Link direkt zur Hauptnavigation und Suche Link direkt zum Inhalt Link direkt zur Servicenavigation

Artikel - IT-Sicherheit

IT-Sicherheit

Einleitung

Techniker mit Notebook prüft Server

© iStock.com/baranozdemir

IT-Sicherheit ist zentraler Wirtschaftsfaktor

Wirtschaft und Verbraucher stellen hohe Erwartungen an die Vertraulichkeit von Telekommunikation. Zuverlässigkeit, Sicherheit und hohe Verfügbarkeit sind deshalb wichtige Qualitätsmerkmale von Telekommunikationsdienstleistungen und haben für die Nutzer einen hohen Stellenwert. Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) setzt Rahmenbedingungen, die eine sichere Telekommunikation zu vertretbaren Bedingungen ermöglichen. Ziel ist, den Zugang zu sicherer und vertrauenswürdiger IT für Wirtschaft, Gesellschaft und Staat zu gewährleisten, damit diese die Vorteile der Digitalisierung nutzen können.

Die Digitalisierung unserer Wirtschaft, die völlig neue Organisation und Steuerung von Prozessen in der Industrie 4.0 und die Vernetzung von öffentlicher Verwaltung bringen eine Vielzahl von Möglichkeiten und Chancen. Gleichzeitig steigt dadurch die Abhängigkeit der Unternehmen untereinander und gegenüber IT-Anbietern - oft von außerhalb Europas. Auch das Risiko, dass große Schäden durch beabsichtigte oder unbeabsichtigte Fehlfunktionen und Manipulationen von sensiblen Daten entstehen, nimmt dadurch stetig zu.

Gerade die deutschen Unternehmen, die mit ihrem Know-how zur Weltspitze gehören, stehen im Fokus der internationalen Wirtschaftsspionage und Cyberkriminalität. Nach einer letzten Untersuchung des BITKOM (Wirtschaftsschutz 2020) werden die jährlichen Schäden für deutsche Unternehmen heute auf über 200 Mrd. Euro geschätzt. Die Sicherheit unserer IT-Systeme wird vor diesem Hintergrund zu einem strategischen Faktor für die Entwicklung unserer Wirtschaft und unserer Industrie.

Cyber-Sicherheitsstrategie für Deutschland

Die „Cybersicherheitsstrategie für Deutschland 2021" schreibt die Strategien aus den Jahren 2011 und 2016 fort. Sie bildet den strategischen Rahmen für das Handeln der Bundesregierung im Bereich der Cybersicherheit für die nächsten fünf Jahre. Hierfür greift sie Bewährtes auf und gibt Antworten auf neue Herausforderungen im Cyberraum. In den Evaluierungs- und Fortschreibungsprozess wurden über 70 Akteure aus Wirtschaft, Wissenschaft, Gesellschaft und Staat aktiv eingebunden.

Für die Cybersicherheitsstrategie 2021 werden vier übergreifende Leitlinien definiert:

  1. Cybersicherheit als gemeinsame Aufgabe von Staat, Wirtschaft, Gesellschaft und Wissenschaft etablieren,
  2. Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken,
  3. Digitalisierung sicher gestalten und
  4. Ziele messbar und transparent ausgestalten.

Das IT-Sicherheitsgesetz 2.0

Cyber- und Informationssicherheit sind ein Schlüsselthema für Staat, Wirtschaft und Gesellschaft. Gerade mit Blick auf die zunehmende Digitalisierung aller Lebensbereiche, die im Zuge der Corona-Pandemie noch beschleunigt wird, sind sie auf funktionierende Informations- und Kommunikationstechnik angewiesen. Daher bedarf es einer kontinuierlichen Anpassung und Weiterentwicklung der Maßnahmen zur Gewähr-leistung von Sicherheit. Entsprechend dem Auftrag aus dem Koalitionsvertrag für die 19. Legislaturperiode wird daher das IT-Sicherheitsgesetz fortgeschrieben und der Ordnungsrahmen erweitert, um neuen Gefährdungen angemessen zu begegnen.

Inhaltlich werden schwerpunktmäßig Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetzes) vorgeschlagen. Das BSI wird insbesondere befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben. Bei wesentlichen Digitalisierungsvorhaben des Bundes soll das BSI frühzeitig beteiligt werden. Zusätzlich wird Verbraucherschutz in den Aufgaben-katalog des BSI aufgenommen. Es wird die Grundlage für ein einheitliches IT-Sicherheitskennzeichen eingeführt, das die IT-Sicherheitsfunktionen insbesondere von Produkten im Verbrauchersegment erstmals für Bürgerinnen und Bürger sichtbar und nachvollziehbar macht.

Betreiber Kritischer Infrastrukturen werden verpflichtet, Systeme zur Angriffserkennung einzusetzen. Meldepflichten gelten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen. Der Entwurf enthält eine Regelung zur Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht.

Initiative "IT-Sicherheit in der Wirtschaft"

Die BMWK-Initiative IT-Sicherheit in der Wirtschaft schafft seit ihrer Gründung 2011 konkrete Maßnahmen zur nachhaltigen Verbesserung des Bewusstseins für IT-Sicherheit speziell bei kleinen und mittleren Unternehmen. Sie ist als gemeinsame Initiative mit der Wirtschaft konzipiert und Bestandteil der Umsetzungsstrategie der Bundesregierung „Digitalisierung gestalten“ und der Mittelstandsstrategie des Bundeswirtschaftsministerium (BMWK).

Die Initiative unterstützt vor allem kleine- und mittlere Unternehmen (KMU) mit konkreten Maßnahmen und Hilfestellungen darin, beim Einsatz von IKT-Systemen ihre IT-Sicherheit zu verbessern. Gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung wird eine Grundlage dafür geschaffen werden, um die Bewusstseinsbildung der KMU beim Thema IT-Sicherheit zu stärken. Entsprechend der aktuellen Förderbekanntmachung werden durch das BMWK eine Transferstelle und konkrete Unterstützungsprojekte zur IT-Sicherheit für kleine- und mittlere Unternehmen gefördert:

1. Transferstelle IT-Sicherheit in der Wirtschaft

Zur Reduzierung von Risiken könnte heute schon ein Großteil der Cyberangriffe durch grundlegende IT-Sicherheitsmaßnahmen in Betrieben abgewehrt werden. Daraus resultiert aber nicht, dass Unternehmen auch entsprechend handeln. Die Transferstelle (www.tisim.de) der Initiative IT-Sicherheit in der Wirtschaft unterstützt dabei, diese Umsetzungslücke zu schließen. Sie bündelt vorhandene Unterstützungsangebote für den Mittelstand und bereitet sie praxisnah und verständlich auf. Damit ist sie zentrale Anlaufstelle für IT-Sicherheit speziell für den Mittelstand und das Handwerk. Weitere Hauptaufgaben sind der Wissens- und Technologietransfers in den Mittelstand, die Schaffung von Awareness sowie die Vernetzung mit Multiplikatoren und weiteren Initiativen.

Die Transferstelle ist als virtuelle und mobile Transferstelle (Tourenbus-Mobil) sowie über 80 regionale Schaufenster (bundesweit bei IHKs) erreichbar. Konkret werden:

  • praxisorientierte, zielgruppengerechte Informations-, Transfer- und Unterstützungsangebote aufbereitet und intensiv für den Wissenstransfer genutzt,
  • der Abbau der beschriebenen Umsetzungsdefizite durch praktische mobile Anschauungs- und Erprobungsmöglichkeiten forciert und der Knowhow Transfer in die Fläche unterstützt,
  • ein interdisziplinäre Unterstützungsnetzwerke (zum Beispiel aus Forschung, Vereinen, Dienstleistern oder Verbänden und Gebietskörperschaften) aufgebaut, um die Arbeit der Transferstelle in ihrer Wirkung zu verstärken und Querschnittsfragen zu beleuchten,
  • fortlaufend qualitativ hochwertige Best Practice-Beispiele in Umsetzungsprojekten mit KMU entwickelt und identifiziert, um Erkenntnissen für erfolgreiche Implementierung von IT Sicherheitsaspekten im Zuge der digitalen Transformation zu gewinnen und zu transferieren, wobei die Erfahrungen und Erkenntnisse aus diesen Umsetzungsprojekten aufbereitet und öffentlich kommuniziert werden,
  • neue Entwicklungen sowie aktuelle Themen im Umfeld von IT-Sicherheit aufgegriffen und jeweils aktuelle und für den Transfer geeignete Inhalte aufbereitet, um diese für den Informationstransfer und den Know-how-Aufbau in den Unternehmen zu verwenden und
  • Werkzeuge, Materialien, Best-Practice-Beispiele und weitere Ergebnisse und Erkenntnisse aus den ebenfalls durch die Initiative geförderten Einzel- oder Verbundprojekten genutzt und mit unterschiedlichen Maßnahmen der Öffentlichkeitsarbeit transferiert.

2. Projekte

Gefördert werden Einzel- oder Verbundprojekte, die

  • durch ihre Arbeiten und Ergebnisse aktiv zur Sensibilisierung und Unterstützung von KMU und Handwerk bei Thema IT-Sicherheit beitragen,
  • Hilfestellungen und Unterstützungsleistungen zum sicheren Einsatz digitalisierter Prozesse und Geschäftsmodelle zielgruppengerecht aufbauen oder
  • welche zur Förderung technologischer, organisatorischer und arbeitsgestaltender IT-Sicherheitskompetenzen in KMU beitragen.

Die geförderten Projekte müssen durch ihre Ergebnisse nachweislich zu einer Erhöhung des IT-Sicherheitsniveaus in KMU beitragen und übertragbare Lösungen für den breiten, bundesweiten Transfer entwickeln. Weitere Details können der Förderbekanntmachung entnommen werden. Alle Informationen zu laufenden und abgeschlossenen Projekten sind unter www.it-sicherheit-in-der-wirtschaft.de/ITS/Navigation/DE/Ueber-uns/Projekte/projekte.html abrufbar.

Steuerkreis

Der eigens initiierte Steuerkreis der Initiative IT-Sicherheit in der Wirtschaft liefert Impulse für die Förderschwerpunkte und Aktivitäten der Initiative und aktive Beiträge zur Verbreitung und Umsetzung ihrer Maßnahmen. Zusätzlich wird er den Juryprozess bei der Auswahl der aus der Initiative geförderten Projekte einbezogen. Diese Vorgehensweise erlaubt, für das komplexe Querschnittsthema der IT-Sicherheit und den Transfer in die Unternehmen zusätzliche fachliche Expertise und spezifisches Expertenwissen zu gewinnen und damit den Auswahlprozess transparent zu gestalten. Als Arbeitsgremium umfasst der Steuerkreis Mitglieder maßgeblicher Verbände und Multiplikatoren im Bereich IT-Sicherheit, der mittelständischen Wirtschaft, der IT-Wirtschaft, der IT-Anwender und der Versicherungswirtschaft ebenso wie Experten aus der Wissenschaft und der Verwaltung.

Datenschutzzertifizierung für Cloud-Angebote

Das BMWK entwickelt gemeinsam mit der Wirtschaft geeignete Strategien für die internationale Zertifizierung und Standardisierung im Bereich Datenschutz und Datensicherheit auf globaler Ebene. Eine Datenschutzzertifizierung für Cloud-Angebote wurde im Rahmen des Technologieprogramms Trusted Cloud erarbeitet und in einem Folgeprojekt auf ihre Praxisrelevanz geprüft. Das Trusted Cloud-Datenschutzprofil wurde auf einer Abschlusskonferenz Ende September 2016 verabschiedet. Diese datenschutzkonforme Zertifizierung von Cloud-Anwendungen stützt die Vorreiterrolle des BMWK im Rahmen der EU-Datenschutzgrundverordnung. Zudem wurde auf Basis des abgeschlossenen Technologieprogramms und europäischer Initiativen die Trusted Cloud-Plattform auf der CeBIT 2016 gestartet. Ziel ist auch die Entwicklung eines europäischen Cloud- Labels.

Elektronische Vertrauensdienste und sichere digitale Identitäten

Seit dem 1. Juli 2016 bildet die eIDAS-Verordnung in der gesamten EU den einheitlichen Rechtsrahmen für elektronische Vertrauensdienste wie elektronische Signaturen, Siegel und Zustelldienste. Sie ermöglicht erstmals Unternehmen sowie Bürgerinnen und Bürgern EU-weit sichere elektronische Transaktionen. Finanzielle und administrative Entlastungen für Unternehmen und Behörden sind besonders von dem neuen "elektronischen Siegel" zu erwarten. Mit diesem können juristische Personen erstmals elektronische Dokumente elektronisch signieren. Dies war bisher natürlichen Personen vorbehalten.

Das BMWK setzt sich für eine möglichst weitgehende Rechtssicherheit bei der grenzüberschreitenden Anwendung der elektronischen Vertrauensdienste ein. Hierzu hat es insbesondere das eiDAS-Durchführungsgesetz erarbeitet. Im Zentrum dieses Gesetzessteht das „Vertrauensdienstegesetz“ (VDG), mit dem die Nutzung elektronischer Vertrauensdienste in Deutschland deutlich vereinfacht wird. Das Gesetz wurde am 29. März 2017 vom Bundeskabinett und am 22. Juni 2017 vom Bundestag verabschiedet und ist am 29. Juli 2017 in Kraft getreten. Gleichzeitig werden das nationale Signaturgesetz und die Signaturverordnung aufgehoben und Letztere durch die sogenannte Vertrauensdienste-Verordnung ersetzt. Zudem wird das BMWK die Entwicklung der Identitätsdienste begleiten und die Erarbeitung sicherer "digitaler Identitäten" von Bürgern und Unternehmen unterstützen. Ein Informationspapier zum eIDAS-Durchführungsgesetz erklärt die Funktionsweise und Vorteile der einzelnen Vertrauensdienste.

Sichere Identitäten im Internet der Dinge

Nach Schätzungen werden bis zum Jahr 2020 ca. 20-50 Milliarden Geräte im sogenannten "Internet of Things" über das Internet verbunden sein. Für die Sicherheit, beispielsweise in Bereichen wie E-Health, Autonomes Fahren oder Industrie 4.0, ist entscheidend, dass sich die Geräte und Maschinen untereinander eindeutig identifizieren können. Das BMWK hat daher gemeinsam mit dem Deutschen Institut für Normung (DIN) am 7. Februar 2017 eine Initiative für eine plattformübergreifende eindeutige Identifikation und Authentifizierung von Menschen, Maschinen und Prozessen gestartet.

Der IT-Sicherheitsmarkt in Deutschland

In Deutschland bieten zahlreiche Unternehmen IT-Sicherheitsprodukte und -dienstleistungen an, die bei der Sicherung sensibler Daten, kritischer Infrastrukturen und der Umsetzung von Sicherheitsrichtlinien in Unternehmen helfen. Die überwiegend mittelständisch geprägte IT-Sicherheitswirtschaft zeichnet sich durch Technologievorsprünge in den Bereichen Kryptografie, Smart Cards, PKI-Lösungen, digitale Signaturen und Hochsicherheitslösungen aus. Durch die Kompetenzdichte und Zuverlässigkeit genießt sie ein positives Image auch auf ausländischen Märkten.

Eine im Auftrag des BMWK erstellte Studie zum IT-Sicherheitsmarkt in Deutschland wurde inzwischen bereits zum zweiten Mal aktualisiert. Die Studie liefert wichtige Erkenntnisse darüber, wie sich die IT-Sicherheitswirtschaft als Branche entwickelt hat. Sie zeigt die Herausforderungen und Potenziale der IT-Sicherheitswirtschaft, insbesondere mit Blick auf die voranschreitende Digitalisierung der Wirtschaft und die damit verbundenen Risiken für die sensiblen Daten der Unternehmen. Die Studie enthält folgende Kernaussagen:

Die Branche hat im Zeitraum von 2007 bis 2017 eine bemerkenswerte Entwicklung vollzogen. So verzeichnete die IT-Sicherheitswirtschaft in Deutschland ein nahezu genauso hohes durchschnittliches Wachstum wie die Automobilindustrie. Der in der Branche generierte Produktionswert ist insgesamt um mehr als 70 Prozent gestiegen und zeigte sich wenig von den konjunkturellen Schwankungen beeindruckt. Der Außenhandel hingegen wurde zwar stärker von der Rezession betroffen, erholte sich in den Jahren danach und hatte im Jahr 2017 einen Außenhandelsüberschuss vorzuweisen.

Die Bedeutung der digitalen Sicherheit nimmt mit der voranschreitenden Digitalisierung zu. Die Frage nach der Notwendigkeit des Schutzes der IT-Systeme, Informationen und Daten ist Teil des unternehmerischen Alltags der deutschen Wirtschaft.

Auch der Beschäftigungszuwachs von 45 Prozent über den gesamten Betrachtungszeitraum zeigt die Dynamik der Branchenentwicklung.

Weiterführende Informationen