu verpflichtet sein wird, Cyber Threat Intelligence in Echtzeit auszutauschen. Es muss das Ziel sein, diese Informationen möglichst vielen Unternehmen, nicht nur den Kritis-Betreibern oder Betreibern von Infrastruktur im besonderen öffentlichen Interesse, zukommen zu lassen. Aus diesem Grunde fordert die ASW, eine solche Plattform da anzusiedeln, wo die Ressourcen und das Know-how über Einrichtung und Betrieb von Cyber-Threat-Intelligence-Plattformen besteht. Diese Aufgabe können die zahlreich in Deutschland vorhanden und international angesehenen Cybersicherheitsunternehmen übernehmen.

Welche konkreten hoheitlichen Aufgaben könnten aus Ihrer Sicht durch private Stellen – also beliehene Experten – übernommen werden? Es geht ja immerhin um Attacken aus dem Ausland – ist die Lage hier nicht eine andere, als bei Notar, TÜV & Co. oder bei Sicherheitskontrollen am Flughafen, um ein vielleicht passenderes Beispiel zu nennen?

Volker Wagner: Erforderlich hierfür wäre eine klare Regelung, welche Rolle diese Cybersicherheitsunternehmen als Betreiber der Plattformen einnehmen sollen. Ihre Aufgaben und Befugnisse müssen klar festgelegt werden. Insofern ist die Schaffung einer gesetzlichen Regelung erforderlich, die nachfolgende Aspekte zum Gegenstand haben soll: Erstens: Der Rechtscharakter der Einbindung der Cybersicherheitsunternehmen kann als Beliehenenschaft ausgestaltet sein. Zweitens: Erforderlich ist dann eine Registrierung von Unternehmen, die vom Informationsfluss (z. B. Warnung vor Sicherheitslücken) durch die Plattform profitieren wollen. Drittens: Dem BSI kommt die Rolle der Aufsichtsbehörde zu, worüber Kontroll- und Steuerungsrechte des Staates gewahrt werden.

Herr Wagner, lassen Sie uns noch zum derzeit alles beherrschenden Thema kommen – dem Virus und seinen Folgen. Welche Auswirkungen hatte dies auf die Sicherheitsverantwortlichen in der Wirtschaft?

Volker Wagner: Die letzte Zeit war außergewöhnlich. Die globale Pandemie hat unsere komplette Welt auf den Kopf gestellt. In diesen Wochen und Monaten wurde von unseren Sicherheitsverantwortlichen vieles abverlangt. Vor allem mussten die eigenen Mitarbeiter, Kunden und Geschäftspartner geschützt werden. Dabei galt es, wo möglich, die Produktions- und Dienstleistungsprozesse – häufig unter sehr schwierigen Bedingungen – aufrecht zu erhalten. Dies galt insbesondere für die Unternehmen in den sogenannten systemrelevanten Sektoren oder bei den kritischen Infrastrukturen. Dabei waren viele Aspekte zu beachten und die Sicherheitsverantwortlichen unterstützten die Krisenbewältigung – angefangen bei der Einrichtung eines Notfall- und Krisenstabs, über Verhaltensregeln für das Werks- bzw. Firmengelände oder das Büro und Regulierungen von Geschäftsreisen, bis hin zu Vorschriften für die Parteien der Lieferkette.

Welche Folgerungen ziehen Sie verbandsseitig generell aus den Erfahrungen mit dieser Pandemie?

Volker Wagner: Mit den nun seit Mitte Mai geltenden Lockerungen werden wir mit der Idee einer „neuen Normalität“ vertraut gemacht. Das Virus ist hier, um zu bleiben, bis wir einen Impfstoff entwickeln. Also müssen wir einen Weg finden, damit zu leben. Wir haben mittlerweile ein viel besseres Verständnis für die konkrete Bedrohung und sind auch besser in der Lage, die damit verbundenen Risiken einzuschätzen. Es ist nicht länger völlig unbekannt, sondern eher unsichtbar. Wir alle müssen lernen, mit diesem neuen Risiko umzugehen, und das wird für jeden von uns unterschiedlich sein. Für mich bedeutet die sogenannte neue Normalität ein Umdenken, was unser gewohntes Handeln betrifft. Dabei geht es um die Abkehr von festen Planungsprämissen – hin zu sich kontinuierlich verändernden Rahmenbedingungen.

Welche Entwicklungen lassen sich erkennen – nach einem Halbjahr des Lebens mit und in der Krise?

Volker Wagner: Für mich lassen sich durchaus einige starke Trends erkennen, die unseren neuen Handlungsrahmen maßgeblich beeinflussen werden.

Erstens: Auch wenn viele durch die wirtschaftlichen Folgen verlieren, gibt es doch auch Gewinner in dieser ungewissen Zeit. Starke Länder und etablierte Unternehmen haben höhere finanzielle Rücklagen und in der Regel auch robustere Notfall- und Krisenprävention. Sie werden zwar auch Einbußen hinnehmen müssen, aber dürften in ihrer Wettbewerbsposition relativ gestärkt aus dieser Krise hervorgehen.

Zweitens: Existierende politische Spannung­en werden durch die Corona-Krise verstärkt. Handelskonflikte nehmen an Brisanz zu, beispielsweise der zwischen den USA und China. Aber auch der schwelende Konflikt in Europa zwischen dem reicheren Norden und dem ärmeren Süden erhitzt sich weiter. Dies zeigt sich innerhalb der EU anhand der Diskussionen zur Neuverschuldung für die wirtschaftlichen Hilfen zur Linderung der Corona-Krise. Zudem missbrauchen totalitäre Staaten Corona zur Ausdehnung von Überwachungsmaßnahmen.

Drittens: Die zuvor in Teilen von Wirtschaft und Gesellschaft stockende Digitalisierung nahm rasant an Fahrt auf und überwand dank seiner ungeahnten Beschleunigung viele etablierte Hürden. In Zeiten von So­cial Distancing wurde digitale Kommunikation eine Notwendigkeit. Home-Office oder virtuelle Konferenzräume zogen in unseren Arbeitsalltag ein und sind nun feste Bestandteile, die bleiben werden. Geschäftsreisen und persönliche Kontakte wurden zu Ausnahmen. Diese Entwicklung wird sich nicht mehr komplett zurückdrehen.

Viertens: Die Führungsstärke ist in der Krise essenziell. Eine klare und konsequente Linie, die als Orientierung in ungewissen Zeiten dient, half allen Beteiligten, die Auswirkungen zu bewältigen. Der österreichische Bundeskanzler Kurz ist hierfür ein Paradebeispiel. Er verdeutlichte, wie wichtig es ist, einen klaren Kopf zu behalten und zeigte, dass ein Weitblick im Handeln unablässig ist. In anderen Ländern nahmen die Regierungschefs die Bedrohung zunächst nicht ernst oder veränderten mehrfach den Kurs. Die hohe Zahl von Erkrankten und viele Todesfälle waren dann die bittere Konsequenz.

Sie haben gerade den Finger auf etwas gelegt, was nicht sofort auffällt: Es geht um den Missbrauch des Themas durch totalitäre Staaten – und zwar die missbräuchliche Überwachung unter dem Deckmantel der Corona-Schutzmaßnahmen. Was genau haben Sie hier im Auge – und inwiefern ist unsere Wirtschaft davon bedroht oder betroffen?

Volker Wagner: Präventions- und Kontroll­maßnahmen werden von einzelnen Regierungen für politische Zwecke missbraucht. Kontrollen werden mehr und mehr ausgedehnt, um Oppositionskräfte zu überwachen. Dies zeigt sich in einigen Ländern an der weiteren Ausdehnung von Videoüberwachungssystemen bis hin zu Militäreinsätzen bei Demonstrationen im Inland. Ergänzt wird dies mit Einfuhrbeschränkungen sowie Einreiserestriktionen, womit auch der freie Handel von Gütern und Dienstleistungen betroffen ist. Bei allen Unsicherheiten scheint doch eines gewiss: Wir benötigen aktuell mehr denn je kompetente und leidenschaftliche Security Führungskräfte und Mitarbeiter, um unser aller Schutz zu gewährleisten.

Kontakt

ASW Bundesverband - Allianz für Sicherheit in der Wirtschaft e.V.

Bayerischer Platz 6
10779 Berlin
Deutschland

+49 30 200 77 200