Inhalt
„Lassen Sie uns Informationssicherheit zum neuen Made-in-Germany in der Digitalisierung machen.“
13.06.2019
© Bundesamt für Sicherheit in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) überreichte am 28. Mai 2019 der Ernährungsindustrie den Eignungsbescheid für deren Branchenstandard im Sinne des § 8a (2) BSI-Gesetz. Unternehmen der Ernährungsindustrie haben damit nicht nur die Möglichkeit, die neuen gesetzlichen Verpflichtungen an die IT-Sicherheit in Kritischen Infrastrukturen zu erfüllen, sondern sie können sich durch die Implementierung des Branchenstandards, genannt B3S, noch besser gegen Hackerangriffe rüsten. Im Interview beschreibt Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik, die IT-Sicherheitslage für die Ernährungsindustrie in Deutschland und den damit verbundenen Herausforderungen.
BVE: Aufgrund des gestiegenen Risikos durch Cyberangriffe schreibt der Gesetzgeber besondere Schutzmaßnahmen für bestimmte Branchen, darunter die Ernährungsindustrie, vor. Grund ist, dass der Ausfall dieser Branchen zu kritischen Versorgungsengpässen führen könnte. Drei Jahre sind seit dem Inkrafttreten der Verordnung zur Bestimmung
Kritischer Infrastrukturen (KRITIS) nach dem BSI-Gesetz vergangen. Wie fällt Ihre Evaluierung aus und welche Änderungen sollten angestrebt werden?
Arne Schönbohm: Die ersten drei Jahre sind sehr erfolgreich verlaufen. Wir stehen in engem Dialog mit den KRITIS-Betreibern aller Branchen und haben an wichtigen Stellschrauben gedreht. So konnten wir gemeinsam das IT-Sicherheitsniveau dieser für unser Allgemeinwesen zentralen Unternehmen und Betriebsanlagen steigern.
BVE: Wie groß ist die Cyber-Gefahrenlage in Deutschland? Wie groß ist sie speziell für die Ernährungsindustrie?
Arne Schönbohm: Wir sehen seit einiger Zeit eine dauerhaft angespannte und hohe Bedrohungslage im Bereich der IT-Sicherheit und zwar über alle Branchen hinweg. Wir sehen regelmäßig Produktionsausfälle in Folge von Cyber-Angriffen, wir beobachten den sogenannten CEO-Fraud, wir haben Fälle von gezielter Wirtschaftsspionage gesehen. Alles im Jahr 2019. Als die Nationale Cyber-Sicherheitsbehörde bieten wir unseren Zielgruppen in der Wirtschaft auch Lösungen an. Die branchenspezifischen Sicherheitsstandards (B3S) bilden den Stand der Technik bei
IT-Sicherheitsmaßnahmen ab. Sie können jederzeit auch von Unternehmen herangezogen werden, die nicht über das IT-Sicherheitsgesetz als Betreiber Kritischer Infrastrukturen dazu verpflichtet sind. Mit der Allianz für Cyber-Sicherheit bieten wir insbesondere KMU's eine Kooperationsplattform und auch der IT-Grundschutz des BSI kann auf die eigenen Bedürfnisse zugeschnitten werden. Wir sollten daher nicht immer nur über die Bedrohungslage sprechen, sondern auch die Lösungen in den Vordergrund stellen.
BVE: Viele Unternehmen der Ernährungsbranche stehen momentan vor der Herausforderung, ihre Prozesse zu digitalisieren. Großen Nutzen verspricht dabei zum Beispiel die Blockchain-Technologie. Wie bewerten Sie die Sicherheitslage bei solchen Prozessen zur Datenautomatik?
Arne Schönbohm: Wir haben dazu jüngst eine umfassende Studie vorgelegt, die genau solche Aspekte betrachtet. Wie sicher ist diese Technologie, wie lassen sich datenschutzrechtliche Vorgaben beachten? Wir erwarten bei Blockchain oder auch bei Künstlicher Intelligenz eine dynamische Weiterentwicklung und werden unsere Analyse dazu stets auf dem aktuellen Stand halten. Klar ist, dass gerade bei diesen Top-Themen, die sich noch in der Frühphase befinden, Cyber-Sicherheit von Anfang an ein zentraler Aspekt der Betrachtung sein muss. Nur so kann die Digitalisierung letztlich auch dauerhaft erfolgreich umgesetzt werden.
BVE: Die Ernährungsindustrie besteht zu 90 Prozent aus kleinen und mittelständischen Unternehmen. Im Kontakt mit großen Softwareherstellern haben sie eine schwächere Verhandlungsposition. Was raten Sie den Unternehmerinnen und Unternehmern, denen der Gedanke an die IT-Sicherheit und den damit verbundenen Kosten Kopfzerbrechen bereitet?
Arne Schönbohm: Ein erfolgreicher Cyber-Angriff kann die Existenz eines Unternehmens erheblich beeinträchtigen oder gar zerstören. IT-Sicherheit darf angesichts der Bedrohungslage nicht als Kostenverursacher angesehen werden, sondern als notwendige Voraussetzung eines erfolgreichen Geschäftsbetriebs. Wenn sie früh in einem Projekt mitgedacht wird, kann sie organisch mitwachsen. Wenn IT-Sicherheit oder auch der Datenschutz nachträglich über ein fertiges Produkt gestülpt werden muss, wird es ungleich komplizierter und teurer. Lassen Sie uns Informationssicherheit zum neuen Made-in-Germany in der Digitalisierung machen. Dann wird Cyber-Sicherheit zum Verkaufsargument!
BVE: Vielen Dank für das Interview, Herr Schönbohm!