Position der IHK: Wie lässt die IT-Sicherheit für Unternehmen verbessern?

• Auf einen Blick
• 1. Unternehmen in IT-Sicherheitsmaßnahmen praxisnah unterstützen
• 2. Ökosystem für innovative IT-Sicherheitsprodukte und -Services stärken
• 3. Gemeinsam IT-Sicherheitsbedrohungen entgegentreten
• 4. Kompetenzen für IT-Sicherheit auf allen Ebenen ausbauen

Die Bedrohung im Cyberraum ist laut Bundesamt für Sicherheit in der Informationstechnik (BSI) so hoch wie nie zuvor. Die IHK-Digitalisierungsumfrage zeigt, dass jedes fünfte Unternehmen 2023 Opfer eines Angriffs wurde. Cyberattacken haben dabei meist entlang der Lieferkette Auswirkungen über das betroffene Unternehmen hinaus. In Unternehmen werden dadurch jährliche Schäden von über 178 Milliarden Euro verursacht. Für die eigene IT-Sicherheit zu sorgen, liegt in der Verantwortung eines jeden Unternehmens. Trotzdem werden Schutzmaßnahmen in Unternehmen mangels Ressourcen und Knowhow nur schleppend ausgebaut.

Erfolgreiche Cyberabwehr ist ein elementarer Standortfaktor, der über Wohlstand und Sicherheit entscheidet. Dafür müssen sich Wirtschaft, Gesellschaft und Staat gemeinsam engagieren.

zurück zur Übersicht

Das Risiko eines Cyberschadens sowie mögliche Auswirkungen in Unternehmen muss auf ein akzeptables Niveau gesenkt werden. Hierfür braucht es unterstützende Maßnahmen zur Prävention und Vorbereitung gegen einen Cyberangriff. Im Falle eines Sicherheitsvorfalls sollte das Unternehmen damit in der Lage sein, zügig zu reagieren und den Schaden zu minimieren. Gesetzliche Regelungen sollen dabei stärken und nicht belasten.
Maßnahmen hierfür sind:

• Gesetzliche Verpflichtungen angemessen und rechtssicher umsetzen:
  Gesetzliche Verpflichtungen zur IT-Sicherheit müssen bürokratiearm, praxisnah, verständlich und einheitlich umgesetzt werden, um Doppelregulierungen und Standortnachteile zu vermeiden. Standards wie Tisax, ISO 27001 oder IT-Grundschutz sollten anrechenbar sein, um den Aufwand zu reduzieren. Eine Austauschplattform soll den Erfahrungsaustausch und Warnungen erleichtern. Behörden müssen NIS2-Anforderungen einheitlich erfüllen.

• Wirtschaft durch staatliche Einrichtungen zielgerichtet unterstützen:
  Unternehmen benötigen gezielte staatliche Unterstützung bei IT-Sicherheit. Maßnahmen umfassen:
  - Zentrale Lotsenstelle: Eine unabhängige, zentrale Anlaufstelle soll Unternehmen Präventions- und Notfallhilfe bieten.
  - Zielgruppenspezifische Angebote: Branchenspezifische IT-Sicherheitsstandards und -hilfen, z. B. nach dem Vorbild des BSI-CyberRisikoChecks, sollen ausgebaut werden, besonders für kleine Unternehmen.
  - Sensibilisierung stärken: Selbsthilfe-Angebote, Musterunterlagen und Weiterbildung (z. B. DSiN-Digitalführerschein) sollen den Knowhow-Aufbau fördern.
  - Schwachstelleninfo: Staatliche Warnungen und Handlungsempfehlungen zu Schwachstellen müssen ausgebaut werden.

• Verlässliche Anbieter, Dienstleister und Produkte kennzeichnen:
  Unternehmen benötigen verlässliche Entscheidungshilfen für IT-sichere Produkte und Dienstleistungen. Eine Kennzeichnung, ähnlich der CE-Kennzeichnung, sollte weiterentwickelt werden, basierend auf Hersteller-Selbsterklärungen und möglichen Prüfmechanismen durch Behörden. Ziel ist ein robustes „Basispaket“ für den Alltag. Akzeptanz und Sichtbarkeit solcher Kennzeichnungen müssen gesteigert werden. Ansätze wie die APT-Liste des BSI und DinSpec 27076 sollten ausgebaut werden, ebenso wie Befähigungsnachweise für IT-Sicherheitsdienstleister.

zurück zur Übersicht

Die Entwicklung digitaler Technologien – auch für Cyberattacken – schreitet rasant voran. Um nicht den internationalen Anschluss zu verlieren, sondern mit eigenen Mitteln für innovativen Cyberschutz und damit für eine gewisse digitale Souveränität zu sorgen, braucht es ein starkes, innovatives Ökosystem für IT-Sicherheit.
Maßnahmen hierfür sind:

• Forschungstransfer verbessern:
  Deutschland ist führend in der IT-Sicherheitsforschung, jedoch fehlt oft die Umsetzung in marktfähige Produkte und der Transfer zu KMU. Wichtig sind verstärkter Wissenstransfer, Kooperationen zwischen Wissenschaft und Wirtschaft sowie Vermittlung von Entrepreneurship-Knowhow. Die Forschungsförderung sollte stärker auf Produktentwicklung und die Einbindung von Unternehmen ausgerichtet werden.

• Innovationspotenzial von Startups stärken:
  Startups benötigen bessere Finanzierungsmöglichkeiten, etwa durch größere Venture-Capital-Fonds oder steuerliche Vorteile, besonders beim Übergang von der Frühphase in die Unternehmensphase. Regulierungen wie AI Act, NIS2 und CRA müssen startupsfreundlich gestaltet werden, um Entwicklungsspielraum zu sichern. Die öffentliche Hand sollte das Innovationspotenzial von Startups gezielter in Vergabeverfahren nutzen.

• Entwicklung von Schlüsseltechnologien zur IT-Sicherheit vorantreiben:Technologische Fortschritte wie KI fördern sowohl Cyberangriffe als auch Abwehrmöglichkeiten. Der Staat sollte die Entwicklung von Schlüsseltechnologien wie IoT, KI, Blockchain und Quantencomputing durch Initiativen wie die Agentur für Sprunginnovationen vorantreiben, innovative Anwendungen fördern und als Pilotnutzer neue Technologien selbst einsetzen.

• Faire Marktchancen für EU-Anbieter sicherstellen:
  IKT-Hersteller werden durch Regulierung, z. B. durch den Cyber Resilience Act in der Produkthaftung, stärker in die Verantwortung genommen. Dies muss so erfolgen, dass EU-Anbieter keine Wettbewerbsnachteile gegenüber Nicht-EU-Anbietern haben. IT-Sicherheit in Open Source unterstützen:

• IT-Sicherheit in Open Source unterstützen:
  Open Source-Software ist zentral für die IT, wird aber oft von kleinen Communities getragen, was Sicherheitsrisiken birgt. Daher braucht es verstärkte Unterstützung, etwa durch Initiativen wie den „Sovereign Tech Fund“ und den „PrototypeFund“. Projekte wie die „Codeanalyse von Open Source Software“ des BSI sollten ausgebaut werden, um die Sicherheit im Open-Source-Ökosystem zu stärken.

zurück zur Übersicht

Die IT-Sicherheit von Unternehmen, öffentlichen Einrichtungen und Privatpersonen wird von anderen Staaten und Kriminellen bedroht. In nationaler und internationaler Zusammenarbeit müssen staatliche und private Einrichtungen noch stärker kooperieren und gemeinsam daran arbeiten, diese Bedrohung zu minimieren.
Maßnahmen hierfür sind:

• Schlagkraft der Sicherheitsbehörden erhöhen:
  Unternehmen benötigen kompetente Ansprechpartner und Schutz vor Cyberkriminalität. Sicherheitsbehörden müssen technisch und personell besser ausgestattet werden. Spezialeinheiten sollten föderal und behördenübergreifend, z. B. mit der Bundeswehr, zusammenarbeiten. Bei massiven Cyberangriffen sind klare Zuständigkeiten und eine schnelle Koordination zwischen Bund und Ländern entscheidend.

• Ethische Schwachstellenforschung legalisieren:
  Der §202 StGB („Hackerparagraph“) kann IT-Sicherheitsforscher bei der Schwachstellenmeldung kriminalisieren, was die Zusammenarbeit erschwert. Das Identifizieren und Melden von Schwachstellen zum Schutz Betroffener muss legalisiert werden. Ein „Coordinated-Vulnerability-Disclosure (CVD)-Prozess“ nach niederländischem Vorbild sollte klare Schritte für Forscher und Betroffene definieren, um eine sichere Zusammenarbeit zu ermöglichen.

• Mit IT-Sicherheitslücken verantwortungsbewusst umgehen:
  Grundsätzlich müssen alle Anstrengungen unternommen werden, bekannt gewordene Schwachstellen möglichst schnell zu schließen. Nur in außergewöhnlichen Fällen nationaler Sicherheit dürfen Schwachstellen temporär geheim gehalten werden. Der CVD-Prozess dafür muss klar und verbindlich definiert sein.

• Austausch aller Betroffenen fördern - Lagebild und Nutzen verbessern:
  Ein umfassendes IT-Sicherheitslagebild ist entscheidend, um Staat, Wirtschaft und Gesellschaft besser zu schützen. Dafür müssen IT-Sicherheitsinformationen effizient ausgetauscht, Datenquellen erweitert und die Qualität der Lageinformationen verbessert werden. Ergänzend zu Meldungen aus NIS2 und DSGVO sollten auch Daten zu abgewehrten Angriffen genutzt werden, um frühzeitig Angriffsmuster zu erkennen. Eine niederschwellige Austauschplattform im Rahmen der NIS2-Umsetzung kann die Zusammenarbeit zwischen staatlichen Einrichtungen und Unternehmen, insbesondere mit CERTs, stärken und die Meldung erfolgreich abgewehrter Angriffe erleichtern.

• Schlüsselrollen bei Cyberangriffen besser einbinden:
  Die legalen und handelsüblichen Services von IT-Dienstleistern wie z. B. Domain-Registrare, Hosting-Anbieter oder Content Delivery Networks werden von Cyberkriminellen missbraucht und ermöglichen erst Cyberangriffe. Sie nehmen damit eine Schlüsselrolle bei Cyberangriffen ein. Staatliche Stellen sollen stärker in den Austausch mit solchen Einrichtungen in Schlüsselrollen gehen und gemeinsam Wege zur effektiveren Eindämmung von Cyberangriffen finden. Unternehmen, die solche missbrauchbare Infrastruktur anbieten, müssen wissen, wer ihre Kunden sind („Know Your Customer“) und schnell reagieren, wenn ein Missbrauch belegt ist. Gleiches gilt auch für Einrichtungen, die der Abwehr von Cyberangriffen dienen wie z. B. Betreiber von IP- oder Spam-Blacklist-Servern. Besonders kritisch ist die Rolle von Internetdomains, die bei Phishing-Mails eine wesentliche Rolle spielen. Zumindest für die im eigenen Gesetzgebungsbereich befindlichen Domains (z. B. „.de“ oder „.bayern“) sollten besondere Qualitätsmerkmale etabliert werden, z. B. eine zuverlässige Identifizierung bei der Beantragung einer Domain. Missbrauch wie z. B. Fakeshops unter de-Domains sollten schnell abgeschaltet werden können. Hierzu könnte eine Meldemöglichkeit analog zur TKG-Lösung für Telefon-Spam eingerichtet werden. Dazu müssen staatliche Einrichtungen kurzfristig auf die in diesem Gebiet operativ tätigen Unternehmen einwirken können.

zurück zur Übersicht

In den Unternehmen fehlen oftmals IT-Sicherheitsexpertise ebenso wie digitale Anwendungs-Kompetenzen. Dabei sind gerade Mitarbeitende trotz technischer Sicherheit ein großes Risiko für die IT-Sicherheit. Ohne entsprechendes Knowhow im Unternehmen kann ein ausreichender Cyberschutz nicht sichergestellt werden. Ziel muss sein, dass in Unternehmen alle IT-Anwendenden über grundlegendes Wissen in IT-Sicherheit und KI
verfügen und ausreichend IT-Sicherheitsfachkräfte für Entwicklung wie Einsatz im Unternehmen vorhanden sind.
Maßnahmen hierfür sind:

• IT-Sicherheits-Kompetenzen in allen Phasen umfassend stärken:
  Digitale Fähigkeiten, insbesondere zur IT-Sicherheit und KI müssen frühzeitig und umfassend in Schulen, Ausbildung, Studium und in den Betrieben vermittelt werden.

• Neue Generation von IT-Sicherheitsfachkräften entwickeln:
  Das Angebot spezialisierter Bildungswege zu IT-Sicherheitsfachkräften muss ausgeweitet und attraktiv gestaltet werden.
  Der Staat soll zudem mehr hochqualifizierte IT-Sicherheitsfachkräfte ausbilden. Dabei sollte er – über eine angemessene Bezahlung hinaus - seine besondere Attraktivität als Arbeitgeber in der IT-Sicherheit stärker hervorheben: Arbeitserfahrungen bei BSI, Strafverfolgungsbehörden oder Militär zielen direkt auf die nationale Sicherheit und den Schutz der Gesellschaft und können besonders lehrreich sein. Von Mitarbeitenden mit solchen Erfahrungen können auch Unternehmen anschließend profitieren.

zurück zur Übersicht