Cybersicherheit: "Es geht um die Wurst"
Beim 36. Cybersicherheitstag schlugen die Wirtschaftsverbände Alarm. Die BSI-Präsidentin kündigte an, Sanktionen über die NIS2-Richtlinie nicht zu priorisieren.
Die Herausforderung für Unternehmen in der Cybersicherheit sei riesig, schildert der Geschäftsführer der Deutschen Industrie- und Handelskammer (DIHK) Martin Wansleben. Die Summe bürokratischer Herausforderungen führe aber bei Unternehmen zur Überlastung und auch die Akzeptanz sinnvoller Maßnahmen sei gefährdet. Bei Unternehmen entstehe ein fataler Eindruck: "Der Staat verkrümelt sich. Ist denn nicht Sicherheit eine grundlegende staatliche Aufgabe?" Nach wie vor regiere bei vielen Mittelständlern noch das Prinzip Hoffnung. Dabei sei klar: "Ohne Cybersicherheit gibt es keine Digitalisierung, ohne Digitalisierung keine Steigerung der Produktivität." Und das entscheide über die wirtschaftliche Leistungsfähigkeit des Landes.
Wenn Kriegstüchtigkeit das Ziel sei, sei Cybersicherheit erste Priorität und andere Regeln wie etwa das Lieferkettengesetz müssten dann depriorisiert werden. "Beim Sicherheitsthema geht es wirklich um die Wurst", sagt Wansleben. Ähnlich argumentiert der Geschäftsführer des Zentralverbandes des Deutschen Handwerks (ZDH) Karl-Sebastian Schulte auch mit Blick auf die finanziellen Möglichkeiten der Unternehmen: "Wenn der Staat knappe Kassen hat, hat dieser Prozess mindestens zwei Jahre vorher in der Industrie schon eingesetzt."
Plattner will kooperieren statt sanktionieren
Die Kritik der Wirtschaft richtete sich ausdrücklich nicht gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dessen Präsidentin Claudia Plattner fordert in Berlin mehr Engagement. "Wir können uns das nicht leisten, wenn Milliardenbeträge aus unserem Land herausfließen", sagt sie mit Blick auf wirtschaftliche Folgen und Ransomware-Zahlungen. "Wir können es uns nicht leisten, uns spalten zu lassen durch Desinformation. Und wir können es uns nicht leisten, dass Know-How für Umme abgezogen wird." Auch Sabotage zuzulassen, sei nicht vertretbar, mahnt Plattner.
Daher mĂĽssten vor allem die neuen EU-Regelwerke NIS2 und Cyber Resilience Act, die sie als Zwillinge begreife, praktisch mit Leben gefĂĽllt werden. Unternehmen wĂĽrden mit modernen Methoden wie konsequenter Nutzung einer Software Bill of Materials (BOM) deutliche Verbesserungen bei der IT-Sicherheit erzielen. "Wie viele Hersteller wissen denn wirklich, welche Libraries in welchen Versionen in ihren Produkten verbaut sind?", fragt Plattner mit Blick auf Software-Lieferketten.
Das BSI will bei der NIS2-Anwendung primär auf Kooperation setzen, kündigt die BSI-Präsidentin an. Das Interesse der Unternehmen sei riesig -- die Behörde habe eine neue Webinarlösung finden müssen, um dem gerecht zu werden. 29.000 Unternehmen einzeln anzusprechen, sei unmöglich. "Bis jetzt ist für die NIS2-Umsetzung auch kein Stellenaufbau bei uns vorgesehen", schildert Plattner. "Wir können gar nicht weitermachen wie bisher", so die BSI-Präsidentin mit Blick auf die dann mehr als sechsfache Zahl unter die KRITIS-Vorgaben fallenden Firmen und Behörden, die das BSI kontrollieren, beraten und im Notfall auch unterstützen soll.
Bundesinnenministerium warnt vor ĂĽberzogener Regelkritik
Bereits 36.000-mal sei der NIS2-Checker des BSI genutzt worden, verrät die Abteilungsleiterin Cyber- und Informationssicherheit im Bundesministerium des Innern, Friederike Dahns. Zugleich warnt sie vor Pauschalurteilen über Regeln. Aufregen sei legitim, doch: "Da draußen gibt es ganz, ganz viele Mächte, die machen ihre Regeln nicht mehr im demokratischen Konsens. Die würden niemanden von Ihnen fragen, bevor sie ein Gesetz verabschieden zur Einmeldung von Schwachstellen, zum Durchführen von Penetration Tests, zum Verstaatlichen von Unternehmen." Dahns war vor ihrer neuen Rolle im Innenministerium auch für Spionageabwehr zuständig. Sie nimmt die Unternehmensvertreter ins Gebet: "Ich habe jahrelang in der Spionageabwehr jeden Tag gesehen, wie Sie alle angegriffen werden. Auf allen Wegen. Und wie Sie hilflos und ohnmächtig zu Recht verlangt haben, dass der deutsche Staat Sie schützt, auch mit einem guten Regelwerk."
Damit das gelingt, soll mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz der gesetzliche Rahmen genauer abgesteckt werden. Morgen berät der Deutsche Bundestag in erster Lesung darüber. Er sehe über die aktuelle Gesetzgebung hinaus Anpassungsbedarf im rechtlichen Rahmen, sagt Innenministeriums-Staatssekretär Markus Richter -- insbesondere beim Föderalismus: "Entscheidend ist, dass wir wissen: Wer reagiert auf welchen Angriff mit welcher Kompetenz." Heute sei es vor allem eine Frage des Auftretens des Vorfalls, welche Behörde zuständig sei, so Richter.
(mma)