Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
3
Inhaltsverzeichnis 1. Vorwort.......................................................................................................................................... 5 2. Rahmenbedingungen in Europa und Global weiterentwickeln..................................................... 6
Freiwillige Sicherheitskennzeichnung für private Anwender entwickeln.............................................................6
Europäischen Rechtsrahmen gemeinsam gestalten...........................................................................................6
Forschung im Bereich Cybersicherheit europaweit fördern und koordinieren....................................................7
Nationale Exportkontrolle wirtschaftsfreundlich gestalten..................................................................................7
Marktzugang durch Handelsabkommen ermöglichen........................................................................................7
Internationalen Cybersicherheitsdialog weiterentwickeln...................................................................................8
3. Öffentlichen Schnittstellen-Dialog in Europa führen.................................................................... 9
Schnittstellen Dialog zur IT-Security-Interoperability führen................................................................................9
4. Security in Industrie 4.0 weiterentwickeln. . ................................................................................ 10
Unternehmen müssen Sicherheitskonzept für Industrie 4.0 entwickeln und umsetzen....................................10
5. Aktive Unterstützung des Mittelstandes. . ................................................................................... 12
KMU-Digitalbonus für Cybersicherheit bundesweit einführen..........................................................................12
Zusammenführen der Informationen des Mittelstandes....................................................................................12
6. Awareness für Cybersicherheitsrisiken stärken......................................................................... 13
Vermittlung von Digitalkompetenz fördern........................................................................................................13
Öffentlich-private Awareness-Initiativen stärker verzahnen..............................................................................13
Sensibilisierung innerhalb öffentlicher Behörden voranbringen........................................................................13
7. Sichere Nutzung freier Software fördern.................................................................................... 14 8. Starke Verschlüsselung von Daten fördern................................................................................ 15
Starke Verschlüsselung ermöglichen und Zugriff verlässlich regeln.................................................................15
Langfristig einsetztbare Krypto-Verfahren stärken............................................................................................15
9. Schlussfolgerungen und Empfehlungen..................................................................................... 16 10. I mpressum. . ................................................................................................................................. 18
4
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
1. Vorwort Deutschland befindet sich inmitten der digitalen Transformation. Eine vom BDI in Auftrag gegebene Studie zeigt: Bis zum Jahr 2025 kann Europa bis zu 1,25 Billionen Euro zusätzliche industrielle Wertschöpfung erzielen.1 Doch den enormen Potenzialen stehen auch große Herausforderungen gegenüber. In den letzten fünf Jahren haben die jährlichen Cyberattacken stark zugenommen – von rund 10 Millionen in 2010 auf knapp 60 Millionen in 2015.2 Besonders bei großen Unternehmen nahm die Anzahl und Komplexität der Angriffe deutlich zu. Cybersicherheit ist entscheidend für den Erfolg von Industrie 4.0 und der digitalen Gesellschaft. Anwender vertrauen digitalen Lösungen nur dann, wenn ausreichend Sicherheit – im Sinne der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit – gewährleistet wird. Dabei unterscheiden sich die Bedrohungsszenarien und Risiken eines privaten Nutzers von denen eines Unternehmens, insbesondere eines Betreibers Kritischer Infrastrukturen. Während private Anwender zumeist Opfer von ungezielten Massenangriffen3 sind, werden institutionelle Anwender häufig langfristig und gezielt angegriffen. Der Umgang mit diesen Szenarien unterscheidet sich grundlegend. Unternehmen müssen eigenverantwortlich wettbewerbs- und geschäftskritische Daten vor Ausspähung, Manipulation und Zerstörung schützen. Dabei sind Unternehmen wie private Anwender auf Informationen angewiesen, um die Sicherheit eines digitalen Produktes oder Dienstes bewerten und zu einer relevanten Kaufentscheidung machen zu können. Zugleich gilt in der Digitalisierung, wie im realen Leben: 100 prozentige Sicherheit ist weder möglich noch erstrebenswert. Sicherheitsüberlegungen müssen immer einer adäquaten Risikobewertung folgen. Internationale Angreifer stehen zudem außerhalb des nationalen Rechtsrahmens. Fehlende internationale Regeln und Institutionen machen es den öffentlichen Behörden und Unternehmen schwer, private oder staatliche Cyberkriminalität anzuzeigen und zu verfolgen. Die deutsche Industrie trägt mit ihrem verantwortlichen Handeln zur Sicherheit des Wirtschafts- und Digitalstandortes bei. Die Stärkung der deutschen und europäischen Cybersicherheitswirtschaft ist dabei eine zentrale Herausforderung. Unternehmen benötigen Planungsund Rechtssicherheit um die bevorstehenden Herausforderungen zu meistern. Zugleich ist es wichtig, den Austausch von Unternehmen, Politik und Zivilgesellschaft zu stärken und weiterzuentwickeln. Cybersicherheit muss zu einem strategischen Standortvorteil werden.
Iris Plöger Mitglied derHauptgeschäftsführung BDI e.V.
Dr. Hermann Rodler Vorsitzender BDI-Ausschuss Digitale Wirtschaft, Telekommunikation und Medien
Michael Ziesemer Vorsitzender BDI-Ausschuss Digitale Wirtschaft, Telekommunikation und Medien
1
Bundesverband der deutschen Industrie, Roland Berger: Die digitale Transformation der Industrie, 2015
2
Handelsblatt: Der Krieg im Netz, 17.01.2017.
3
Siehe hierzu: KrebsonSecurity, auf https://krebsonsecurity.com/tag/mirai-botnet/, eingesehen am 22.01.2017.
5
6
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
2. Rahmenbedingungen in Europa und Global weiterentwickeln Freiwillige Sicherheitskennzeichnung für private Anwender entwickeln Um eine selbstbestimmte Kaufentscheidung treffen zu können, müssen private Anwender eine Bewertung hinsichtlich des Datenschutzes und der Sicherheit vornehmen können. Sie benötigen verständliche Informationen über die Risiken und Sicherheitslösungen von vernetzten Geräten – sowie deren einfache Handhabe. Der BDI setzt sich daher für eine freiwillige und europaweite Kennzeichnung von „sicheren“ Produkten und Diensten im privaten Anwenderbereich ein. Cybersicherheit muss als Prozess, von der Erhebung, der Bearbeitung, der Speicherung, dem Transport und der Visualisierung der Daten erfolgen. Dabei muss das Zusammenspiel von Hardware, Software sowie adäquater Nutzung bzw. Implementierung berücksichtigt werden. Unterschiedliche Ansätze zur Förderung der Cybersicherheit (bspw. IT-Grundschutz / ISO 27001) finden immer aufgrund einer Prozess- bzw. Managementbeurteilung statt. Damit die Kennzeichnung zusätzliche Sicherheit gewährleistet, muss bereits auf Prozessebene angesetzt werden. Hersteller, Integratoren und Nutzer müssen unterschiedliche Aufgaben wahrnehmen, um die Sicherheit im laufenden Betrieb zu erhöhen. Hersteller müssen Maßnahmen zur Umsetzung von Security und Privacy by Design sowie Datenschutz durch Voreinstellung (Privacy by Default) umsetzen. Anwender müssen bei der Nutzung des Produktes oder Dienstes grundsätzliche Sicherheitsanforderungen erfüllen. Diese sind bspw. Individualisierung des Nutzernamens und Passwortes sowie kontinuierliches Patch-Management. Aufgrund der Dynamik der Sicherheitsanforderungen, bedarf es zudem eines Verfallsdatums der Güteeigenschaften der Kennzeichnung. Die Aufgaben von Staat und Wirtschaft bei der Entwicklung einer Kennzeichnung zur Cybersicherheit sollten vorab gemeinsamen definiert werden. Der Staat sollte grundlegende Bedingungen an ein derartiges Zertifikat formulieren. Die Industrie muss die konkreten sektorspezifischen Anforderung transparent und vergleichbar festlegen und in jährlichen Reviews überarbeiten. Aufgrund der kurzen Produktlebenszyklen und der teilweise geringen Preise der Geräte, muss von einer
aufwändigeren Sicherheitsüberprüfung und -zertifizierung, wie sie bspw. im Automobilbereich mit dem NCAPTest vollzogen wird, abgesehen werden. Eine freiwillige Kennzeichnung für die Sicherheit von vernetzten Geräten erhöht die digitale Souveränität der Anwender. Eine Kennzeichnung stellt somit ein Differenzierungs- und Kaufargument für die Kunden dar. Politik und Wirtschaft müssen die Parameter der Kennzeichnung gemeinsam entwickeln und fortschreiben.
Europäischen Rechtsrahmen gemeinsam gestalten Im Jahr 2016 hat die Europäische Union mit der Richtlinie zur Netz- und Informationssicherheit (NIS-RL) erstmals einheitliche europäische Rahmenbedingungen geschaffen, um ein hohes IT-Sicherheitsniveau für Kritische Infrastrukturen zu schaffen. Nun gilt es, die Umsetzung der Richtlinie in nationale Regulierungsvorhaben zu harmonisieren. Einheitliche Mindestsicherheitsstandards sowie anonymisierte Meldepflichten bei Sicherheitsvorkommnissen sollten in allen EU-Mitgliedstaaten ermöglicht werden. Eine mögliche Anpassung oder Weiterentwicklung der NIS-RL muss im engen Austausch mit der Industrie erfolgen. Die Erfahrungen der bereits als kritisch eingestuften Branchen und Industrien müssen dabei berücksichtigt werden. Ein kontinuierlicher Dialog zwischen Politik und Wirtschaft gewährleistet, dass die Expertise und Herausforderungen von Anwendern und Anbietern gleichermaßen berücksichtigt werden. Aktuell hat jedoch die nationale Umsetzung und Harmonisierung der NIS-RL Vorrang. Ein zielführender und differenzierter Ansatz zur Gewährleistung der Cybersicherheit gelingt nur in enger Abstimmung mit der Industrie. Eine mögliche Weiterentwicklung der NIS-RL inklusive nationaler Vorgaben muss im engen Austausch mit der Industrie erfolgen.
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
Forschung im Bereich Cybersicherheit europaweit fördern und koordinieren
Menschenrechten dienen. Dieses Ziel wird vom BDI ausdrücklich unterstützt. Mit der anstehenden DualUse-Reform droht jedoch ein Nadelöhr im Export zu entstehen. Unspezifische Regeln, wie sie derzeit angedacht sind, schaffen keine Rechts- und Planungssicherheit. Zudem schadet die unterschiedliche Effizienz, Schnelligkeit und Prüftiefe der Exportkontrolle innerhalb der EU den Unternehmen, die sich auf den Export konzentrieren.
Um Forschung und Innovation im Bereich der Cybersicherheit auf Spitzenniveau zu fördern, müssen die Mittel der Wirtschaft und der öffentlichen Hand stärker zusammengebracht und koordiniert werden. Die verschiedenen Einrichtungen für Cybersicherheitsforschung müssen in Deutschland und Europa enger vernetzt werden. Dies gilt für Cybersicherheits-Labore, CyberDefense-Dienste-Anbieter und Anbieter von forensischen Analysen und Daten-Analysen allgemein. Erfolgsversprechende nationale Forschungsvorhaben müssen zudem auf Europa übertragen werden. Als gutes Beispiel dient das deutsche Forschungsprojekt SecUnity4, dass die interdisziplinäre Vernetzung der IT-Sicherheitsforschung auf nationaler Ebene fördert. Die deutsche Industrie begrüßt daher Initiativen, die Forschungsförderungen im Bereich der Cybersicherheit europaweit koordinieren, wie bspw. die öffentlichprivate Partnerschaft zwischen der Europäischen Kommission und der European Cybersecurity Organisation (ECSO) oder die European Alliance of Internet-of-Things Innovation (AIOTI). Der BDI identifiziert zudem in der europäischen Sicherheitsforschung einen Mangel an anwendungsbezogener Forschungsvorhaben. Integration, Anwendung und Umsetzung von Sicherheitsmaßnahmen müssen stärker in den Fokus der Forschungspolitik gestellt werden. Forschungsvorhaben im Bereich Cybersecurity müssen europaweit stärker koordiniert und zusammengebracht werden. Die Forschung muss gerade im Kontext der Digitalisierung der Wirtschaft und Gesellschaft einen stärkeren Fokus auf die Anwendung und Umsetzung der Sicherheitsvorhaben legen.
Nationale Exportkontrolle wirtschaftsfreundlich gestalten Im Rahmen der Dual-Use-Exportkontrolle darf es nicht zu einer einseitigen Benachteiligung europäischer Cybersicherheits-Unternehmen kommen. Der beabsichtigte human security approach soll dem stärkeren Schutz von 4
Siehe hierzu: Secunity, auf https://it-security-map.eu/de/startseite/, eingesehen am 20. Dezember 2016.
7
Exportkontrolle muss für Unternehmen handhabbar gestaltet werden. Der BDI schlägt für die Dual-UseReform Regelungsalternativen vor, die anhand von Produkt- und Länderlisten, kritische Güter und Länder benennen. Dies macht die Exportkontrolle auch im Unternehmensalltag handhabbar.
Marktzugang durch Handelsabkommen ermöglichen Zur Gewährleistung eines weltweit offenen Marktes für Cybersicherheitsprodukte und -dienste müssen internationale Abkommen gefördert werden. Diese müssen zu einer Harmonisierung der nationalen Sicherheitsanforderungen führen, um eine übergeordnete Vertrauenswürdigkeit, d.h. eine globale Chain-of-Trust, zu fördern. Ein internationales Level-Playing-Field ermöglicht zudem Innovationen und stärkt die Nachfrage nach sicheren IKT-Produkten und -Diensten. Verhandlungen zu internationalen Handelsabkommen müssen das Thema Cybersicherheit berücksichtigen und auf eine Stärkung des Sicherheitsniveaus kommerzieller IT-Produkte abzielen. Dies betrifft insbesondere das zentrale Element von Kryptoalgorithmen, und -katalogen sowie die gegenseitige Akzeptanz von Zertifizierungen auf Basis international anerkannter Standards wie CCRA und SOGIS-MRA. Freihandelsabkommen müssen gezielt für Cybersicherheit weiterentwickelt werden. Die Zielsetzung muss die Harmonisierung nationaler Sicherheitsanforderungen auf Basis international anerkannter Standards wie CCRA und SOGIS-MRA sein.
8
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
„Das Schutzniveau ist insgesamt nur so stark, wie das schwächste Glied der Kette. Sicherheit in der digital vernetzten Welt kann daher nur durch internationale Kooperation gewährleistet werden.“
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
Internationalen Cybersicherheitsdialog weiterentwickeln Die Angriffe auf Informationstechnologien machen aufgrund der globalen Vernetzung nicht an Ländergrenzen halt. Nur im europäischen und internationalen Zusammenspiel können daher wirkungsvolle Maßnahmen zum Schutz vor Cyberangriffen durch staatliche und nicht-staatliche Akteure entwickelt werden. Dabei gilt: Das Schutzniveau ist insgesamt nur so stark, wie das schwächste Glied der Kette. Sicherheit in der digital vernetzten Welt kann daher nur durch Kooperation gewährleistet werden. Der kontinuierliche Austausch im Rahmen der Business 20 (B20) zum Thema Cybersicherheit ist von zunehmender Bedeutung. Deutschland kommt hier aufgrund der G20-Präsidentschaft im Jahr 2017 eine wichtige Aufgabe zu. Auch der Ausbau des (bi- und multilateralen) Dialogs mit führenden Wirtschafts- und „Cybernationen“ wie den USA (u.a. im Rahmen eines Transatlantischen Cyberdialogs), Russland (u.a. im Rahmen des Petersburger Dialogs), China (u.a. im Rahmen der EU-China Expert Group on Economic Growth and Cybersecurity) und den Staaten Südost-Asiens ist von zunehmender Bedeutung. Die deutsche Industrie setzt sich für gemeinsame internationale Maßstäbe für den staatlichen Zugriff auf Kommunikations- und Informationsstrukturen ein. Insbesondere im Bereich der Strafverfolgung bedarf es internationaler Rechtshilfeabkommen, die eine zeitnahe Rechtsdurchsetzung ermöglichen. Bilaterale Absichtserklärungen zur Ächtung der Wirtschaftsspionage, wie sie bspw. in der Gemeinsamen Erklärung anlässlich der 4. Deutsch-Chinesischen Regierungskonsultationen im Juni 2016 formuliert wurden, gilt es zügig zu konkretisieren und mit weiteren Staaten, wie bspw. den USA, zu entwickeln. Deutschland muss diese Abkommen zugleich mit den europäischen Partnern entwickeln und abstimmen. Aufbauend auf dem globalen Internet Governance Prozess der UN (bspw. im Internet Governance Forum oder NETmundial) gilt es, auch im Bereich der internationalen Cybersicherheit, globale Verfahren und Foren zu entwickeln. Eine auf Freiwilligkeit basierende Zusammenarbeit zwischen Wirtschaft und Staaten sollte auch international etabliert werden. Auch die Schaffung eines Netzwerks von IT-Notfallteams (CERTs) auf internationaler Ebene wäre hierbei eine sinnvolle Maßnahme. Die freiwillige Zusammenarbeit zwischen Staaten und der Wirtschaft im Bereich Cybersicherheit muss international gestärkt werden. Die deutsche Industrie setzt sich für gemeinsame internationale Maßstäbe für den transparenten und klar begrenzten Zugriff von staatlichen Stellen auf Kommunikations- und Informationsstrukturen zur Abwehr und Verfolgung von schweren Straftaten, wie Terroranschlägen, ein.
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
9
3. Öffentlichen Schnittstellen-Dialog in Europa führen Informations- und Kommunikationsinfrastrukturen sind ein elementarer Bestandteil der Datenschutz- und Sicherheitskette. Sie bilden das Rückgrat der gesamten datenbasierten Wirtschaft. In der Vergangenheit wurden größte Anstrengungen unternommen, Produkte mit den besten am Markt verfügbaren Technologien einfach nutzbar zu machen. Dazu gehören eine sichere Produktentwicklung, Qualitätsprüfung sowie -dokumentation. Das Motto lautet: „Security by Design“.
Schnittstellen Dialog zur IT-Security-Interoperability führen
Bisher gibt es für IKT-Anwender kaum Möglichkeiten, externe Sicherheitskomponenten mit einem höheren Schutzniveau über Schnittstellen in die Hardware zu integrieren. Die Erweiterung oder der Austausch der Sicherheitskomponenten sollten jedoch grundsätzlich bestehen.
Der Aufbau eines gemeinsamen „Schnittstellen-Dialogs“ mit europäischen Cybersicherheitsinstitutionen muss gefördert werden. So deckt bspw. die European Cyber Security Organization (ECSO) den notwendigen Teilnehmerzuschnitt im Ansatz bereits ab.
Standardisierte Schnittstellen erhöhen neben der Sicherheit auch die Chancen, neue Geschäftsmodelle und Anwendungen zu entwickeln, die ohne kontrollierbare Sicherheitskomponenten nicht möglich wären (bspw. Dienste durch gesicherte und überwachbare Fernwartungszugänge, Verwendung von Cloud-Diensten durch eine Ende-zu-Ende-Verschlüsselung, o.ä.). Die routinemäßige Bereitstellung derartiger Schnittstellen ist passgenau zu planen, um die Aufwände gering zu halten. Dazu bedarf es eines offenen Dialogs zwischen IKT-Herstellern und Anwendern. Security by Design ist die Voraussetzung für den Erfolg der Digitalisierung. Die Austauschbarkeit bzw. Interoperabilität von Geräten stärkt die Sicherheit sowie die Exportchancen und Marktzugänge der Unternehmen. Der BDI setzt sich daher für die Entwicklung eines offenen Dialogs zwischen Anwendern und Anbietern ein.
Vor diesem Hintergrund schlägt der BDI vor, einen „Schnittstellen-Dialog“ auf Grundlage internationaler Standards zu führen. Teilnehmer des offenen Dialogs sollten europäische Industrieanwender, Hersteller von Sicherheitskomponenten sowie internationale IKT-Anbieter sein.
In einer Startveranstaltung sollte das Anliegen zur Ausarbeitung einer technischen und organisatorischen Roadmap auf Grundlage international anerkannter Standards und Zertifizierungen geprüft und eine Arbeitsstruktur zwischen IKT-Anbietern und -Anwendern entwickelt werden. Über die Arbeitsstruktur erfolgen die technischen Bedarfsfestlegungen, eine Machbarkeitsprüfung und Umsetzungsstrategie. Für den Erfolg der Arbeit ist ein klares Mandat, umfassende Unterstützung und Evaluierung erforderlich.
10
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
4. Security in Industrie 4.0 weiterentwickeln „Die klassischen Anlagengrenzen verschwimmen zunehmend. Die Etablierung und Auflösung von Komponenten-, Prozess- oder An lagenverbünden unterliegen dabei der Dynamik des Wertschöpfungsnetz werkes.“ Quelle: Plattform Industrie 4.0, IT-Security in der Industrie 4.0 Handlungsfelder für Betreiber, November 2016
Eine umfassende Sicherheitsarchitektur für Menschen, Maschinen und Komponenten ist für das Gelingen und die Akzeptanz der Industrie 4.0 unerlässlich. Schon heute haben viele hochspezialisierte Anbieter von Cybersicherheitslösungen ihren Sitz in Europa. Diese machen die Vertrauenswürdigkeit von Industrie-4.0-Lösungen zu einer Marke für Deutschland und Europa. Die Plattform Industrie 4.0, gemeinsam getragen von der Industrie, Bundesregierung, Verbänden und Gewerkschaften, hat hierfür zentrale Arbeit geleistet. Der BDI begrüßt und unterstützt die Empfehlungen der Plattform Industrie 4.0. Insbesondere kleine und mittlere Unternehmen stellt die Einführung von Cybersicherheitsmaßnahmen vor große Herausforderungen. Während die Aufgaben in der klassischen IT-Landschaft hinreichend bekannt sind, besteht zum Teil große Unsicherheit in Bezug auf die Digitalisierung der Produktion. Drei konkrete Ausprägungen von Industrie 4.0 wurden im Rahmen der jüngsten Veröffentlichungen der Plattform Industrie 4.0 besonderes untersucht: Die auftragsgesteuerte Produktion in Wertschöpfungs-Netzwerken, die Vernetzung der Produktionsanlagen sowie die Produkt-Maschine-Kommunikation.5 Zur Hannover Messe 2016 wurden bereits die Ergebnisse der Plattform Industrie 4.0 zum Thema Sichere Identitäten6 und zur sicheren unternehmensübergreifenden Kommunikation7 veröffentlicht. Unternehmen müssen Sicherheitskonzept für Industrie 4.0 entwickeln und umsetzen Aufgrund des unternehmensübergreifenden Datenaustausches in der Industrie 4.0 entstehen weitreichende und tiefe Wertschöpfungsnetzwerke. Externe Produktionsressourcen können so flexibel und dynamisch zur Erweiterung der eigenen Fertigungskompetenzen oder zur Erhöhung der Kapazitäten eingebunden werden. Die technische Vernetzung muss auf Basis sicherer Identitäten und sicherer unternehmensübergreifender Kommunikation umgesetzt werden.
5
Vgl.: Plattform Industrie 4.0: IT-Security in der Industrie 4.0 Handlungsfelder für Betreiber, 2016.
6
Vgl.: Plattform Industrie 4.0: Ergebnispapier Technischer Überblick Sichere Identitäten, 2016.
7
Vgl.: Plattform Industrie 4.0: Ergebnispapier Technischer Überblick sichere unternehmensübergreifende Kommunikation, 2016.
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
Die vertikalen Grenzen der klassischen Automatisierungspyramide verschwimmen. Das heißt, Kommunikation und Datentransfer finden zunehmend nicht nur zwischen Geräten einer Anlage oder zwischen Anlagen und ganzen Anlagenverbünden statt. Produktions- und Materialflüsse der Industrie 4.0 werden in der Folge dezentral von den beteiligten Produktionsmaschinen gesteuert. Dadurch wird eine starke Zunahme von Maschine-zu-Maschine (M2M)Kommunikation erwartet. Der hohe Grad an Vernetzung eröffnet viele potenzielle Einstiegspunkte für Angreifer, eine übergreifende Absicherung aller am Wertschöpfungsnetzwerk beteiligten Komponenten ist daher unabdingbar.
Kommunikation und Datenaustausch findet nicht nur zwischen Maschinen statt, sondern auch zwischen Produkt und Maschine oder den Industrie-4.0-Komponenten. Im Zusammenhang mit Industrie 4.0 wird hier von der Verwaltungsschale gesprochen: Sie speichert das virtuelle Abbild des Produkts, das sämtliche zur Fertigung und Betrieb notwendigen Daten enthält. Der Fertigungsprozess des Produkts kann sich so über viele verteilte Maschinen und Anlagen erstrecken, ohne dass eine zentrale Kontrolle der beteiligten Maschinen notwendig ist. Sicherheit (Security by Design und Default) sowie garantierte Qualitätsparameter im Bereich der Infrastruktur sind Voraussetzung für die Bildung von Industrie-4.0-Wertschöpfungsnetzwerken.
Im Bereich Industrie 4.0 kann das bis 2018 weiterhin geltende deutsche Datenschutzrecht zur Anwendung kommen, auch bei der Kommunikation zwischen zwei oder mehreren Maschinen (M2M). Die entsprechenden Bedarfe des Datenschutzes, wie bspw. die Vertraulichkeit oder Zweckbindung der Daten, werden auch beim autonomen Austausch personenbezogener Daten zwischen Maschinen ermöglicht. Eine Weiterentwicklung des Datenschutzes aufgrund automatisierter Kommunikation ist daher nicht geboten. Die europäische Datenschutzgrundverordnung gibt einen ausreichenden Rahmen für personenbezogene und M2M-Kommunikation.
11
12
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
5. Aktive Unterstützung des Mittelstandes KMU-Digitalbonus für Cybersicherheit bundesweit einführen
Zusammenführen der Informationen des Mittelstandes
Die mittelständisch geprägte deutsche Wirtschaft befindet sich auf dem Weg in die Industrie 4.0. Dabei müssen Unternehmen die erforderlichen Cybersicherheitsmaßnahmen, wie Security- und Privacy-by-Design, berücksichtigen. „Made in Germany“ muss auch in digitalen Märkten zu einem international anerkannten Qualitätsmerkmal werden.
Auf Länderebene gibt es bereits einige Projekte zur Entwicklung von Lagezentren zur Erfassung der aktuellen der Cybersicherheit in mittelständischen Unternehmen. Bislang fehlt die Möglichkeit, die partiell gesammelten Daten in einer übergeordneten Instanz zusammenzuführen, um den „Gesundheitszustand“ des Mittelstandes insgesamt beurteilen zu können. Diese Instanz muss insbesondere die Vertraulichkeit mit dem Umgang der Informationen gewährleisten. Dies könnte durch eine öffentliche oder eine private Institution ermöglicht werden.
Cybersicherheit stellt jedoch für viele kleine Unternehmen eine Einstiegshürde dar, um in die Digitalisierung zu investieren. Häufig mangelt es an einem Cybersicherheitskonzept bzw. an hochqualifizierten Sicherheitsexperten. KMUs benötigen eine grundlegende Vorstellung über die Risiken und ein überschaubares Sicherheitskonzept, um Industrie-4.0-Projekte erfolgreich umzusetzen. Die deutsche Industrie fordert daher ein Anreizmodell zur Förderung von Investitionen, insbesondere in die Sicherheit der Digitalisierung bei kleinen und mittelständischen Unternehmen. Ein Digitalbonus, wie er bereits in Bayern Anwendung findet, sollte in der ganzen Bundesrepublik eingeführt werden. Darüber hinaus ist über fokussierte Förderprogramme nachzudenken, die speziell die Entwicklung von Zukunftstechnologien im Blick haben (bspw. Verschlüsselung und Cloud Security). Insbesondere für kleine und mittelständische Unternehmen sollte ein Anreizmodell für Investitionen in Cybersicherheit geschaffen werden. Einen Digitalbonus gilt es bundesweit einzuführen.
Parallel sollten Initiativen und Projekte für anonyme Meldemöglichkeiten und den direkten, vertrauensvollen Austausch über IT-Sicherheitsvorfälle zwischen Unternehmen gestärkt werden. Dies hilft den Unternehmen, gezielte Angriffe zu erkennen und abwehren zu können. Die gesammelten Daten der regionalen Cyber-Lagezentren sollten in einem übergeordneten nationalen Lagezentrum gebündelt werden. Die Förderung anonymer Meldemöglichkeiten sowie der vertrauensvolle Austausch zwischen Unternehmen sind wichtige Bausteine.
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
13
6. Awareness für Cybersicherheitsrisiken stärken Vermittlung von Digitalkompetenz fördern Informationstechnologien halten in fast allen Bereiche des Lebens Einzug. Vorhandenes Wissen muss weiter ausgebaut werden, um den Umgang mit Gefahren und Risiken besser einschätzen zu können. Jungen Menschen müssen frühzeitig im schulischen, hochschulischen und beruflichen Ausbildung, unabhängig von Bildungsgang und Branche, IT-(Sicherheits-)Kompetenzen erlangen. Zudem bedarf es im Bereich der Aus- und Weiterbildung von IT-(Sicherheits-)Fachkräften weiterer Anstrengungen von Bund und Ländern. Dabei sollten Projekte zum Aufbau modularer Ausbildungs- und Weiterbildungsangebote für IKT-Ausbildungsberufe mit dem Schwerpunkt Sicherheit gefördert werden. Einzelne Ausbildungspläne (bspw. im Maschinenbau oder der Mechatronik) müssen hinsichtlich der Cyber-Sicherheits-Grundwissensvermittlung zügig erweitert werden. Die „Digitalkompetenz“ im Bereich Cybersicherheit muss in Schulen, Hochschulen und Ausbildungszentren gestärkt werden. Bund und Länder sind nachdrücklich aufgefordert, eine gemeinsame Aus- und Weiterbildungsagenda, insbesondere im Bereich der IT-(Sicherheits-)Kompetenzen, aufzustellen und umzusetzen.
Öffentlich-private Awareness-Initiativen stärker verzahnen Die Vielzahl an Initiativen zu (IT-)Sicherheit in Deutschland ergibt für Außenstehende kein schlüssiges Bild. Die öffentlichen Initiativen „IT-Sicherheit in der Wirtschaft“, „Initiative Wirtschaftsschutz“ und die „Allianz für Cybersicherheit“ verfolgen oftmals vergleichbare und zum Teil
überlappende Ziele. Zudem existieren auf Länderebene ähnliche bzw. vergleichbare Initiativen. Die Bundesregierung sollte gemeinsam mit der Wirtschaft die Initiativen stärker verzahnen und für eine klare Arbeitsaufteilung sorgen. Auch der Nationale Cybersicherheitsrat der Bundesregierung sollte eine engere Einbindung in bestehende Strukturen anstreben. Die Bundesregierung sollte gemeinsam mit der deutschen Wirtschaft einen geeigneten Rahmen, eine Arbeitsaufteilung und den Austausch der verschiedenen Initiativen entwickeln.
Sensibilisierung innerhalb öffentlicher Behörden voranbringen Heutige Aufgaben und Tätigkeitsbereiche von Bundes-, Landesbehörden und Kommunen unterliegen ebenfalls der digitalen Transformation. Der Umgang mit umfangreichen und oft speziell eingestuften sensiblen Informationen (z.B. VS-NfD) und Daten erfordert ein besonders hohes Maß an digitaler Kompetenz und kontinuierlicher Aufklärung. Zudem bedarf es im Falle von Neuanschaffungen einer technologischen Beurteilungskompetenz, um die richtigen Entscheidungen hinsichtlich Schutzmaßnahmen und Vertrauenswürdigkeit der Mitarbeiter treffen zu können. Zur Steigerung der Beurteilungskompetenz bedarf es umfangreicher und fortlaufender Sensibilisierung zu den Themen Cybersicherheit und Vertrauenswürdigkeit aller Mitarbeiter in allen Bereichen der öffentlichen Hand.
14
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
7. Sichere Nutzung freier Software fördern und stärken Freie Software bildet einen Grundstein für moderne digitale Infrastrukturen. Sie wird nicht nur von vielen Behörden und Unternehmen verwendet, fast alle nationalen Cybersicherheits-Produkte stützen sich auf freie Software. Zudem ermöglicht sie eine höhere Diversität im Markt und stärkt damit die digitale Souveränität. Ein besonderer Vorteil freier Software ist die Transparenz der Programmierung, mit der potenzielle Schwachstellen und Backdoors besser erkannt werden können. Sicherheitsvorfälle wie bspw. Heartbleed haben jedoch gezeigt, dass es in der Qualitätssicherung von freier Software Nachholbedarf gibt. Hinzu kommt, dass die Korrektheit der Implementierung und Integration selten getestet werden. Zur Förderung der Sicherheit von freier Software empfiehlt der BDI die Etablierung einer unabhängigen und industrieübergreifenden Initiative für eine geregelte Durchführung von Regressionstests – bereits vor der Veröffentlichung neuer Softwareversionen. Neben der
Entwicklung eines Lagebildes über Verbreitung, Förderung, Forschung und Prüfung von freier Software müssen Kriterien für förderungswürdige Projekte definiert werden. Auch die Bereitstellung einer geeigneten Labor-Infrastruktur für konkrete Anwendungsfälle wäre in der Folge notwendig. Eine Voraussetzung für den Erfolg von freier SoftwareProjekten ist eine umfassende Qualitätssicherung. Die Politik ist aufgefordert, Regelungen für Verwendung, Haftung und Vorsorge bei freier Software zusammen mit der Industrie weiterzuentwickeln, um einen rechtssicheren Einsatz zu ermöglichen. Der BDI setzt sich für die Schaffung einer konkreten industrieübergreifenden Initiative zur Prüfung und Bewertung der Sicherheit freier Software ein. Dabei sind die Transparenz und Offenheit des Prozesses von besonderer Bedeutung.
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
15
8. Starke Verschlüsselung von Daten fördern Starke Verschlüsselung ermöglichen und Zugriff verlässlich regeln Die Sicherheit der Kommunikation ist ein wesentlicher Bestandteil der Sicherheitskette. Eine starke und langfristig einsetzbare Verschlüsselung ist unerlässlich geworden, um Unternehmensgeheimnisse zu schützen und das verfassungsmäßig garantierte Recht auf informationelle Selbstbestimmung zu gewährleisten. Vertrauen in die Integrität der Kommunikation stärkt zudem die gesellschaftliche Akzeptanz der Digitalisierung. Dafür bedarf es Lösungen, die Anwenderfreundlichkeit und Bedienbarkeit vereinen. Dies ist kein zwingender Gegensatz, und gemeinsam nötig, um eine Wirkung in der Fläche zu erreichen. Zugleich gewährleistet eine einseitige Reduzierung der Sicherheit auf die Verschlüsslung der Kommunikation keinen ausreichenden Schutz vor Angriffen. Sicherheit muss als vielschichtiger Prozess verstanden werden. Verschlüsselung "per Default" und "by Design" muss in Abhängigkeit der Verwendung zum Einsatz kommen. Von vielen Seiten existiert das Interesse, verschlüsselte Kommunikation zu entschlüsseln (bspw. von kriminellen Hackern, ausländischen Nachrichtendiensten oder Sicherheitsdiensten im Inland). Es muss sichergestellt werden, dass vertrauliche Informationen jeder Art nicht in die Hände Unbefugter geraten; das gilt für den gesamten Lebenszyklus. Die deutsche Industrie spricht sich daher gegen rechtliche Vorgaben aus, die zu einer Schwächung von Systemen oder Komponenten führen. Die Politik muss die Pflichten der IKT-Anbieter hinsichtlich des Zugriffs auf (verschlüsselte) Kommunikation durch Nachrichtendienste oder Aufsichtsbehörden eindeutig und transparent festlegen. Der BDI fordert ein klares politisches Bekenntnis zu einer starken bzw. sicheren Verschlüsselung, ohne Backdoors oder rechtlichen Vorgaben zur Schwächung von Systemen und Komponenten. Es bedarf eines gesellschaftlichen Dialoges, um die Pflichten der IKT-Anbieter hinsichtlich des Zugriffs auf (verschlüsselte) Kommunikation eindeutig und transparent festzulegen.
Langfristig einsetztbare Krypto-Verfahren stärken Wie sicher eine Verschlüsselung ist, hängt vom mathematischen Algorithmus der verschlüsselten Daten ab. Ebenso bedeutend ist die sichere Implementierung der Verschlüsselungstechnologie. Auch die Schlüssellänge und die Qualität des Zufalls, der zur Generierung der Zufallszahlen genutzt wird, sind entscheidend. Aktuelle Verschlüsselungsverfahren bieten nicht immer ausreichenden Schutz gegen die Rechenkapazitäten, die in Zukunft durch das Quanten-Computing zur Verfügung stehen werden. Umgekehrt werden Mechanismen zur Quanten-Verschlüsselung eine neue Dimension der Verschlüsselung ermöglichen. Deutschland muss den strategischen Auf- und Ausbau von Kompetenzen im Bereich der (Quanten-)Kryptografie fördern. Dazu muss die Forschungsförderung zügig intensiviert werden, um etwaigen „Verschlüsselungslücken“ durch Quantencomputer entgegenzutreten. Sichere Kommunikation muss auch bei Technologiesprüngen umsetzbar sein. Deutschland droht, aufgrund einer fehlenden langfristigen Startegie den Anschluss an die internationale Spitze zu verlieren. Ein Versäumnis in diesem Bereich hätte für den deutschen Industriestandort fatale Konsequenzen. Es bedarf intensiver Ausbildung im Hochschulbereich in Zusammenarbeit mit Unternehmen, um junge Wissenschaftler als Krypto-Experten auszubilden und als Kompetenzträger in diesem Umfeld zu verankern. Eine Exzellenz-Initiative im Bereich der Kryptografie wäre ein wichtiges Zeichen. Forschungsvorhaben im Bereich Kryptografie müssen zügig intensiviert und die Umsetzung in unternehmerischen Erfolg unterstützt werden. Zum Aufbau von Kypto-Kompetenzen in Deutschland müssen Hochschulen langfristig unterstützt werden. Eine Exzellenz-Initiaitve im Bereich der Kryptografie wäre ein wichtiges Zeichen.
16
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
9. Schlussfolgerungen und Empfehlungen Freiwillige Sicherheitskennzeichnung für private Anwender entwickeln Eine freiwillige Kennzeichnung für die Sicherheit von vernetzten Geräten erhöht die digitale Souveränität der Anwender. Private Anwender müssen eine einfache Bewertung hinsichtlich des Datenschutzes und der Sicherheit vornehmen können. Eine Kennzeichnung stellt somit ein Differenzierungsund Kaufargument für die Kunden dar. Politik und Wirtschaft müssen die Parameter der Kennzeichnung gemeinsam entwickeln und fortschreiben.
Europäischen Rechtsrahmen gemeinsam gestalten Ein zielführender und differenzierter Ansatz zur Gewährleistung der Cybersicherheit gelingt nur in enger Abstimmung mit der Industrie. Eine mögliche Weiterentwicklung der NIS-Richtlinie inklusive nationaler Vorgaben muss im engen Austausch mit der Industrie erfolgen.
Forschung im Bereich Cybersicherheit europaweit fördern und koordinieren Forschungsvorhaben im Bereich Cybersecurity müssen europaweit stärker koordiniert und zusammengebracht werden. Die Forschung muss gerade im Kontext der Digitalisierung der Wirtschaft und Gesellschaft einen stärkeren Fokus auf die Anwendung und Umsetzung der Sicherheitsvorhaben legen.
Nationale Exportkontrolle wirtschaftsfreundlich gestalten Exportkontrolle muss für Unternehmen handhabbar gestaltet werden. Der BDI schlägt für die Dual-Use-Reform Regelungsalternativen vor, die anhand von Produkt- und Länderlisten, kritische Güter und Länder benennen. Dies macht die Exportkontrolle auch im Unternehmensalltag handhabbar.
Marktzugang durch Handelsabkommen ermöglichen Freihandelsabkommen müssen gezielt für Cybersicherheit weiterentwickelt werden. Die Zielsetzung muss die Harmonisierung nationaler Sicherheitsanforderungen auf Basis international anerkannter Standards wie CCRA und SOGIS-MRA sein.
Internationalen Cybersicherheitsdialog weiterentwickeln Die freiwillige Zusammenarbeit zwischen Staaten und der Wirtschaft im Bereich Cybersicherheit muss international gestärkt werden. Die deutsche Industrie setzt sich für gemeinsame internationale Maßstäbe für den transparenten und klar begrenzten Zugriff von staatlichen Stellen auf Kommunikations- und Informationsstrukturen zur Abwehr und Verfolgung von schweren Straftaten, wie Terroranschlägen, ein.
Schnittstellen Dialog zur IT-Security-Interoperability führen Security by Design ist die Voraussetzung für den Erfolg der Digitalisierung. Die Austauschbarkeit bzw. Interoperabilität von Geräten stärkt die Sicherheit sowie die Exportchancen und Marktzugänge der Unternehmen. Der BDI setzt sich daher für die Entwicklung eines offenen Dialogs zwischen Anwendern und Anbietern ein.
Unternehmen müssen Sicherheitskonzept für Industrie 4.0 entwickeln und umsetzen Aufgrund des unternehmensübergreifenden Datenaustausches in der Industrie 4.0 entstehen weitreichende und tiefe Wertschöpfungsnetzwerke. Aufbauend auf die Ergebnisse der Plattform Industrie 4.0 bedarf es folgender Maßnahmen: - Die technische Vernetzung muss auf Basis sicherer Identitäten und sicherer unternehmensübergreifender Kommunikation umgesetzt werden. - Der hohe Grad an Vernetzung eröffnet viele potenzielle Einstiegspunkte für Angreifer, eine übergreifende Absicherung aller am Wertschöpfungsnetzwerk beteiligten Komponenten ist daher unabdingbar. - Sicherheit (Security by Design und Default) sowie garantierte Qualitätsparameter im Bereich der Infrastruktur sind Voraussetzung für die Bildung von Industrie-4.0-Wertschöpfungsnetzwerken. - Die europäische Datenschutzgrundverordnung gibt einen ausreichenden Rahmen für personenbezogene und M2M-Kommunikation.
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
KMU-Digitalbonus für Cybersicherheit bundesweit einführen Insbesondere für kleine und mittelständische Unternehmen sollte ein KMU-Anreizmodell für Investitionen in Cybersicherheit geschaffen werden. Einen Digitalbonus gilt es bundesweit einzuführen.
Zusammenführen der Informationen des Mittelstandes Die gesammelten Daten der regionalen Cyber-Lagezentren sollten in einem übergeordneten nationalen Lagezentrum gebündelt werden. Die Förderung anonymer Meldemöglichkeiten sowie der vertrauensvolle Austausch zwischen Unternehmen sind wichtige Bausteine.
Vermittlung von Digitalkompetenz fördern Die „Digitalkompetenz“ im Bereich IT-Sicherheit muss in Schulen, Hochschulen und Ausbildungszentren gestärkt werden. Bund und Länder sind nachdrücklich aufgefordert, eine gemeinsame Aus- und Weiterbildungsagenda, insbesondere im Bereich der IT-(Sicherheits-)Kompetenzen, aufzustellen und umzusetzen.
Öffentlich-private Awareness-Initiativen stärker verzahnen Die Bundesregierung sollte gemeinsam mit der deutschen Wirtschaft einen geeigneten Rahmen, eine Arbeitsaufteilung und den Austausch der verschiedenen Initiativen entwickeln.
Sensibilisierung innerhalb öffentlicher Behörden voranbringen Zur Steigerung der Beurteilungskompetenz bedarf es umfangreicher und fortlaufender Sensibilisierung zu den Themen Cybersicherheit und Vertrauenswürdigkeit aller Mitarbeiter in allen Bereichen der öffentlichen Hand.
Sichere Nutzung freier Software fördern und stärken Eine Voraussetzung für den Erfolg von freier Software- Projekten ist eine umfassende Qualitätssicherung. Die Politik ist aufgefordert, Regelungen für Verwendung, Haftung und Vorsorge bei freier Software zusammen mit der Industrie weiterzuentwickeln, um einen rechtssicheren Einsatz zu ermöglichen.
Initiative für die Sicherheit freier Software schaffen Der BDI setzt sich für die Schaffung einer konkreten industrieübergreifenden Initiative zur Prüfung und Bewertung der Sicherheit freier Software ein. Dabei sind die Transparenz und Offenheit des Prozesses von besonderer Bedeutung.
Starke Verschlüsselung ermöglichen und Zugriff verlässlich regeln Der BDI fordert ein klares politisches Bekenntnis zu einer starken bzw. sicheren Verschlüsselung, ohne Backdoors oder rechtliche Vorgaben zur Schwächung von Systemen und Komponenten. Es bedarf eines gesellschaftlichen Dialoges, um die Pflichten der IKT-Anbieter hinsichtlich des Zugriffs auf (verschlüsselte) Kommunikation eindeutig und transparent festzulegen.
Langfristig einsetztbare Krypto-Verfahren stärken Forschungsvorhaben im Bereich Kryptografie müssen zügig intensiviert und die Umsetzung in unternehmerischen Erfolg unterstützt werden. Zum Aufbau von Kypto-Kompetenzen in Deutschland müssen Hochschulen langfristig unterstützt werden. Eine Exzellenz-Initiaitve im Bereich der Kryptografie wäre ein wichtiges Zeichen.
17
18
Bundesverband der Deutschen Industrie e. V. Digitalisierung, Innovation und Gesundheitswirtschaft
Digitalpolitik | Position Cybersicherheit in Deutschland und Europa
10. Impressum Herausgeber Bundesverband der Deutschen Industrie e. V. (BDI) Breite Straße 29 10178 Berlin T: +49 30 2028-0 www.bdi.eu Gesamtredaktion Iris Plöger, Mitglied der Hauptgeschäftsführung Bundesverband der Deutschen Industrie (BDI) Felix Esser, stellvertretender Abteilungsleiter Abteilung Digitalisierung, Innovation und Gesundheitswirtschaft Redaktion Quirin Blendl, Referent Abteilung Digitalisierung, Innovation und Gesundheitswirtschaft Konzeption & Umsetzung Sarah Pöhlmann, Referentin Abteilung Marketing, Online und Veranstaltungen Layout Tilman Schmolke www.europrint-medien.de Druck Das Druckteam Berlin www.druckteam-berlin.de Verlag Industrie-Förderung GmbH, Berlin Bildnachweis Cover: © monsitj / Fotolia.com Seite 4: © maciek905 / Fotolia.com Stand März 2017 BDI-Publikations-Nr. 0062