Sicherheit in der Digitalen Transformation – die Empfehlungen des Weisenrats für Cybersicherheit

Im Zuge der Digitalen Transformation können wir fest davon ausgehen, dass jede Arbeit, die sich automatisieren lässt, auch automatisiert werden wird. Unternehmen können so ihre Produktivität und ihre Effizienz steigern und gleichzeitig die Fehleranfälligkeit reduzieren.

 

Doch mit den großen Chancen der Digitalen Transformation steigt auch die Sorge um die Cybersicherheit und wachsen die Herausforderungen für Gesellschaft, Wirtschaft und Staat gleichermaßen.

  

Der Weisenrat für Cybersicherheit hat daher 8 Empfehlungen für mehr Sicherheit für die Digitale Transformation ausgegeben:

1. Technologie muss sich dem Menschen anpassen, um ihn zu entlasten und zu schützen.

Die Arbeitnehmer sind das schwache Glied in puncto Sicherheit in vielen europäischen Unternehmen. So richtet sich fast die Hälfte von erfolgreichen Cyberangriffe per E-Mail an Mitarbeiter mit sogenannten Phishing-Aktivitäten, wobei 22% dieser Unternehmen immer noch keine Cybersicherheitstrainings für ihre Mitarbeiter durchführen.

Der Weisenrat für Cybersicherheit verweist jedoch eindringlich darauf, dass die zugrundeliegenden Technologien kritisch geprüft werden müssen, da es oftmals entweder sehr zeitraubend oder zu komplex bis fast unmöglich ist, die erforderlichen Sicherheitsregeln adäquat einzuhalten und umzusetzen. Benötigt werden einfachere anzuwendende technische Lösungen, die sich dem Menschen anpassen, ihn entlasten und schützen.

Nicht nur die Endnutzer, sondern auch und besonders technisch versierte Profis wie Entwickler und Administratoren – verursachen diese Fehler und diese sind oft weit schwerwiegender als die der User. Deswegen, so die Empfehlung des Weisenrats, müssen Systeme für Experten so entworfen und implementiert werden, dass sie fehlervermeidend und fehlertolerant sind.

 

2. Hersteller müssen sich zu regelmäßigen Schwachstellentests und Sicherheitsupdates verpflichten.

Die Datenschutz-Grundverordnung (DSVGO) legt fest, dass Verantwortliche neben organisatorischen Maßnahmen auch technische Maßnahmen ergreifen müssen, um den Schutz von Daten zu gewährleisten. Dazu gehört „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit“ dieser Maßnahmen (DSVGO Art. 32).

Der Weisenrat für Cybersicherheit geht noch einen Schritt weiter und fordert technologisch breit aufgestellte und kontinuierlich wiederholte Tests auf Schwachstellen – nicht nur einmalig bei der Produkt- und Systemeinführung.

Bei Quellcodetests sollten dabei statische und dynamische Methoden zum Einsatz kommen und bei Systemtests alle Komponenten berücksichtigt werden, wobei alle erzielten Ergebnisse transparent und überprüfbar sein müssen. Die Geräte, Dienste und Anwendungen sollten vom Hersteller dann über die komplette Lebenszeit mit Sicherheitsupdates versorgt werden.

 

 3.  Digitale Prozesse und Infrastrukturen müssen angriffsresilienter werden.

Systeme müssen auch dann noch verlässlich arbeiten können, wenn sie angegriffen werden. Das bedeutet, dass sie so geplant und gebaut werden müssen, dass sie auch kompromittierende Systemteile tolerieren können.

Nach Empfehlung des Weisenrats für Cybersicherheit sollte hierbei seitens der Politik die Rahmenbedingungen für die Angriffsresilienz im Hinblick auf Mindestsicherheitsstandards für Systeme festgelegt werden und gleichzeitig Anreizsysteme für Unternehmen geschaffen werden, diese Mindeststandards zu erfüllen. Hierbei müssen auch Grundlagen für jene Unternehmen ohne Sicherheitsexpertise geschaffen werden, damit diese in der Lage sind, die vorgegebenen Standards einzuhalten.

  

 4. Technologische Souveränität muss erhöht und bewahrt werden.

In allen Branchen weltweit nimmt die technologische Souveränität einen immer größer werdenden Stellenwert ein, da zukünftig in allen Branchen der Wertschöpfungsanteil von Internet und IT zunehmen werden.

Die Bundesregierung betont dabei die hohe Bedeutung nationaler „Kernfähigkeiten“ oder „sicherheitsrelevanter Schlüsseltechnologien“ insbesondere hinsichtlich sicherer IT-Systeme. Eine genaue Definition, was genau darunter zu verstehen ist, gibt es jedoch nicht.

Der Weisenrat fordert daher, dass Hersteller und Anwender von IT-Technologie sowie Wissenschaft, Politik und Verwaltung aus diesem Bereich, gemeinsame Ziele definieren und umsetzen.

Erforderlich ist ein gezielter Kompetenzausbau in Schlüsselbereichen, um mögliche Risiken, die durch Abhängigkeiten entstehen (Hersteller, Herkunftsland, Einsatz, Wechselwirkungen) beurteilen zu können. Für kritische Bereiche sollen alternative Schlüsseltechnologien entwickelt bzw. bestehende Technologien erweitert werden, um Abhängigkeiten zu reduzieren und den Einsatz vorhandener Technologien beherrschbar zu gestalten.

Für den Einsatz von Technologien mit hohem Risikopotential müssen Vorgaben für die entsprechenden Bereiche geschaffen werden. Es sollten darüber hinaus auch Prüfverfahren und -techniken für eine kontinuierliche Zertifizierung geschaffen werden, um einen beherrschbaren Einsatz sicherheitskritischer Technologien zu ermöglichen.

Open-Source-Software als strategisches Instrument sowie eine intensivere Beteiligung an der Entwicklung von internationalen Standards, um frühzeitig mitgestalten zu können, sind weitere wichtige Aspekte, die von der Politik angestoßen und für wichtige Bereiche umgesetzt werden müssen.

 

 5.  Digitale Infrastrukturen in smarten Städten müssen jederzeit verfügbar, verständlich und beherrschbar bleiben.

Bedrohungen der digitalen Infrastrukturen, wie etwa Naturkatastrophen, Cyberangriffe, menschliches und technisches Versagen aber auch Terror und Gewalt können den verlässlichen Betrieb von IT-Systemen in smarten Städten gefährden.

Daher ist es notwendig, dass man auch im Krisenfall und bei hohem Vernetzungsgrad einen Betrieb/Notbetrieb kritischer Infrastrukturen in den Bereichen Energie, Verkehr und Logistik, Gesundheit, Ernährung, Wasser, Finanz- und Versicherungswesen sowie Staat und Verwaltung garantieren kann.

Die Herausforderung besteht darin, gleichzeitig ein systematisches Verständnis der Verwundbarkeit von kritischen Infrastrukturen sowie wirksame Maßnahmen zur Erhöhung ihrer Resilienz zu erhalten und umzusetzen, als auch gleichzeitig die Rechte des Individuums auf Privatheit schützen, ergo eine demokratische Kontrolle über die im öffentlichen Raum erhobenen Daten zu gewährleisten.

 

 6.   KI-Systeme müssen transparent und zertifizierbar sein.

Anwendungsfelder für KI gibt es viele und sie wachsen beständig – so können KI-gestützte Chatbots das Kundenerlebnis verbessern oder KI-Systeme eine vorausschauende Wartung von technischen Geräten erlauben.

Im Zuge dieser Entwicklung werden unternehmerische Entscheidungen zunehmend auf Ergebnissen von KI-Systemen basierend getroffen. Doch diese Ergebnisse von maschinellen Lernverfahren sind für die menschlichen Prüfer wie auch die Qualität der Daten nur selten transparent und ganzheitlich nachvollziehbar.

 Aufgrund ihres Einsatzes in einer Vielzahl sicherheitskritischer Sektoren werden daher verlässliche, transparente und zertifizierbare KI-Systeme benötigt.

Der Weisenrat für Cybersicherheit fordert die Entwicklung resilienter KI-Produkte mit Festlegung unterschiedlichen Kritikalitäts- und Zertifizierungsstufen für KI-Algorithmen. Dafür werden Prüfkataloge sowie technische Richtlinien benötigt und um den branchenspezifischen regulatorischen Anforderungen Rechnung zu tragen, sind außerdem branchenspezifische Kataloge und technische Prüfverfahren gefordert.

 

 7.    Langlebige Produkte müssen kryptoagil gestaltet werden.

Heute noch sichere Kryptografische Verfahren, Schlüssellängen und Zufallszahlengeneratoren können morgen schon unsicher sein. Die Empfehlung des Weisenrates für IT-Lösungen, die eine lange Lebenszeit haben können, ist daher ein kryptoagiles Design als Bestandteil eines Mindeststandards.

Kryptografische Verfahren und Zufallszahlengeneratoren sollen nach Möglichkeit austauschbar sowie Schlüssellängen erhöhbar sein, ohne ihre eigentliche Funktion zu beeinträchtigen oder Hardware auszuwechseln.

 

8.   Der Schutz der Demokratie muss online verstärkt werden.

Bewusst lancierte Falschmeldungen und strategische Platzierung dieser sogenannten Fake-News können politische, gesellschaftliche und wirtschaftliche Diskurse und Entscheidungen immens beeinflussen.

Laut des Weisenrats für Cybersicherheit ist der Schutz der Ausübung demokratischer Prinzipien in der digitalen Welt ist ein grundlegendes, aber auch ein vielschichtiges Problem. Für dessen komplexe Lösung bedarf es einer umfangreichen und tiefgreifenden Problemanalyse, auf deren Basis technische, breit aufgestellte Gegenmaßnahmen entwickelt werden können.

Gefordert wird eine bessere Analyse der möglichen Auswirkungen von technischen Lösungsansätzen über deren rein technische Ebene hinaus und mit besonderem Fokus auf Rechtskonformität, Weiterentwicklung des rechtlichen Rahmens sowie den gesellschaftlichen Auswirkungen.


Auf Unternehmen kommt im Zuge der Digitalen Transformation also eine wahre Flut an Herausforderungen, aber auch an großen Chancen zu. Der umfassende Schutz von Daten und Informationen – sowohl zum Benefit der Kunden als auch für die Organisation selbst – ist daher ein Thema, das nicht mehr umgangen werden kann.

 

Dabei kann ein Informationssicherheitsmanagementsystem, wie es z.B. die ISO 27001 beschreibt, oder auch produktspezifische Sicherheitskonzepte hilfreich sein. 

 

Wir von OPTIQUM helfen Ihnen dabei, den Durchblick zu gewinnen, klar verständliche und anwendbare Prozesslandschaften zu etablieren und den Datenschutz in ihrem Unternehmen fit für die Zukunft zu machen. Wir haben weitreichende Erfahrungen in den Bereichen der Informationssicherheit aber auch bei den kritischen Infrastrukturen (KRITIS) unterstützen unsere Berater gerne.

 

 Unser Expertenteam ist nur einen Anruf weit entfernt: +49 221 82 95 91 0