Mit 99,5 Prozent der Unternehmen des Landes bilden KMU das Rückgrat der nordrhein-westfälischen Wirtschaft. Die Digitalisierung eröffnet ihnen zwar enorme Chancen, ist dabei allerdings auch mit Risiken verbunden. Angesichts der zunehmenden Anzahl an Cyberattacken stellt die Sicherheit von Daten, Systemen und Geschäftsprozessen heute einen wesentlichen Faktor für den Geschäftserfolg vieler Unternehmen dar. Mit welchen konkreten Herausforderungen sieht sich diese Gruppe von Unternehmen bei dem Ausbau ihrer Cybersicherheit konfrontiert? Und mit welchen Angeboten können sie effektiv unterstützt werden? Beim Spitzengespräch „Cybersicherheit in der Wirtschaft“ am 21. Januar diskutierten Spitzenvertreterinnen und -vertretern aus Verbänden, Kammern, Wirtschaftsförderungen und der Industrie zu diesem Thema. Ziel des Austauschs war es, den Grundstein für eine noch engere Zusammenarbeit zwischen den Institutionen zu legen.
Ausgerichtet wurde das Spitzengespräch auf Einladung von Prof. Dr. Andreas Pinkwart, dem Minister für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen (MWIDE) gemeinsam mit DIGITAL.SICHER.NRW – dem Kompetenzzentrum für Cybersicherheit in der Wirtschaft NRW. Minister Prof. Pinkwart eröffnete das Spitzengespräch und lud die Teilnehmenden zur Darstellung der aktuellen Herausforderungen in ihren Branchen, Verbänden und Kammern ein. Die Geschäftsführer des Kompetenzzentrums, Sebastian Barchnicki und Christian Schmickler, stellten den Auftrag von DIGITAL.SICHER.NRW und die dringenden Handlungsbedarfe besonders bei vielen kleineren Unternehmen dar.
Cyberkriminalität inzwischen hoch spezialisiert
Während des Spitzengesprächs wurde unter anderem herausgearbeitet, dass sich die Cyberkriminalität längst zu einer professionellen Industrie entwickelt hat, so dass singuläre Maßnahmen allein nicht mehr ausreichen, um das aufgebaute Ökosystem der Cyberkriminalität zu durchbrechen. Vielmehr müsse durch eine Bündelung der Maßnahmen die Schwelle für einen erfolgreichen Angriff erhöht werden, damit die Attraktivität für Cyberattacken gesenkt wird. Bereits erfolgreiche Initiativen müssten weitergeführt und bedarfsgerecht durch weitere ergänzt werden.
KMU stehen vor besonderen Herausforderungen
Im Gespräch wurde allerdings auch die Vielzahl an Herausforderungen deutlich, denen KMU bei der Erhöhung ihrer digitalen Resilienz gegenüberstehen. So können gerade kleine Unternehmen den hohen finanziellen Aufwand für eine professionelle IT-Beratung häufig nicht leisten. Das gilt besonders für den ländlichen Raum, wo das Gehaltsgefüge niedrigere Gehälter vorsieht und teure Spezialisten kaum eingestellt werden können. KMUs sind daher auf effiziente und auf ihre speziellen Anforderungen zugeschnittene Angebote angewiesen, um sich effektiv gegen Bedrohungen aufzustellen. Dazu gehört allerdings auch die Notwendigkeit, sich als Unternehmen eine gewisse Grundkompetenz in Sachen Digitaler Sicherheit anzueignen. Wichtig ist in diesem Zusammenhang die Beteiligung der Mitarbeiter durch regelmäßige Fortbildungen und Schulungen, denn gerade menschliche Faktoren bieten nach wie vor ein hohes Angriffspotenzial für Cyberattacken, z.B. durch Phishing-Mails oder die unachtsame Verwendung infizierter USB-Sticks .
Bündelung von Kräften notwendig
Um Unternehmen bei dem Ausbau ihrer Cybersicherheit zu unterstützen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Vergangenheit ein Ersthelfernetzwerk von qualifizierten Experten für Cybersicherheit auf den Weg gebracht, die Betroffenen Expertise und Knowhow zur Behebung von IT-Sicherheitsvorfällen zur Verfügung stellen. IT-Sicherheitsvorfälle sollen dadurch besser erkannt und so das Schadensausmaß für Unternehmen begrenzt sowie weitere Schäden verhindert werden. Ein ähnliches Ziel verfolgt die “Cyberwehr” des eurobits e.V.: im Rahmen des aktuellen Pilotprojekts im Ruhrgebiet soll eine Anlaufstelle für Cybernotfälle für kleinere Unternehmen geschaffen werden, von der aus die Unternehmen bei Bedarf an passende Partner weitergeleitet werden. Auch wurde die Überlegung in den Raum gestellt, regionale Cluster zu schaffen, in denen Cybersicherheits-Experten beschäftigt werden, die allen einem Cluster zugehörigen Unternehmen zur Verfügung stehen.
Auch große Unternehmen verbindet das Kernproblem der fehlenden personellen Ressourcen aufgrund des Fachkräftemangels. Um dem entgegenzuwirken, brauche es u.a. gemeinsame Ausbildungsinitiativen, wobei ausdrücklich auch Frauen und Quereinsteiger angesprochen werden sollten.
"Security by Design" gefordert
Eine besondere Herausforderung stellen auch Sicherheitsaspekte von Hard- und Software dar. Hier brauche es „Security by Design“, also die Berücksichtigung von Sicherheitsanforderungen bereits bei der Produktentwicklung. Weiterhin könnten auch etwa gesetzlich definierte Mindestanforderungen, Mindesthaltbarkeitsdaten für digitale Produkte oder auch staatliche Sicherheitschecks hilfreich sein.
Versicherung von Cyber-Risiken nicht immer einfach
Cyberversicherungen sind dazu da, Schadensrisiken durch Cyberangriffe abzusichern. Allerdings stehen die Versicherungen vor der Herausforderung, die Eintrittswahrscheinlichkeiten von Schäden sowie zu erwartende Schadenshöhen häufig nicht hinreichend einschätzen zu können, so dass sich viele Risiken für KMU oft nicht adäquat versichern lassen. Hier könnten Kooperationen und die Zusammenarbeit von Versicherungen Abhilfe schaffen, um einen besseren Marktüberblick und eine bessere Datengrundlage zu erhalten, auf deren Basis sinnvolle Policen entwickelt werden könnten.
Nicht zuletzt wurde das Thema Strafverfolgung und der Wunsch einer Stärkung der behördlichen Kapazitäten aufgegriffen – insbesondere auch die von internationalen Organisationen wie beispielsweise Europol. Gleichzeitig müssten Behörden und Unternehmen enger zusammenarbeiten, um die Chancen der Identifikation von Cyberkriminellen zu erhöhen.
Gesellschaftlich hilfreich könnte eine Veränderung der öffentlichen Haltung sein. Um mit der häufig vorherrschenden Einstellung „Opfer werden ist peinlich, darüber spricht man nicht“ zu brechen, wäre eine Idee, sogenannte „Fuckup Nights“ zu veranstalten, bei denen Unternehmen von ihren Erfahrungen berichten, wie sie Opfer eines Cyber-Angriffs geworden sind. Dies wäre eine weitere Möglichkeit zu Aufklärung und Sensibilisierung für Unternehmen, sich vor künftigen Attacken besser zu wappnen.
Fazit: Viele Herausforderungen – Nun folgt die gemeinsame Umsetzung
Im Rahmen des Spitzengesprächs wurde deutlich: Bei der Erhöhung der digitalen Sicherheit der KMU gibt es viele Herausforderungen, aber auch Vieles, was unmittelbar von den Unternehmen getan werden kann. Viele Maßnahmen lassen sich mit überschaubarem Aufwand umsetzen. Gleichzeitig können viele Themen nur gemeinsam und in enger Zusammenarbeit zwischen Unternehmen, Politik, Forschung, Verbänden, Kammern und Wirtschaftsförderungen behoben werden. Die Bereitschaft dazu war von Seiten aller Teilnehmenden deutlich spürbar.
Wirtschafts- und Digitalminister Prof. Dr. Pinkwart und DIGITAL.SICHER.NRW danken allen Teilnehmenden für die vielen wertvollen Beiträge, die in die Diskussion eingebraucht wurden. Der Roundtable war der Auftakt für eine noch engere Kooperation und Zusammenarbeit. Nun geht es an die Umsetzung der langen Agenda, um das Sicherheitsniveau der KMU in NRW gemeinsam nachhaltig zu erhöhen.