Deep Dive #6: Digital Security in Berlin

Angesichts der Digitalisierung wird Digital Security immer wichtiger. Darüber sind sich Behörden, Verwaltung, Unternehmen und Bürger einig. In Berlin engagieren sich seit 2002 Landesregierung, Stadtverwaltungen, IT-Betriebe und Vereinigungen im Cluster IKT, um gemeinsam den Risiken im Cyberspace zu begegnen. Digital Security wurde als eines der Querschnittsthemen über die Zukunftsbranchen der Hauptstadtregion hinweg identifiziert und deshalb in der 2019 überarbeiteten Innovationsstrategie von Berlin und Brandenburg festgeschrieben.

Die deutschen Bundesbehörden und Facebook waren jüngst davon genauso betroffen wie der RWE-Konzern – in Zeiten von Big Data, KI und Industrie 4.0 machen die Bedrohungen aus dem Cyberspace vor niemandem Halt. In den vergangenen zwei Jahren wurden rund zwei Drittel aller heimischen Unternehmen erfolgreich von Cyberkriminellen angegriffen, ergab die IDC-Studie „IT-Security in Deutschland 2018“. Ein ähnliches Bild zeichnet der repräsentative „Deloitte Cyber Security Report 2018“, für den das „Institut für Demoskopie Allensbach“ 528 Entscheider aus Wirtschaft und Politik befragte. Die Hälfte aller untersuchten deutschen Unternehmen meinte dabei, wöchentlich oder sogar täglich angegriffen zu werden. Tendenz steigend.

Wirtschaftsschäden: Mindestens 50 Milliarden Euro

Computerviren, Schadsoftware, Datenbetrug sowie Fake-News nennen Wirtschaftsführer wie Politiker in der Deloitte-Studie als stärkste Bedrohungen. Die Einschätzungen werden durch Zahlen untermauert: So ist die Anzahl der Schadprogramme laut „BSI“ von 2017 bis 2018 um 30 Prozent gestiegen. Doch „Malware, Phishing und Social Engineering oder DoS-Angriffe“ sind gemäß IDC-Studie mit 31 Prozent nur einige der Risikofaktoren aus dem Cyberspace. Die größte Gefahr liege jedoch im Unternehmen selbst: Ob mangelndes Sicherheitsbewusstsein oder fehlendes Know-how der Mitarbeiter (37 Prozent), „ungesicherte oder mangelhaft gesicherte Endpoints“ (34 Prozent), vorsätzliches Fehlverhalten oder Datenmissbrauch (28 Prozent) beziehungsweise die unachtsame Vernetzung von Geräten mit Anwendungen (23 Prozent) – die Auswirkungen sind enorm. Auf die sicherheitstechnischen Konsequenzen folgen oftmals Umsatzeinbußen und Imageverlust. Auf mindestens 50 Milliarden Euro belaufen sich nach Schätzungen des „Bundesamtes für Verfassungsschutz“ jährlich die Schäden für deutsche Unternehmen.

Angesichts dieser Folgen ist Digital Security, so der Überbegriff für Fragestellungen der IT-Informationssicherheit, nicht zu unterschätzen. Unternehmen haben den Ernst der Lage erkannt: So stieg in Deutschland im vergangenen Jahr der Umsatz mit Hard-, Software und Services für IT-Sicherheit laut „Statista“ um neun Prozent auf 4,1 Milliarden Euro. Das Wachstum soll sich 2019 fortsetzen. Grundlegende IT-Security-Lösungen haben sich flächendeckend in Unternehmen etabliert, bestätigt die IDC-Studie an 230 Organisationen mit mehr als 20 Mitarbeitenden. Der Einsatz von Endpoint-Security-Software zur Anti-Virus und Threat Prevention oder Verschlüsselung sind demnach selbstverständlich (88 beziehungsweise 70 Prozent); Firewall Appliances, Netzwerk-, Web- oder Messaging-Security-Software gehören für über die Hälfte zum Standard. 22 Prozent setzen auf Security-Analytics-Technologien, um Bedrohungen vorab zu erkennen und abzuwehren. Zusätzlich nutzen mehr als 20 Prozent Security Services wie Firewall, IDS und IPS aus der Cloud. Es folgen E-Mail-Protection, Web-Filtering, Client-Verwaltung, Data Backup und Disaster Recovery. Zur Entlastung der IT-Mitarbeiter sowie Beschleunigung von Security-Prozessen setzt dabei der Großteil der Befragten auf Automatisierungsprozesse. Lediglich 21 Prozent haben weniger als ein Viertel ihrer Prozesse automatisiert, und nur fünf Prozent verfügen über keine automatisierten Abläufe.

^{© Unsplash}

Sicherheit als Management-Aufgabe

Entspannt zurücklehnen können sich die Unternehmen aber nicht. Im Gegenteil. Um tatsächlich Schutz zu gewähren, braucht es dem IDC zufolge ein einheitliches Managementsystem für Informationssicherheit sowie ergänzende Sicherheitskonzepte in Unternehmen, das IT-Security-Lösungen, -Technologien und -Services zentral zusammenfasst und steuert. Bisher haben nur 58 Prozent der Teilnehmer ein eben solches eingeführt. Angesichts der raschen technologischen Entwicklungen, in denen minütlich neue Gefahren entstehen, müssten auch Security-Lösungen ständig angepasst werden. Innovative Ansätze wie Automatisierung, Analytics oder flexible und modulare Nutzungsmodelle seien ebenfalls notwendig. Darüber hinaus sollten sich die Unternehmen langfristig auf strategische IT-Security-Lösungen konzentrieren, empfehlen die IDC-Experten. „IT-Sicherheit ist heute kein Nebenthema mehr, sondern eine zentrale Management-Aufgabe“, kommt der Deloitte Cyber Security Report 2018 zu einem ähnlichen Fazit und rät neben klaren Verantwortlichkeiten zu einem Konzept der Resilienz. Denn die Vorstellung, sich hundertprozentig vor jedem „Cyber Threat“-Typus schützen zu können, sei unrealistisch. Letzteres läge nämlich nicht nur am Unternehmen selbst. Der Staat müsse Rahmenbedingungen schaffen und im Krisenfall helfend eingreifen, heißt es. Die Wirksamkeit einer ebensolchen Unterstützung bei Cyber-Angriffen schätzen 56 Prozent der befragten Wirtschaftsführer als hoch ein. Zugleich sind 85 Prozent der Meinung, der Staat könne hier noch mehr Zeichen setzen – auch im eigenen Interesse.

Gefährlich wie Terrorismus und organisierte Kriminalität

Daten- und Identitätsdiebstahl, Spionage, Cyber-Warfare bedrohen schließlich nicht nur die Wirtschaft, sie gehören neben Terrorismus und organisierter Kriminalität zu den gravierendsten nationalen Risiken. Zu diesem Ergebnis kam der „Deloitte European Cyber Defense Report 2018”, der erstmalig einen Überblick über die nationalen Strategien, Akteure und Initiativen zur Abwehr von Cyberbedrohungen gab. Besonders die Sicherung kritischer Infrastrukturen, die Schaffung robuster Informationssysteme sowie eines sicheren Datentransfers sind bei allen der 29 untersuchten europäischen Staaten sowie der Cybersupermächte USA, China und Russland als Ziele in den nationalen Sicherheitsrichtlinien verankert. Allerdings fehle es meist an proaktiven Maßnahmen zum Schutz gegen Angriffe, weist der Bericht auf Mankos hin. Außerdem sei mehr als ein Drittel der Richtlinien vier Jahre oder älter – und damit alles andere als zeitgerecht. Auch hierzulande ist die Branche skeptisch, ob der Staat gegen Cyberbedrohungen gewappnet ist. Nur zehn Prozent der Wirtschaftsführer glauben laut Deloitte Cyber Security Report 2018, dass die Bundesrepublik auf Angriffe auf kritische Infrastrukturen „so gut wie möglich“ vorbereitet ist. Bei den Politikern sind es mit 14 Prozent nicht viel mehr.

Dass angesichts der wachsenden Bedrohungen rechtliche und regulatorische Rahmenbedingungen gefragt sind, dessen ist man sich auf allen Ebenen bewusst. Mit der Richtlinie zur Netz- und Informationssichertheit (NIS) wurden 2016 beispielsweise Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union geschaffen. Der „EU Cybersecurity Act“ macht unter anderem Herstellererklärungen von Unternehmen erforderlich, und die EU-Datenschutz-Grundverordnung (EU-DSGVO) soll die Verarbeitung von privaten Informationen durch Unternehmen sichern. Doch nicht nur europaweit sind kürzlich für den digitalen Raum Regelwerke implementiert worden oder in Planung. Das deutsche IT-Sicherheitsgesetz 2.0, das sich in der Ressortabstimmung befindet, fordert eine Ausweitung der Befugnisse des BSI, eine Verschärfung des Cyberstrafrechts und eine Intensivierung des Verbraucherschutzes, inklusive IT-Sicherheitskennzeichnung. Letzteres macht eine weitere Herausforderung von Digital Security deutlich: So notwendig Compliance-Richtlinien, aber auch die Nachweise zur Absicherung kritischer Infrastrukturen (Kritis) sind, machen ihre Vorgaben die bereits jetzt schon umfassenden IT-Prozesse noch komplexer.

Berliner Modell: Zusammenarbeit von Verwaltung und Wirtschaft

Ob öffentliche Verwaltung, Hersteller, Anbieter oder Anwender – keine Gruppe kann diese zunehmende Komplexität allein meistern. Zu diesem Schluss kommen sämtliche Untersuchungen und empfehlen einen intensivierten Dialog unter den Gruppen. Während kürzlich der „Nationale Pakt Cybersicherheit“ ins Leben gerufen wurde, um eben diese Vernetzung für digitale Sicherheit deutschlandweit einzubinden und damit eine Forderung des Koalitionsvertrags umzusetzen, hat man in Deutschlands IT-Hauptstadt Berlin das Potenzial der gemeinsamen Verantwortung für Digital Security schon vor Jahren erkannt. Seit 2002 stellen Verwaltung und Wirtschaftsförderung das Thema „Sicherheit mit IT“ als einen Schwerpunkt der Arbeiten im Cluster IKT heraus. 2011 wurde Digital Security dann als Querschnittsthema verschiedener Branchen in der gemeinsamen Innovationsstrategie der Länder Berlin-Brandenburg (innoBB) fest verankert und 2019 als innoBB 2025 fortgeschrieben. Zusätzlich sind in wohl keiner deutschen Stadt so viele Fachgremien mit IT- und Cybersecurity-Schwerpunkten zu finden wie in Berlin. Fachveranstaltungen und Kongresse wie die „Potsdamer Konferenz für Nationale Cybersicherheit“ (HPI), der „Public IT- Security PITS“ (Behördenspiegel) und die „Jahrestagung Cybersecurity“ (Handelsblatt) sorgen in der Hauptstadtregion für eine rege Auseinandersetzung mit dem Thema.

^{© Unsplash}

„it´s.BB“: IT-Sicherheit geht uns alle an

Laut der letzten Untersuchung der Senatsverwaltung für Wirtschaft Energie und Betriebe aus dem Jahr 2016 umfasst die Digital Security Branche rund 3.000 Erwerbstätige in mehr als 100 Unternehmen. Zudem treibt eine immer größere Zahl von Gemeinschafts-Initiativen und Kooperationen wie der „Bundesverband IT-Sicherheit e.V. (TeleTrusT)“, das „Digital Security Netzwerk Berlin e.V. (DSNB)“ oder der Verein „Sichere Identität Berlin-Brandenburg e.V.“ das Thema Digital Security durch gemeinsame Vorhaben, Informations- und Netzwerkarbeit voran. Mit dem IT-Sicherheitsnetzwerk Berlin-Brandenburg „it´s.BB“ ist Ende 2018 die jüngste Initiative dazugekommen, in der sich zehn namhafte Unternehmen aus der Cyber-Sicherheitsbranche zusammengeschlossen haben, um die Branche zu stärken, zu vernetzen und die Hauptstadtregion als IT-Sicherheitsstandort noch attraktiver zu gestalten.

Das Netzwerk, zu dessen Mitgliedern „becon“, „iABG", „HiSolutions AG“, „Nexenio“ und „iSQI GmbH“ zählen, sieht sich als Koordinator und Verbindungsglied bei Projekten und Kooperationen. Vor allem der Austausch mit Hochschulen steht ganz oben auf der Agenda von it´s.BB. Hier liegt nämlich noch großes Optimierungspotenzial, fehlen doch laut aktuellem Fachkräftemonitor der IHK im Jahr 2019 im Gesamtbereich IKT-Berufe rund 4.500 Fachkräfte in Berlin. Auf das Spezialgebiet IT-Sicherheit heruntergebrochen gehen Schätzungen von etwa 350-400 Experten aus. Den Fachkräftemangel zu beheben, ist nicht das einzige Ziel von it´s.BB. Das Netzwerk möchte darüber hinaus die Sichtbarkeit der IT-Security Community in der Hauptstadtregion fördern und so die Attraktivität Berlins als Arbeitsstandort für Fachkräfte in diesem Bereich weiter erhöhen. Ein besonderes Anliegen ist außerdem, sich als zentrale fachliche Anlaufstelle für Verwaltung, Politik und Wirtschaft bei Fragen zur Digital Security zu etablieren. So sollen vor allem auch kleine und mittlere Unternehmen (KMU), die laut einer Untersuchung des Bitkom aus dem Jahr 2018 besonders von diesen Bedrohungen betroffen sind, im Fall einer Cyberbedrohung sofort eine Anlaufstelle zur Schadensminimierung haben. Denn Digital Security geht eben nicht nur Bundesbehörden, Facebook oder den RWE-Konzern an – sie betrifft uns alle.

In der Themenreihe “Deep Dive” gibt Projekt Zukunft regelmäßig Einblick in aktuelle Technologien der Digital-, Medien- und Kreativwirtschaft und informiert über Akteure, Trends und Anwendungen aus Berlin.