Herr Wöhler, „smart“ und „connected“ sind zwei Begriffe, die uns überall begegnen – sei es bei Produkten, die wir hierzulande produzieren, oder auch bei Maschinen, mit denen produziert wird. Wie angreifbar macht sich die deutsche Wirtschaft mit einer zunehmenden Vernetzung?
Die Gefahren, die mit der zunehmenden Digitalisierung und Vernetzung unserer Wirtschaft einhergehen, sind tatsächlich nicht zu unterschätzen. Diese Diskussion führen wir ja jetzt beispielsweise auch immer wieder im Zusammenhang mit den coronabedingt aus dem Homeoffice arbeitenden Belegschaften – beispielsweise die Frage, wie sicher die genutzte Video-konferenzsoftware eigentlich ist, ob sie unseren Ansprüchen an den Datenschutz genügt oder wie anfällig Mitarbeiter für Social-Engineering-Attacken sind. Gefährlich ist Vernetzung aber auch dann, wenn kleinste, digitale Komponenten, die vielleicht von einem Zulieferer kommen, zum Einfallstor für Cyberkriminalität werden. Hier kann mein Kollege Dr. Brandt sicher das ein oder andere Beispiel aus dem Automotive-Sektor nennen, wo Vernetzung und smarte Fahrzeuge eine immer größere Rolle spielen.
Herr Dr. Brandt, sind vernetzte, smarte Autos also gar nicht erstrebenswert?
Wer einmal den Komfort eines vernetzten Fahrzeugs erleben durfte – von der Adresseingabe per Sprachbefehl bis zur Navigation mit Echtzeitverkehr – hat diese Frage längst für sich beantwortet. Allerdings öffnet ein immer größerer Softwareanteil tatsächlich Einfallstore, wie der Kollege richtig sagt. Interessant ist in diesem Zusammenhang, dass sie gar keinen großen technologischen Fortschritt brauchen, um ein Auto angreifbar zu machen. Es reicht ein vermeintlich simples Element wie der Regensensor, der durch Manipulation der Software theoretisch Informationen bis aus der zentralen Steuerung des Fahrzeugs ziehen könnte. Denkbar wäre somit ein Missbrauch in Richtung Datendiebstahl und damit verbunden die Auswertung des Fahrverhaltens der Nutzer oder ihrer Wegstrecken. Am Beispiel des Automobils wird deutlich, dass Cyber Security einen höheren Stellenwert in der Industrie einnehmen muss. Cyber Security muss fester Bestandteil bestehender Geschäftsprozesse werden.
Nun sind Cyberangriffe keine Seltenheit. Immer wieder geraten Unternehmen ins Visier, es kommt zu Reputationsschäden. Warum ist die Industrie in diesem so wichtigen Bereich noch nicht weiter, Herr Davignon?
Das kann man so pauschal nicht sagen. Es gibt zahlreiche Unternehmen, die IT- und Informationssicherheit sehr ernst nehmen und hier auch schon sehr weit sind. Insgesamt haben sie jedoch Recht, dass es Nachholbedarf gibt, vor allem, weil Cyber Security kein Ziel ist, das einmal erreicht werden kann. Es ist ein kontinuierlicher Prozess, der damit in erster Linie auch kontinuierlich Kosten verursacht. Und genau hier liegt aus unserer Sicht auch das größte Problem: Cyber Security ist eben kein Business Case. Und einen reinen Kostentreiber tut man dann schon mal leichtfertig mit der Hoffnung ab, dass es ja nur den anderen passiert.
Wobei doch spätestens bei einem Vorfall die Kosten-Nutzen-Abwägung zugunsten der Cyber Security ausfallen sollte, oder, Herr Wöhler?
Auch das ist ein wichtiger Punkt: Solange die Cyber Security in einem Unternehmen noch nicht den Stellenwert hat, sehen Sie als Verantwortlicher nicht, wie viele Angriffe tatsächlich auf Ihre Systeme, Ihre Maschinen oder Ihr Netzwerk gefahren werden. Viele Angriffe bleiben nämlich unentdeckt. Ist ein umfangreiches Cyber-Security-Management-System jedoch erst einmal etabliert, verändert sich auch die Kosten-Nutzen-Abwägung, wie Sie richtig sagen. Bis dahin gilt es an vielen Stellen jedoch, Überzeugungsarbeit zu leisten.
Warum glauben Sie, ist noch so viel Überzeugungsarbeit nötig?
Weil Technik und Software für viele Unternehmen ein ganz neues Geschäftsfeld sind. Wenn ich ein Unternehmen zur Herstellung von Gartengeräten leite, weiß ich genau, wo meine Risiken sind oder welche Fehler in der Produktion passieren können. Werden in meine Rasenmäher nun beispielsweise aber Sensoren eines Zulieferers – und somit Fremdsoftware – eingebaut, kommen neue Risiken hinzu, die mir nicht bewusst sind oder die ich vielleicht gar nicht bewerten kann. Wir müssen also an vielen Stellen erst einmal ein neues Bewusstsein für diese branchenfremden Risiken schaffen, die mit der Digitalisierung einhergehen.
Muss vielleicht die Politik der Cyber- Sicherheit stärker unter die Arme greifen, Herr Davignon?
Wir vergleichen IT- und Informationssicherheit gerne mit dem Sicherheitsgurt im Auto. Keiner zweifelt seinen Mehrwert an, dennoch werden immer wieder Autofahrer angehalten und bekommen ein Bußgeld, weil der Gurt eben nicht angelegt ist. Das wäre natürlich auch ein gangbarer Weg, die deutsche Wirtschaft insgesamt vor der zunehmenden Cyberkriminalität zu schützen – vor allem in jenen Branchen, die keinen Software-geprägten Ursprung haben. Das zeigt sich ja beispielsweise im Automotive-Sektor, wo die UN mit dem ECE ein Gremium ins Leben gerufen hat, dessen Aufgabe es ist, einheitliche technische Kriterien für Kraftfahrzeuge zu entwickeln.
Herr Dr. Brandt, brauchen Autos tatsächlich zukünftig einen Digital-TÜV?
Jeder moderne Mittelklassewagen ist schon heute ein kleines Rechenzentrum auf vier Rädern. Ihre Vertragswerkstatt kann genau auslesen, wie oft Sie den Kofferraum öffnen, welche Durchschnittsgeschwindigkeit Sie fahren und viele andere Nutzerdaten. Das vernetzte Fahrzeug von morgen bietet unzählige Angriffsszenarien und Einfallstore für gezielte Manipulation und Datendiebstahl. Ich halte es daher für sinnvoll, dass hier mit neuen Richtlinien Maßstäbe und Standards für die Industrie gesetzt werden. Denn die Branche wandelt sich, von einem reinen Hardware- hin zu einem Software-Anbieter. Und wenn Software zum neuralgischen Punkt wird, muss die Sicherheit in der Entwicklung klar priorisiert werden.
Haben wir denn die nötigen IT-Ressourcen, um diesen Herausforderungen gerecht zu werden, Herr Davignon?
Die Kapazitäten sind erschöpft. Der Beratung sowie der Bereitstellung von Cyber Security Teams – die temporär Projekte für verschiedene Unternehmen umsetzen – kommen daher eine zentrale Bedeutung zu. Langfristig müssen Unternehmen, Wirtschaft und Staat in den Ausbau von IT-Ressourcen investieren.