Jedes Unternehmen arbeitet daran, die Wertschöpfungspotenziale der Digitalisierung für sich zu erschließen. Big Data, KI, Cloud-Computing und Industrie 4.0 sind in aller Munde. Doch mit zunehmend digitalen Geschäftsprozessen steigen auch die Cyber-Risiken. IT-Sicherheit ist heute eine zentrale Management-Aufgabe – auch für die Geschäftsführung und den Aufsichtsrat. Aber auch die Weiterentwicklung des gesetzlichen Rahmens ist von entscheidender Bedeutung. Auf EU-Ebene wurde kürzlich die Cyber-Security-Verordnung beschlossen und auf nationaler Ebene wird die Verschärfung des IT-Sicherheitsgesetzes diskutiert. Worauf Unternehmen zu achten haben, erläutert Paul Voigt, Salary Partner bei Taylor Wessing, im Interview.
DB: Welche Strategien brauchen Unternehmen, um bei Digitalisierung und Cyber-Security erfolgreich zu sein?
Voigt: Ein Universalkonzept, das sämtliche Bedrohungen abdeckt, gibt es nicht. Für einen möglichst weitreichenden Schutz ist es entscheidend, die IT-Sicherheit im Unternehmen mehrstufig und vielschichtig aufzubauen und die einzelnen Sicherheitsmaßnahmen gut aufeinander abzustimmen. Daher sollte nicht zu einseitig auf technische Lösungen gesetzt werden. Auch die besten technischen Lösungen können keinen ausreichenden Schutz gewährleisten, wenn das IT-Sicherheitskonzept die menschliche Seite der IT vernachlässigt. Es bedarf daher stets auch eines organisatorischen Sicherheitskonzepts. Dazu kann beispielsweise schon gehören, den Zugriff auf bestimmte Datensätze und den Zugang zu bestimmten Räumen auf einer „Need-to-know“-Basis zu beschränken. Ein hoher Standard in der IT-Sicherheit kann überdies nur erreicht werden, wenn die Unternehmensmitarbeiter über ein ausgeprägtes Sicherheitsbewusstsein verfügen. Ein solches ist erfahrungsgemäß aber nicht von Anfang an vorhanden, sondern muss erst entwickelt werden. Im Zentrum des IT-Sicherheitskonzepts sollte deshalb unter anderem die regelmäßige und möglichst umfassende Schulung der Mitarbeiter stehen.
Auch nach Risikogruppen unterteilte Unternehmensrichtlinien können ein sinnvolles Instrument der IT-Sicherheitsorganisation darstellen. Es sollte jedoch darauf geachtet werden, keine „Papiertiger“ zu kreieren. Vielmehr sollten die Mitarbeiter bei der Anwendung der Richtlinien unterstützt werden, beispielsweise über Helpdesks, an die sie Fragen stellen können, oder über das Bereitstellen von Checklisten und FAQ-Übersichten. Die Wirksamkeit und Einhaltung der IT-Sicherheitsrichtlinien sollten regelmäßig überprüft und die Richtlinien bei Bedarf angepasst werden.
DB: Nach dem jüngsten Diebstahl von Politikerdaten ist eine Verschärfung des IT-Sicherheitsgesetzes im Gespräch. Wie könnte aus Ihrer Sicht der Rechtsrahmen verbessert werden?
Voigt: Bereits im letzten Jahr wurde im Koalitionsvertrag zwischen CDU und SPD vereinbart, ein „IT-Sicherheitsgesetz 2.0“ zu schaffen. Der genaue Rahmen der Neuerungen ist noch unklar; es soll jedoch der Anwendungsbereich des IT-Sicherheitsgesetzes ausgedehnt werden, beispielsweise durch die Erweiterung des Begriffs der „Kritischen Infrastruktur“, an den viele der Pflichten des IT-Sicherheitsgesetzes anknüpfen. Bisher fallen nur wenige Branchen in den Anwendungsbereich des Gesetzes; der Anwendungsbereich soll um Branchen ergänzt werden, die nicht unmittelbar versorgungskritisch für die Bevölkerung sind, bei denen Ausfälle aber gleichfalls zu erheblichen Folgen in Gesellschaft und Wirtschaft führen können (z.B. die Branchen Chemie, Automobil, Sicherheit und Verteidigung, IT-Dienstleistung oder Luft- und Raumfahrt). Auch die Herabsetzung der Schwellenwerte, die für die Bestimmung der Kritikalität einer Anlage für die Bevölkerung maßgeblich sind, kann dabei helfen, flächendeckend einen höheren IT-Sicherheitsstandard zu erreichen. Derzeit greifen die Vorgaben des IT-Sicherheitsgesetzes regelmäßig nur dann, wenn von einem Ausfall der Kritischen Infrastruktur mehr als 500.000 Menschen betroffen wären.
Darüber hinaus scheint auch die Erweiterung des Anwendungsbereichs um Zuliefererketten sinnvoll. Bisher unterfallen solche Zulieferer nicht dem IT-Sicherheitsgesetz und müssen die dort geregelten IT-Sicherheitsstandards nicht einhalten. Es besteht daher die Gefahr von Domino-Effekten, wenn ein IT-Sicherheitsvorfall bei einem Zulieferer auftritt, dieser aber eine Vielzahl von Betreibern Kritischer Infrastrukturen versorgt. Durch die Gesetzesänderung sollen voraussichtlich auch technische und organisatorische Anforderungen an Zulieferer gestellt werden. Zur besseren Durchsetzung des IT-Sicherheitsgesetzes könnte zudem überlegt werden, höhere Bußgelder einzuführen. Insbesondere der Vergleich mit der Datenschutz-Grundverordnung zeigt, dass ein höherer Bußgeldrahmen Anreize für Unternehmen zur Verbesserung ihrer IT-Sicherheit schaffen und zu einer stärkeren Sensibilisierung in der Bevölkerung führen kann.
Insgesamt bleibt jedoch festzuhalten: Ein IT-Sicherheitsgesetz 2.0 allein wird den IT-Sicherheitsstandard in Deutschland nur eingeschränkt erhöhen können. Auch Unternehmen, die nicht dem IT-Sicherheitsgesetz unterfallen, sind IT-sicherheitsrechtlich bislang nämlich nicht vollkommen „unreguliert“. Die IT-Sicherheitsvorgaben der DSGVO – immerhin mit bis zu 10 Mio. € bußgeldbewehrt – gelten für alle Unternehmen in Deutschland. Auch aus vertraglichen Verpflichtungen und dem Gesellschafts- sowie Deliktsrecht folgt in vielen Fällen die Pflicht zur Einhaltung adäquater IT-Sicherheitsstandards. Wichtig ist, dass sich Unternehmen der Gefahren bewusst werden und adäquate IT-Compliance-Strukturen aufbauen.
DB: Die kürzlich beschlossene EU-Cyber-Security-Verordnung sieht die Schaffung eines europaweit vereinheitlichten Systems zur IT-Sicherheitszertifizierung von IKT-Prozessen, -Produkten und -Diensten vor, worunter insbesondere auch Geräte des Internet-of-Things fallen. Was bedeutet das für die Unternehmen?
Voigt: Durch die Schaffung eines einheitlichen europäischen Zertifizierungsrahmens für die Cyber-Sicherheit von Informations- und Kommunikationstechnik (IKT)-Produkten, -Verfahren und Diensten im Rahmen der EU-Cyber-Security-Verordnung soll insbesondere ein stärkerer Schutz von Verbrauchern bei der Nutzung von Onlinediensten und digitalen Geräten erreicht werden. Sogenannte Konformitätsbewertungsstellen sollen ein „europäisches Cybersicherheitszertifikat“ ausstellen können, mit dem bescheinigt wird, dass ein bestimmtes IKT-Produkt oder ein bestimmter IKT-Dienst die in einem europäischen System für die Cybersicherheitszertifizierung festgelegten besonderen Anforderungen erfüllt. Eine europaweite Pflicht zur Zertifizierung besteht für Unternehmen dabei zwar grundsätzlich nicht; auf EU-Ebene erhofft man sich dennoch eine weitreichende Inanspruchnahme der neuen Zertifizierung, da Unternehmen hierdurch Vertrauen bei Endkunden aufbauen können.
Herr Voigt – vielen Dank für das Interview!
Das Interview führte Frauke Nitschke, Redaktion DER BETRIEB.