IT-Sicherheit muss als Kernkompetenz der deutschen Wirtschaft ausgewiesen und gefördert werden
Das Thema IT-Sicherheit wird in der Öffentlichkeit vor allem durch Nachrichten über Cyberangriffe und Datendiebstahl wahrgenommen. Zusätzlich befeuert wurde es durch die Enthüllungen der Spionageaktivitäten von Geheimdiensten durch Edward Snowden, durch wiederkehrende Forderungen nach dem Einbau von staatlichen Backdoors in IT-Systeme und Lösungen, mit denen Verschlüsselung umgangen und ausgehebelt werden kann. Das Vertrauen von Bürgern und Unternehmen hat unter dieser Politik massiv gelitten. Dies verdeutlicht, dass der Internetwirtschaft, trotz ihrer Bemühungen
um ein hohes Maß an IT-Sicherheit, politische Grenzen gesetzt sind, die dem Vertrauen in die Sicherheit oftmals diametral zuwiderlaufen.
Wenngleich in Deutschland ein im Vergleich zu anderen Ländern hohes Sicherheitsniveau existiert, besteht auch ein hoher Schutzbedarf: IT-Technologien und Konzepte befinden sich im rasanten Wandel; das Risiko, von Schäden für Unternehmen und Gesellschaft nimmt zu. Gegen die massive Verletzung der Privatsphäre der Bürger und den sehr hohen jährlichen Schaden im Bereich der Wirtschaftsspionage muss konsequent vorgegangen werden.
Mit der weiteren Digitalisierung zentraler Bereiche der kritischen Infrastrukturen (KRITIS) und der Wirtschaft, entwickelt sich IT-Sicherheit zu einer Schlüsseltechnologie. Insbesondere für den Innovations- und Wirtschaftsstandort Deutschland wird sie somit unverzichtbar. Darüber hinaus ist IT-Sicherheit zunehmend in vielen Wirtschaftsbereichen, wie z. B. dem Telekommunikationssektor, Automobilsektor, Maschinenbau, Medizintechnik und der Energiewirtschaft, von zentraler Bedeutung. Kernkompetenz im Bereich der IT-Sicherheit und IT-Sicherheitstechnologien sind für die genannten Sektoren im Allgemeinen und insbesondere für Themenfelder wie Connected Cars, Industrie 4.0, Internet of Things oder Smart Home Grundvoraussetzung und damit unabdingbar für die Wachstumsmärkte der Zukunft.
Vor diesem Hintergrund muss IT-Sicherheit zu einer Kernkompetenz der gesamten deutschen Wirtschaft ausgebaut werden. Dies erfordert nicht zuletzt ein entsprechendes Bewusstsein in Wirtschaft und Gesellschaft, sondern auch die Entwicklung und Nutzung von IT-Sicherheitstechnik; insbesondere für den Einsatz in den anderen Kernbereichen und Schlüsseltechnologien der deutschen Wirtschaft und Industrie. Wesentlicher Bestandteil sollte hier eine staatliche Forschungs-, Entwicklungs- und Ausbildungsförderungsoffensive sein.
Für die Wettbewerbsfähigkeit der deutschen und der europäischen Digitalen Industrie und die Nachhaltigkeit eines hohen IT-Sicherheitsstandards in Deutschland ist die Schaffung eines Europäischen Binnenmarktes für Cybersicherheit unerlässlich. Die Umsetzung der Richtlinie zur Netz- und Informationssicherheit (NIS-RL) in der EU wird hierzu ein wichtiger Schritt sein. Für deutsche Unternehmen, die im europäischen Markt aktiv sind, ist eine Durchsetzung von Mindeststandards und ein bestmöglicher Grad an Harmonisierung von Sicherheitsanforderungen von hoher Bedeutung. Auf EU-Ebene sollten daher Zertifizierungs- und Standardisierungsprozesse harmonisiert werden, von denen auch deutsche Unternehmen im globalen Wettbewerb profitieren würden. Darüber hinaus ist ein pragmatischer Ansatz beim Ausbau der IT-Sicherheit im Rahmen einer öffentlich-privaten Partnerschaft sinnvoll.
Dabei geht es um die Steuerung von Forschungsvorhaben, die Entwicklung von Best-Practices, die Entwicklung von branchenweiten Standards und die Einführung von modernen IT-Sicherheitsarchitekturen. Einige dieser Aspekte werden bereits in der Initiative „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Energie verfolgt. Diese Aktivitäten müssen ergänzt und verstärkt werden. Weitere Impulse sollten durch eine verstärkte Förderung der Zusammenarbeit und Kooperation auf nationaler und europäischer Ebene gesetzt werden („IT-Sicherheits-Cluster“). Das Anti-Botnet-Beratungszentrum und die Initiative-S sind weitere konkrete Beispiele funktionierender Einrichtungen, deren Maßnahmenpakete das Potenzial besitzen, ineinander zu greifen und die IT-Sicherheit zu erhöhen.
Von einer Politik mit engen regulativen Maßnahmen, die nur bedingt geeignet sind, IT-Sicherheit in der Fläche durchzusetzen, sollte abgesehen werden. Engmaschige Regeln mit hohem Aufwand für die Zertifizierung sind speziell für kleine und mittelständische IT-Unternehmen zu hoch. Einzelne Initiativen,
wie die Trusted Cloud Initiative des BMWi, zeigen, dass hier durch die öffentliche Anerkennung – auch von privaten Gütesiegeln – der deutschen Wirtschaft ein einfacher Weg zur Verbesserung ihrer IT-Sicherheit existiert und die Akzeptanz von Clouddiensten fördert.
Weiterhin ist zur Absicherung von Investitionen in Innovation und zur Bewahrung von Geschäftsgeheimnissen der deutschen Wirtschaft die Nutzung starker Verschlüsselung unabdingbar.
Die Entwicklung nutzerfreundlicher Verschlüsselungslösungen und deren flächendeckender Einsatz müssen gefördert, und sollten entsprechend bei öffentlichen Ausschreibungen berücksichtigt werden. Um das Vertrauen in digitale Technologien zu stärken, ist die Stärkung digitaler Verschlüsselungsverfahren elementar. Dazu gehört der explizite Verzicht auf jegliche Form der Schwächung von Verschlüsselungsverfahren. eco fordert die Bundesregierung daher dazu auf, ihre Gesetzgebung dahingehend zu überprüfen und von einer Ausweitung der rechtlichen Möglichkeiten zur systematischen Aufweichung von Verschlüsselung zu verzichten.
Die Langfassung der Internetpolitischen Agenda mit insgesamt 30 Kernforderungen der Internetwirtschaft für eine moderne Netzpolitik ist unter: w16.eco.de/agenda online verfügbar.