Wirksame Cybersicherheit braucht enge Kooperation zwischen Wirtschaft und Behörden
(Berlin) - Mit der Digitalisierung und Vernetzung der Verkehrsmittel und Infrastruktur entstehe eine neue Gefahr von Hackerangriffen auf die Mobilitätswelt, so Stefan Kölbl, Mitglied des Präsidiums, Deutsches Verkehrsforum (DVF), Vorsitzender der Vorstände, DEKRA e.V. und DEKRA SE, auf der DVF-Veranstaltung zum Thema Cybersicherheit in der Mobilität. "Deshalb ist Cybersicherheit im Verkehr eine nicht verhandelbare Grundbedingung und wird zum neuen Megathema."
Laut Kölbl sei es erschreckend, wie hoch die Schäden durch Cyberattacken in der Wirtschaft sind: "Neun von zehn Unternehmen sind mittlerweile Opfer von Hackerangriffen, im Grunde genommen die gesamte Wirtschaft. Die Schäden belaufen sich in diesem Jahr auf 223 Milliarden Euro - doppelt so viele wie noch vor einem Jahr."
"Für den Verkehrsbereich hängt die Sicherheit hauptsächlich von zwei Dingen ab: Erstens von zeitgemäßen regulatorischen Rahmenbedingungen und zweitens von verbindlichen und überprüfbaren technischen Standards", so Kölbl weiter. "Ein wirksamer Rechtsrahmen kann zudem ein Mehrwert für den Verbraucherschutz sein und das Vertrauen in digitale Systeme schaffen. Allerdings kann die Prüfung dieser Systeme auf Plausibilität allein durch das Bundesministerium für Sicherheit in der Informationstechnik BSI nicht mit der Zertifizierung durch eine unabhängige Prüfstelle gleichgesetzt werden. Zudem ist es wichtig, dass Mobilitätswirtschaft, Behörden und Prüfinstitutionen die kritischen Sicherheitsbereiche identifizieren."
Mit der europäischen Regulierung für kritische Infrastrukturen, der NIS-Richtlinie und deren Umsetzung in Deutschland über das IT-Sicherheitsgesetz und die BSI-KRITIS wurde auch der Transportsektor einer Regulierung unterworfen. Die Wirtschaftsvertreter sahen hier noch Nachbesserungsbedarf.
Kooperation wichtiges Element für Cybersicherheit
"Wir wollen mit zeitgemäßen und innovativen Angeboten ein Höchstmaß an Mobilität, Service und Komfort bieten. Selbstverständlich muss das mit einem Höchstmaß an Sicherheit einhergehen", postulierte Eva Kreienkamp, Vorstandsvorsitzende, Berliner Verkehrsbetriebe (BVG), AöR. "Bei der Cybersicherheit machen wir keine Abstriche. Dafür brauchen wir eine gegenseitige Unterstützung aller Beteiligten, also Unternehmen, Behörden und Politik. Für mich heißt das auch, dass die öffentlichen Stellen einerseits regulieren und fordern, anderseits aber auch fördern und kompensieren."
Redundanz und die Dezentralisierung von Rechenzentren seien Bausteine zum Schutz vor Cyberangriffen, so Julia Miosga, Senior Expertin Corporate Public Affairs, Deutsche Post DHL Group, Konzernrepräsentanz Berlin. DPDHL als global agierender Konzern sei in 220 Ländern tätig und brauche vor allem harmonisierte und standardisierte Regularien, die sich an internationalen Standards orientieren. Miosga lobte den bestehenden Austausch zwischen Wirtschaft und Behörden, sah hier aber auch noch Potenziale für eine stärkere Kooperation.
Kostenbelastung für Unternehmen
Informationssicherheit sei die Voraussetzung einer erfolgreichen Digitalisierung und so selbstverständlich wie Arbeitsschutz und Arbeitssicherheit, so Dr. Timo Hauschild, Fachbereichsleitung Cyber-Sicherheit für Kritische Infrastrukturen, Bundesamt für Sicherheit in der Informationstechnik (BSI). "Daher stellt die Umsetzung der Informationssicherheit keinen erheblichen Mehraufwand dar. Die gesetzliche Regulierung ist lediglich eine Überprüfung, ob der Stand der Technik auch umgesetzt wird."
Für BVG-Chefin Kreienkamp stellt sich die Realität allerdings anders dar: "Zurzeit tragen die Unternehmen die volle Last der Mehraufwendungen, die im schlechtesten Fall auf die Kundenpreise abgewälzt werden müssen. Die Verantwortung für das gemeinsame Ziel, digitaler Fortschritt mit maximaler Sicherheit, sollten wir aber auch gemeinsam schultern." Nach den Worten von Kreienkamp könnten die Anbieter und Dienstleister ihren Teil beitragen, indem sie mehr "IT-Security by design and default" liefern würden. Vom Gesetzgeber wünsche sie sich, "dass er den Unternehmen die gewollte und geforderte Eigenverantwortung auch zugesteht."
Hauschild wies darauf hin, dass das BSI und weitere öffentliche Institutionen die Betreiber Kritischer Infrastrukturen auch in den Bereichen Prävention, Detektion und Reaktion unterstützen würden. "Es leistet damit einen entscheidenden Betrag zur Steigerung der Informationssicherheit auch von Kritischen Infrastrukturen."
Miosga: "Hier stellt sich immer wieder die Gegenfrage: Wie hoch ist der Schaden, wenn wir den Mehraufwand nicht betreiben? Wir handeln in unserem höchsten Eigeninteresse, wenn wir uns als weltweit führender Logistiker an den höchsten internationalen IT-Sicherheitsstandards orientieren."
Die Experten waren sich einig, dass die Zusammenarbeit zwischen Wirtschaft und Sicherheitsbehörden im Rahmen der UP-KRITIS ausbaufähig ist. Ein gemeinsames Verständnis und ein regelmäßiger Austausch über die Abläufe im Mobilitätssektor, mögliche Gefahren und vorbeugende Maßnahmen sei wichtig. Nach Auffassung der Mobilitätswirtschaft geht es dabei auch darum, Hinweise für eine Weiterentwicklung des Regulierungsrahmens aufzugreifen.
Kölbl sagte abschließend: "Die öffentliche Hand hat die Aufgabe, einen wirksamen Rechtsrahmen im Bereich Cybersicherheit zu etablieren, der einen Mehrwert für Verbraucherschutz bietet und Vertrauen in digitale Systeme schafft. Dies erfordert es, dass in den nächsten Jahren bestehende gesetzliche Vorgaben unter Einbeziehung unabhängiger Prüforganisationen angepasst werden. Nur so können wir ein höchstmögliches Maß an Cybersicherheit ermöglichen, beispielsweise beim IT-Sicherheitskennzeichen."
Quelle und Kontaktadresse:
Deutsches Verkehrsforum e.V. (DVF)
Ingrid Kudirka, Leiterin Presse- und Öffentlichkeitsarbeit
Klingelhöferstr. 7, 10785 Berlin
Telefon: (030) 2639540, Fax: (030) 26395422