Mehr Cybersicherheit wagen
Die Münchner Sicherheitskonferenz und Siemens stellten im Februar 2018 mit Partnern aus Politik und Wirtschaft die Initiative „Charter of Trust“ vor. Ein wichtiges Ziel: angemessene Regeln für die Cybersicherheit im vernetzten Leben zu formulieren und umzusetzen. Erste große Erfolge wurden bereits erreicht.
Wir vertrauen täglich auf die digitale Welt: Für uns ist es selbstverständlich, mit der EC-Karte im Supermarkt zu bezahlen, dass unsere Krankendaten im Computer der Arztpraxis gut aufgehoben sind, dass wir Smartphones benutzen und den Strom aus der Steckdose bekommen, den womöglich gerade Smart Grids von Windkraftanlagen bedarfsgerecht verteilt haben. Uns umgibt ein Netz aus Bits und Bytes – auf Schritt und Tritt.
Doch wir sind dabei stets auch Gefahren ausgesetzt. Kriminelle Angriffe auf Sicherheitslücken können Großschäden verursachen, sei es Datendiebstahl in Krankenhäusern, Sabotage in Fabriken, Stromausfall oder Industriespionage. Aus diesem Grund ziehen wir Verteidigungswälle um unsere digitale Welt: Wer Zugang haben will, muss sich biometrisch identifizieren oder PIN-Codes kennen. Daten werden verschlüsselt versandt und hinter Firewalls geschützt. Antiviren-Wächter halten Ausschau nach Schadsoftware, und Standards wie der IEC 62443, der die IT-Sicherheit automatisierter Anlagen festlegt, geben Richtlinien vor, was als geschützt gelten kann.
Mindeststandards entlang der Wertschöpfungskette
Trotz dieser Barrieren fehlen bis heute verbindliche Basiskriterien für Cybersicherheit, die entlang der gesamten Wertschöpfungskette greifen. Aus diesem Grund haben im Februar 2018 Siemens, die Münchner Sicherheitskonferenz (MSC) und sechs weitere Partner aus Politik und Wirtschaft eine „Charter of Trust“ ins Leben zu gerufen.
Eines ihrer Ziele: allgemeine Mindeststandards für Cybersicherheit zu etablieren, die sich am Stand der Technik orientieren. „Die Politik muss hierbei eine Führungsrolle einnehmen. Entwickeln und umsetzen müssen die Standards aber die Unternehmen, die an vorderster Front die Zukunft des Cyberspace sehen und gestalten. Deswegen ist die Charta so wichtig“, sagte damals Wolfgang Ischinger, Leiter der Münchner Sicherheitskonferenz. „Gemeinsam mit unseren Partnern wollen wir das Thema vorantreiben und inhaltlich begleiten.“
Die Politik muss hierbei eine Führungsrolle einnehmen. Entwickeln und umsetzen müssen die Standards aber die Unternehmen.
Und es ist tatsächlich höchste Zeit zu handeln. Das zeigten nicht nur 2010 das Schadprogramm Stuxnet, sondern 2017 auch die Erpressersoftware WannaCry und NotPetya sowie die bekannt gewordenen Chip-Schwachstellen Meltdown und Spectre. Schätzungen zufolge haben Angriffe auf die Cybersicherheit 2016 einen weltweiten Schaden von mehr als 500 Milliarden Euro angerichtet. Und das Risiko nimmt weiter zu: Waren 2017 8,4 Milliarden vernetzte Geräte in Gebrauch, soll die Zahl bis 2020 auf 20,4 Milliarden steigen. Dabei können durchaus Leib und Leben in Gefahr geraten. Man stelle sich etwa vor, sicherheitsrelevante Systeme autonomer Fahrzeuge würden bei der Herstellung so manipuliert, dass sie im Notfall nicht funktionieren.
In zehn Schritten zu einer sichereren Welt
Die im Februar 2018 stattfindende Münchner Sicherheitskonferenz war eine ideale Plattform, vor der Weltöffentlichkeit den Grundstein für die Charta zu legen – nicht nur mit branchenführenden Unternehmen, sondern auch im Beisein politischer Entscheidungsträger, Experten und zivilgesellschaftlicher Gruppen. Denn Cybersicherheit ist ein Thema, das alle angeht. Dabei hat Siemens diese Initiative nicht zufällig mit angestoßen – die digitale Wertschöpfung gewinnt auch im industriellen Umfeld massiv an Bedeutung – einer der Säulen des Siemens-Geschäfts.
Die Charta enthält zehn Prinzipien, die unsere digitale Welt sicherer machen sollen, und gibt drei wichtige Ziele vor: Daten von Einzelnen und Unternehmen zu schützen, Schaden von Personen, Unternehmen und Infrastrukturen abzuwenden und ein zuverlässiges Fundament zu schaffen, in dem das Vertrauen in eine vernetzte digitale Welt verankert werden kann.
Ein Ziel: das Vertrauen in die digitale Welt zu stärken
Um dieses Ziel zu erreichen, müssen alle mitwirken. Es bedarf von vornherein eines globalen Netzwerks – das in der Zwischenzeit deutlich angewachsen ist. Neben Siemens und der MSC gehören der IT-Riese IBM, Daimler, der Versicherungskonzern Allianz, Airbus, die Deutsche Telekom, Dell, Cisco, das Mineralölunternehmen Total, TÜV Süd, der Warenprüfkonzern SGS, der Halbleiterhersteller NXP, AES Corporation und der IT-Konzern Atos dazu. Und die Liste soll weiter wachsen.
An diesen Akteuren liegt es nun, einen eindeutigen Konsens bei den grundlegenden Prinzipien einer sicheren digitalen Welt schaffen. Dazu gehören unter anderem obligatorische Cybersicherheits-Zertifizierungen für kritische Infrastrukturen und Geräte, die Schaden an Leib und Leben verursachen könnten – wie es in der Charta heißt. Und es braucht klar definierte Verantwortlichkeiten und Ansprechpartner für Cybersicherheit bei Unternehmen, Behörden und Regierungen.
Und dafür muss kräftig die Werbetrommel gerührt werden. Ob Berlin, Brüssel, Paris, Rio de Janeiro, Singapur oder Washington: Unzählige Gesprächsrunden – sogenannte Round Tables – fanden im vergangenen Jahr weltweit statt, in denen sich die Charter-Partner mit Politikern vor Ort austauschen konnten. Mit Erfolg: Der französische Staatspräsidenten Emmanuel Macron hat in der von ihm im November 2018 vorgestellten Cybersicherheit-Strategie Vorschläge der Charter übernommen. Und auch der von der Europäischen Union ausgerufene EU Cybersecurity Act oder die Verschärfung des deutschen IT Sicherheitsgesetzt orientieren sich an den Vorschlägen der Charter of Trust.
Ein weiterer Erfolg im ersten Charter-Jahr: Umfassende Cybersicherheitsrichtlinien entlang der globalen Lieferkette.
Beschlossen: Sicherheitsstandards entlang der kompletten Lieferkette
Ein weiterer Erfolg, der im ersten Charter-Jahr erreicht wurde: Die Charta-Teilnehmer haben sich darauf geeinigt, umfassende Cybersicherheitsrichtlinien entlang ihrer globalen Lieferkette zu verankern. Dies werden die Partner nun jeder für sich ausrollen. Bei Siemens bedeutet das: Neue Lieferantenmüssen sich dazu verpflichten, Mindestanforderungen an die Cybersicherheit bei sich zu implementieren. Stets begleitet von regelmäßigen Sicherheitschecks und einer kontinuierlichen Überprüfung ihrer Produkte, Services und Infrastruktur. Ein großer Schritt, der allen Beteiligten zu Gute kommt. Denn laut dem Unternehmensberater Accenture finden mehr als 90 Prozent aller Cyberangriffe bei eben kleineren Unternehmen statt.
Auch sollen sich globale Expertennetzwerke umfassender als bisher zu gemeinsamen, übergreifenden Risiken austauschen. Ferner werden verbindliche Sicherheitsstandards für das rasant wachsende „Internet der Dinge“ benötigt, beispielsweise Regeln zum autorisierten Zugriff oder zur Datenverschlüsselung. Und schließlich ist es ein Anliegen der „Charter of Trust“, dass Cybersicherheit ein fester Bestandteil von Curricula in der schulischen und universitären Bildung wird – keine triviale Aufgabe, gemessen an der Vielzahl der Lehrpläne. „Eines unserer wichtigsten Anliegen“, sagt Ischinger. „So wollen wir nicht nur das Bewusstsein für Cybersicherheit stärken, sondern jungen Menschen die Mittel an die Hand geben, die Sicherheit der digitalen Welt künftig mitzugestalten.“
15.02.2019
Hubertus Breuer / Sebastian Webel
Abonnieren Sie unseren Newsletter
Bleiben Sie auf dem Laufenden: Alles was Sie über Elektrifizierung, Automatisierung und Digitalisierung wissen müssen.