28. November 2022
Immer häufiger werden Unternehmen, Energieversorger und Behörden mit Cyberangriffen attackiert. Hacker nutzen Systemschwachstellen, um Produktionsanlagen, Datennetzwerke, Dienstleistungsplattformen oder im schlimmsten Fall auch systemkritische Infrastrukturen wie beispielsweise die Energieversorgung ausser Betrieb zu setzen. Aber auch oft wenig geschützte Kleinunternehmen sind zunehmend betroffen. Die Europäische Kommission will nun die Wirtschaft mit einem gesetzlichen Regelwerk besser unterstützen, die notwendigen Vorkehrungen treffen zu können, dem sogenannten Cyber Resilience Act (CRA).
Der Cyber Resilience Act (CRA) setzt grundlegende Anforderungen an die Entwicklung, Herstellung und Gestaltung von Produkten und Diensten mit digitalen Teilfunktionen, adressiert also Software wie Hardware. Die Wirtschaftsteilnehmer sollen durch den gesetzlichen und regulatorischen Rahmen motiviert wie auch verpflichtet werden, Cybersicherheit über den gesamten Produktlebenszyklus aufrecht zu erhalten. Dabei werden europäische harmonisierte Normen eine zentrale Rolle spielen – und Normung bleibt aus Sicht der Behörden ganz klar eine Aufgabe der Wirtschaft.
Im technischen Bereich am häufigsten sind Ransomware Angriffe, also eingeschleuste Schadenssoftware, die vorhandene Daten verstecken oder verschlüsseln will, um deren Nutzung zu verhindern und beispielsweise erst nach Zahlung eines Lösegelds wieder freizuschalten. Aber auch staatliche Akteure können auf den Plan treten mit Spionage bis hin zu hybrider Kriegsführung.
«Die Lage ist ernst! Sicherheit durch Standardisierung schafft aber auch einen echten Wettbewerbsvorteil.» konstatiert Dr. Konstantin von Notz, Mitglied des Deutschen Bundestages
Die Politik will daher für Unternehmen, gerade auch kleinere und mittlere mit eingebunden, echte (auch steuerliche) Anreize schaffen, um zu investieren. Nebst der Tatsache, dass es sich ohnehin schon rechnen sollte, die Ausfallswahrscheinlichkeit über eine «Versicherungsprämie» auf ein sinnvolles Mass zu reduzieren. Schliesslich will kein Chef am Morgen seine Mitarbeitenden mit dem Megafon begrüssen und informieren, dass sie das Gelände aufgrund eines lahmgelegten Zutrittssystems nicht mehr betreten können.
«Wenn Sie regelmässig trainieren, werden Sie kontinuierlich besser.» Dr. Lutz Jänicke, Corporate Product and Solution Officer bei Phoenix Contact, teilt seine Erfahrungen.
Cyber Resilience wird also zu einer präventiven wie reaktiven Kernkompetenz im Wirtschaftsraum, also auch zu einer zentralen Anforderung an Produkte und systemische Dienste. Der Cyber Resilience Act als horizontales Rechtssetzungswerk nimmt dabei alle Akteure mit in die Pflicht: Normung, Standardisierung und Zertifizierung werden zunehmend einen definierten Schutzgrad sicherstellen (Basic / Substantial / High). Das Ganze soll aber nicht zu einem Regulierungsüberhang führen, sondern gerade auch für kleine Unternehmen einfache und umsetzbare Leitplanken und Anreize geben.
Damit dies gelingt, sind auch der Gesetzgebung nachgelagerte Behördeninstanzen aufgerufen, sich vermehrt an der Normengestaltung mitzubeteiligen. Politik, Regulierung und Normung müssen sich gemeinsam für die Verbesserungen engagieren, sich auch über Landesgrenzen hinaus vernetzen und auf eine gemeinsame Roadmap einigen.
«Auch Behörden müssen sich aktiv in die Thematik einklinken und eine übergeordnete Roadmap vorgeben. Aber gerade die Wirtschaft muss jetzt einen ganz zentralen Beitrag in die Normung leisten.» empfiehlt Mindir Andreas Könen, Abteilungsleiter Cyber- und Informationssicherheit im Bundesministerium des Innern und für Heimat.
Die Experten geben einen klaren Ausblick auf die kommenden drei Jahre: Der neue CRA wird die Anbieter zu verbesserten Produkten und Plattformen motivieren. Er verhindert auch eine Fragmentierung der Schutzmechanismen. Die Wirtschaft ist dabei gefordert, einen wesentlichen Beitrag über ihre engagierte Mitwirkung in der Normung zu leisten.
Ebenfalls gefordert sind die Unternehmen, nebst grösseren und Verwaltungen gerade auch viele kleinere und mittlere, sich im Tagesgeschäft mit der Thematik zu befassen und geeignete Investitionen in Richtung Prävention wie auch vorbereitete Abwehrprozesse zu tätigen. Selbst wenn es nie einen hundertprozentigen Schutz geben wird, sollte man Zugriffe genügend stark erschweren, sowohl auf der digitalen wie auch der physischen Ebene. Und man muss akzeptieren, dass man sich der digitalen Umgebung ständig wieder neu anpassen und stetig dazulernen muss.
«Digitale Souveränität muss vernünftig umgesetzt werden. Dazu braucht es aktive Unternehmen und auch eine internationale Kooperation in der Europäischen Union.» Prof. Dr. Jur. Dennis-Kenji Kipker, Professor für IT-Sicherheit der Universität Bremen und Legal Advisor beim VDE, moderierte den Webtalk vom 24.11.2022.
Digitale Souveränität im Europäischen demokratischen Raum wird also in einem Zeitalter, indem wir nebst zunehmender digitaler Kriminalität auch hybride Kriegsführung feststellen müssen, immer wichtiger. Man kann diesen Begriff auch gleich auf den umfassenderen Begriff einer Technologischen Souveränität ausweiten. Und damit sind wir auch schon beim nächsten Thema, welches das BDI-DKE Standards Breakfast am 1. Dezember 2022 von 8 bis 9 Uhr behandeln wird. Es zeigt uns den Handel im Spannungsfeld zwischen Konfrontation und Kooperation. Den Anmeldelink finden Sie gleich nachfolgend.
Veranstaltungen
Zum Thema Energietechnik
Expert Talk
29.11.2022 online 16:30 Versorgungssicherheit
Stromkongress
18./19.01.2023 Bern
NetzImpuls
22.03.2023 Aarau (mit Vorabend-Dinner)
Zum Thema Mobilität
e-mobile Online Forum
21.12.2022 online 12:30 ZEV
e-mobile Lade Forum
14.03.2023 Zürich (Themenvoting jetzt!)