»Blindes Vertrauen funktioniert digital nicht«

Marius von Spreti › Wie gut deutsche Unternehmen auf die stark veränderten Cyber-Risiken vorbereitet sind, lässt sich nicht pauschal beantworten. Dafür ist die Cyber-Resilienz über die verschiedenen Industriezweige und Unternehmensgrößen zu heterogen. Aber eins ist klar: Die tatsächlichen Cyber-Risiken und die vorhandenen Abwehr-, Erkennungs-, Reaktions- und Wiederherstellungsmechanismen müssen dringend überprüft und gegebenenfalls angepasst werden.

Denn mehrere Faktoren führen dazu, dass das Risiko für deutsche Unternehmen hoch ist und weiter steigen wird: Durch die fortschreitende Digitalisierung aller Geschäftsbereiche wächst die Angriffsfläche von Unternehmen rasant. Außerdem ist die akute Bedrohungslage durch sogenannte nation-state actors massiv gestiegen, also durch Hackergruppen die mit hoch-innovativen und spezialisierten Methoden im Auftrag von Geheimdiensten und Staaten agieren.

von Spreti › Die geopolitischen Spannungen und damit auch die Gefahr von Cyber-Angriffen haben in jüngster Zeit stark zugenommen. Doch auch bereits vor dem Krieg in der Ukraine war Cyber Security keine nachgelagerte Fragestellung mehr. Sie muss – nun mehr denn je – integraler Bestandteil der digitalen Wertschöpfung sein. Durch den zunehmenden Einsatz digitaler Technologien entsteht eine virtuelle Welt, die weite Teile unserer Wirtschaft und Gesellschaft durchdringt: Beruflich und privat wird zunehmend über digitale Kanäle kommuniziert, und neue datengetriebene Geschäftsmodelle bauen auf digitalen Technologien auf, woraus sich ganz neue Risiken ergeben. Sich beim Aufbau komplexer IT-Architekturen, einem digitalen Produkt oder Service erst im Nachhinein um die Sicherheit zu kümmern funktioniert nicht mehr. Cyber Security bildet die grundlegende Basis in der digitalen Welt, die nachhaltige digitale Wertschöpfung erst möglich macht.

von Spreti › Bei Corporate Digital Responsibility (CDR) geht es um die Verantwortung von Unternehmen für gesellschaftliche und wirtschaftliche Veränderungen durch Digitalisierung. Hierbei handelt es sich um eine freiwillige Selbstverpflichtung, die für Unternehmen immer wichtiger wird, um Vertrauen von Kunden in digitale Services und Produkte zu stärken. Der sorgfältige und vertrauensvolle Umgang mit Daten, die Kunden und Geschäftspartner Unternehmen überlassen, ist ein wichtiger Bestandteil von CDR. Unternehmen stellen schon länger ethische und ökologische Ansprüche an sich selbst, vermeiden beispielsweise CO2-Emissionen oder achten auf ethische Standards in ihren Lieferketten.. Nun stellen sie vergleichbare Ansprüche zunehmend auch an ihren Umgang mit Daten.

von Spreti › Zum einen geht es um den Schutz der Daten vor unbefugtem Zugriff – also vor Cyberkriminellen, die sie verschlüsseln, um Unternehmen zu erpressen, oder die sie stehlen, um sie selbst zu nutzen oder weiterzuverkaufen. Zum anderen geht es um die Art und Weise, wie die Unternehmen mit den ihnen anvertrauten Daten arbeiten, wie sie die Persönlichkeitsrechte jedes Einzelnen innerhalb ihrer Organisation wahren. Dies wird immer wichtiger, da datengetriebene Geschäftsmodelle im Kern oft auf persönliche Daten angewiesen sind, und das darf nicht zu Lasten der Kunden gehen. Der Datenschutz und die digitale Ethik muss in der DNA eines Unternehmens verankert werden, und das ist Teil der Corporate Digital Responsibility.

von Spreti › Für Verbraucher ist die digitale Welt inzwischen fester Bestandteil des Alltags geworden. Daher ist es essenziell, dass auch in der digitalen Welt ein sicheres Umfeld mit zeitgemäßen Regeln geschaffen wird. Die EU reagiert mit dem Verordnungsentwurf zum Digital Services Act auf Risiken und Gefahren wie illegale Inhalte oder Einschränkung der Meinungsfreiheit. Gerade große Online-Plattformen müssen Maßnahmen ergreifen, die Melde- und Abhilfemechanismen erleichtern und gleichzeitig aktiv mit Regeln, Sperrung und Löschung gegen Missbrauch vorgehen. Mitgliedstaaten sollen Behörden als Koordinatoren für digitale Dienste ernennen, die umfangreiche Auskunfts-, Durchsetzungs- und Sanktionsrechte erhalten sollen. Bei der Nachverfolgung setzt die EU auf die Zusammenarbeit der Mitgliedstaaten. Das schafft Verantwortung und Vertrauen für Markt und Akteure.

von Spreti › Am Anfang eines Prozesses, der zu mehr Cyber Security führen soll, steht immer ein möglichst ganzheitlicher Überblick: Welche neuen digitalen Geschäftsmodelle und welche rechtlichen und regulatorischen Anforderungen spielen eine Rolle? In welchen Situationen in der Vergangenheit ist es beispielsweise zu Hacker-Attacken oder Erpressungen gekommen? Danach lassen sich technische und organisatorische Maßnahmen planen und im nächsten Schritt in permanente betriebliche Services und Prozesse umsetzen – beispielsweise, um Angriffsmuster oder nicht autorisierte Datenabflüsse zu erkennen. Wichtig ist auch, die Mitarbeiter durch Trainings stärker für Gefahren zu sensibilisieren. Ziel muss es sein, im Unternehmen – und damit auch in seinen Produkten und Dienstleistungen – ein grundsätzliches Bewusstsein für das Thema Cyber zu verankern.

von Spreti › Heute gibt es keine nicht digitalen Unternehmen mehr. Das Thema betrifft digitale Plattformen ebenso wie klassische Industrieunternehmen, die Steuerungskreise, Gebäudeleitsysteme oder Ventile und Pumpen für Wasserwerke herstellen. Auch die für Deutschland so wichtige Automobilindustrie muss sich mit der Frage beschäftigen, wie sie es schafft, von vorneherein Cyber in ihre Produkte einzubauen. Das gilt von der Hardware bis zur Software und über den gesamten Lebenszyklus hinweg.

von Spreti › Die Automobilhersteller befinden sich in einer maximalen Transformation. Da sind zum einen die Elektromobilität, die Dekarbonisierung und die Klimaziele. Zum anderen wandelt sich die Industrie auch hinsichtlich Vernetzung und digitaler Wertschöpfung. Man lernt dort gerade von den Newcomern am Markt, nicht viele kleine Computer in ein Auto, sondern das Auto um einen Computer herum zu bauen. Damit gelangen wir in einen Bereich, der das, was wir bisher über Sicherheit gesagt haben, um den Aspekt „Safety“ erweitert, nämlich die Sicherheit für Leib und Leben. Das erweitert das Thema Cyber noch einmal ganz erheblich und wird bereits auf der Ebene der Regulatorik unter dem Motto „Security by Design“ durch die Wirtschaftskommission der Vereinten Nationen für Europa, die UNECE, international verankert.

von Spreti › Cyber Security ist heute Chefsache, und der Chief Security Officer oder ähnliche Positionen gehören heute zum engen Kreis des Vorstands. Die starke, sichtbare Veränderung dieser Rolle zeigt, dass es nicht mehr nur um den Aspekt der Technologie, sondern um das Geschäft des Unternehmens in seinem Kern geht.

von Spreti › Wir sehen, dass sich eine steigende Anzahl von Unternehmen intensiv mit modernen Cyber-Security-Architekturen auseinandersetzt, die auf dem Prinzip „Never trust, always verify“ basieren. Ein einmal geprüfter Zugang gilt nicht mehr grundsätzlich als sicher oder vertrauenswürdig. Jeglicher Datenverkehr, jeder Zugriff und jede einzelne Transaktion wird authentifiziert, verifiziert und risikobasiert freigegeben. So werden resiliente Sicherheitsarchitekturen gebaut, die auch der Entwicklung Rechnung tragen, dass Mitarbeiter heute nicht mehr ausschließlich hinter der Unternehmens-Firewall, sondern vermehrt im Homeoffice arbeiten und von überall auf sensitive Daten zugreifen können. Das ermöglicht die heute nötige Offenheit und die Dynamik und verbindet sie mit einer größtmöglichen Sicherheit.

Blindes Vertrauen funktioniert nicht, das heißt aber nicht, dass wir keines mehr haben sollten. Wichtig sind transparente „Checks and Balances“, die für jeden nachvollziehbar die Rechte aller sichern. Erst auf der Grundlage klarer, verbindlicher, überprüfbarer, technisch umsetzbarer und mit Sanktionen bewehrter Spielregeln kann Vertrauen entstehen.

von Spreti › Da lässt sich eine ganze Vielzahl identifizieren, die man verschiedenen thematischen Clustern zuordnen kann. Wir verwenden hierfür ein Modell, nach den Anfangsbuchstaben STEEPL genannt: Social, Technological, Economic, Environmental, Political und Legal. Die aus unserer Sicht relevanten Megatrends haben wir in einer Studie dargelegt, die das Thema Digital Trust ausführlich behandelt. In all diesen Bereichen existieren Trends, die sich auf das digitale Vertrauen auswirken. Ein Bereich, der hervorsticht, ist die Technologie mit Themen wie 5G, Blockchain, Künstliche Intelligenz, Robotics, Virtual Reality und Quantencomputer. Ein anderes dynamisches Thema ist Recht und Regulatorik. Hier wird derzeit vieles entwickelt, was in Zukunft das digitale Vertrauen nachhaltig beeinflusst. Auf europäischer Ebene sind das beispielsweise die ePrivacy Regulation oder der Digital Services Act.

von Spreti › Einige große US-Plattformen funktionieren nach dem Prinzip der Aufmerksamkeitsökonomie und binden die Nutzer mit spannenden Inhalten an sich. Dafür ist eine sehr zielgerichtete Auswertung der Nutzerdaten im Hintergrund nötig. Cyber-relevante Fragestellungen gewinnen im Bewusstsein der Nutzer solcher Plattformen immer mehr an Bedeutung, weil ihnen zunehmend klar wird, dass sie eigentlich mehr Produkt als Kunde der Plattformen sind. Deshalb entscheiden sie sich immer öfter für die Datensparsamkeit. Die Menschen werden also sensibler, und das spiegelt sich auch auf der Ebene der Regulatorik wider, die darauf bereits vor einigen Jahren mit der DSGVO reagiert hat und nun die beiden erwähnten Regulierungen vorantreibt.

von Spreti › Auf privatwirtschaftlicher Ebene arbeiten viele große Unternehmen bereits in Gremien zusammen, wo sie sich sehr offen zu Cyber-relevanten Themen, aktuellen Vorfällen oder Bedrohungslagen austauschen, um voneinander zu lernen, und sich gegenseitig warnen. Wenn es um Cybersicherheit geht, sind sie keine Wettbewerber mehr, sondern kämpfen gemeinsam gegen einen wandlungsfähigen und unsichtbaren Gegner. Das ist genau das richtige Vorgehen, denn eine Kette ist nur so stark wie ihr schwächstes Glied. Wenn ein weltweit tätiger Konzern gehackt wird, dann betrifft das im ersten Schritt dessen Kunden und im zweiten all jene, die mit ihm zu tun haben. Solche Initiativen stimmen mich zuversichtlich, auch wenn es nur ein einzelner Schritt auf dem Weg zu einer insgesamt höheren Cyber-Resilienz ist.

von Spreti › Die gute Nachricht ist, dass das Thema Cyber immer breiter diskutiert wird und inzwischen einen festen Platz im öffentlichen Bewusstsein eingenommen hat. Angesichts der Dominanz internationaler digitaler Plattformen wäre es wünschenswert, dass Europa nicht in einen föderalen Flickenteppich zerfällt, der die Regulatorik und die heimische Wirtschaft schwächt. Wir brauchen klare europäische Verordnungen, die die Grundrechte der europäischen Bürger schützen. Ein Erfolgsmodell und fast schon ein Exportschlager ist die DSGVO, die von anderen Ländern wie beispielsweise Singapur oder auch den USA jeweils national angepasst adaptiert wird. Staaten wie China zeigen uns, was technisch möglich ist. Aber das sollte nicht die Art der Digitalisierung sein, die wir in Europa und Deutschland wollen. Technologie kann helfen, das Leben zu verbessern und zu vereinfachen. Dabei dürfen die Grundrechte nicht eingeschränkt werden. Und nicht zuletzt sollten wir eine aktive europäische Rolle einnehmen, um im digitalen Wandel unsere Werte zu schützen.