Digitale Zeitenwende: Ein Schritt zu mehr IT-Sicherheit? | Folge 12

Shownotes

Digital soll eine Zeitenwende in Deutschland anbrechen. Zunehmende Angriffe im Cyberraum beschäftigen deutsche Unternehmen und Behörden. Was bedeutet das für den Wirtschaftsstandort und ist man für die Herausforderungen gut aufgestellt? Wie sehen die Standards aus und besteht dort Nachholbedarf? Darüber spricht Thorsten Urbanski in der heutigen Folge mit Stefan Becker vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und Leiter der Allianz für Cybersicherheit sowie Markus Bartsch von der TÜV Informationstechnik GmbH (TÜViT).

Die Allianz für Cybersicherheit (https://www.allianz-fuer-cybersicherheit.de/) ist ein Public Private Partnership mit 6.500 Mitgliedern und bereits seit über einem Jahrzehnt aktiv. Teilnehmer der Allianz sind Kommunen, Behörden, Unternehmen und Organisationen. Alle wollen das Thema Cybersicherheit voranbringen. Ziel ist es Awareness und Resilienz zu schaffen. Stefan Becker sieht weiterhin ein großes Feld, was bestellt werden muss. Viele Unternehmen sind beim Thema IT-Sicherheit noch immer zu unbekümmert. Dennoch sieht er gerade seit Beginn des Ukrainekriegs starke Rückfragen zum Thema, um die eigene Sicherheit zu verbessern. Ein schönes Zitat von Stefan: "Es muss nicht übermorgen alles perfekt sein, aber man sollte morgen damit beginnen."

IT-Sicherheit muss in Unternehmen als Prozess verstanden werden, gerade hier setzt die Allianz für Cybersicherheit an und gibt Hilfestellungen. Die Digitalisierung schafft immer wieder neue Herausforderungen, hier muss dann auch die IT-Sicherheit angepasst werden. Die Zeitenwende umfasst aber auch Standards. TÜViT ist unter anderem bei den Common Criteria aktiv (https://www.tuvit.de/de/leistungen/hardware-software-evaluierung/common-criteria/). Diese Zertifikate sind international und dienen zur Prüfung von IT-Security Komponenten. Common Criteria ist allgegenwärtig, beispielsweise sindn viele Karten in der Brieftasche nach diesen Standards geprüft. Markus Bartsch schätzt, dass jeder Bürger in seiner Brieftasche bereits acht bis zehn Common Criteria zertifizierte Lösungen vorhanden sind. Das gesamte digitale Leben ist mit dem Standard durchsetzt. Insgesamt gibt es sieben Level der Common Criteria. Je höher das Level desto vertrauenswürdiger und genauer geprüft ist die Lösung. Darüber hinaus gibt es noch weitere Prüfverfahren zur Zertifizierung für bestimmte Anwendungsverfahren. Common Criteria wird auch von der ENISA (https://www.enisa.europa.eu/) europaweit gelauncht, da es universell einsetzbar ist.

Wie sieht das BSI Lagebild aus? Stefan Becker sagt, dass die Gefahrenlage bereits vor dem Ukrainekrieg sehr hoch war. Es ist eine neue Komponente hinzugekommen. Zum einen gab es einen Satelittennetzbetreiber deren Betrieb gestört wurde, vermutlich um die Kommunikation der ukrainischen Armee zu stören. Gestört wurden dabei aber auch die Kommunikation von Teilen der Feuerwehren in Frankreich und auch von Windparks in Deutschland. Hierbei wurde der Fernzugriff gestört. Ein weiteres Beispiel war ein mittelbarer Effekt als der Krieg im Februar begann haben sich Hackergruppen positioniert. Hierbei wurden russische Firmen attackiert. Zu diesen Betrieben gehören Rosneft sowie auch Rosneft Deutschland. Das Unternehmen betreibt Raffinerien und versorgt deutsche Firmen mit Öl und Treibstoff. Durch die Cyberangriffe gab es große Probleme, die mit enormen Aufwand bewältigt wurden. Die Beispiele zeigen, dass ein Krieg solche Effekte auch in Deutschland erzielen können.

Ist Deutschland im Bereich Digitalisierung gut aufgestellt? Markus stellt klar, dass in Deutschland viele Basistechnologien genutzt werden, die nicht von hier stammen. Hier besteht Nachholbedarf. Die IT-Sicherheits-Branche ist aber in Deutschland und Europa sehr gut aufgestellt. Markus vermisst vielmehr grundsätzliche europäische Basislösungen. Stefan Becker sieht ebenfalls, dass Unternehmen bei der Suche nach Sicherheitsanbietern sehr wohl anschauen wo diese herkommen. Das Thema Souveränität hat an Bedeutung gewonnen. Über 20.000 Sicherheitslücken wurden dem BSI im vergangenen Jahr gemeldet. Bei Log4j hat das BSI sehr schnell und umfassend reagiert. Zukünftig will das BSI hier noch mehr Sichtbarkeit schaffen mit der Software Bill of Materials, eine Art Produktübersicht. Zudem kommt das Common Security Advisory Framework (https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Industrielle-Steuerungs-und-Automatisierungssysteme/CSAF/CSAF_node.html) mit dem möglichst automatisiert Sicherheitslücken geschlossen werden sollen.

Mit einem Satz: Was sollten Unternehmen für mehr IT-Sicherheit tun? Markus rät, dass sich jedes Unternehmen genau seinen Sicherheitsbedarf anschaut und prüft, ob das auch bei den digitalen Prozessen der Fall ist. Auch Stefan Becker wünscht sich, dass IT-Sicherheit bereits in den Köpfen der Führenden einer Firma verankert ist, ebenso sollt jeder Mitartbeiter Cybersicherheit mitdenken. Eine Fehlerkultur sollte in jedem Unternehmen zum Standard gehören, um hier das Desaster frühzeitig vermeiden zu können.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.