DIGITALISIERUNG & CYBERSECURITY

Wo Internet noch immer Neuland ist

Lesen, Leiden, Lochen - die öffentliche Verwaltung in Deutschland ist beim Thema Digitalisierung weit abgeschlagen. Aber auch viele Unternehmen sind im Netz nicht professionell genug aufgestellt, um bei Cyberangriffen gewappnet zu sein. Experten zeigten beim Forum NEU DENKEN auf, woran es hakt und welche Strategien einen Ausweg bieten 

Prof. Dr. Peter Krug - CMO & stellv. Vorstandsvorsitzender DATEV eG

Die Anekdote hat nicht viel von ihrer Aktualität eingebüßt und wurde denn auch auf dem Wirtschaftsforum NEU DENKEN bemüht, um die Missstände zu illustrieren: Auf einer Pressekonferenz mit Barack Obama 2013 hatte die damalige Bundeskanzlerin Angela Merkel in einer unglücklichen Formulierung das Internet als "Neuland für uns alle" bezeichnet. In Sachen digitale öffentliche Verwaltung trifft dieser Satz nach allgemeiner Einschätzung nach wie vor auf die Bundesrepublik zu. Aber auch die deutschen Unternehmen haben augenscheinlich noch ordentlich Lernbedarf im Netz, wenn es um das Thema Cibersecurity geht - einer Gefahr, die massiv zugenommen hat. 

In sehr anschaulichen, lösungsorientierten sowie darüber hinaus auch noch vergnüglichen Vorträgen informierten zu diesen Themen Prof. Dr. Peter Krug, Vorstand  des IT-Dienstleisters DATEV, sowie Rolf Schumann, CDO von Schwarz Digital, der Online-Sparte des Konzerns, zu dem die Handelssparten Lidl und Kaufland gehören. 

Im internationalen Vergleich ist die Bundesrepublik hinsichtlich der Digitalisierung der öffentlichen Verwaltung weit abgeschlagen. 98 Prozent der Bevölkerung glauben, dass ihr Land bei dem Thema hinterher hinkt - eine desolate Lage, die fast schon mit dem Abschneiden Deutschlands beim Eurovision Song Contest zu vergleichen sei, wo die entsandten Teilnehmer regelmäßig auf dem letzten Platz landen. Mit dem Unterschied allerdings, dass die Defizite gravierende Auswirkungen auf Wirtschaft und Wohlstand haben. Geschätzt rund 84 Millionen Arbeitsstunden ließen sich einsparen, wenn Leistungen digitalisiert würden. Stattdessen gebe es in vielen Bereichen der öffentlichen Verwaltung weiterhin einen "bürokratischen Fünfkampf": Formular ausfüllen, drucken, händisch unterschreiben, einscannen und per E-Mail versenden.

Woran liegt es? Es sei ein Scheitern, das über Parteigrenzen hinweg zu verantworten sei, das wurde bei den Beiträgen des Wirtschaftsforums klar. Genannt werden müssen eine unzureichende Infrastruktur, der bestehende Fachkräftemangel sowie die Defizite in der digitalen Bildung, vor allem aber eine Überregulierung, die nicht zuletzt mit einer Überrepräsentation von Rechtsanwälten und Lehrern in politischen Gremien zusammenhänge - "Deutschland ist, denkt und handelt zu kompliziert" -, sowie ein mangelhaftes digitales Ökosystem. 

Woran liegt es dagegen nicht? An einer Bestandsaufnahme des Problems und politischen Zielformulierungen. Die Digitalisierung der öffentlichen Verwaltung voranzutreiben, dieses Ziel sei Inhalt praktisch jedes Koalitionsvertrags. Das Gesetz zur Förderung der elektronischen Verwaltung (E-Government-Gesetz), das die elektronische Kommunikation bei Behördengängen erleichtern soll, ist bereits zehn Jahre alt. Das Thema werde in der öffentlichen Debatte zu Tode geredet, doch es scheitere an der Umsetzung.

Rolf Schumann - CDO Schwarz Group

Wie könnte es also mit der Umsetzung klappen? Indem die Politik nach dem Vorbild der privaten Wirtschaft einen Projektleiter einsetzt, der sich um die Umsetzung kümmert und - ganz essenziell - auch die dafür nötigen Kompetenzen hat. 

Konkret wurden vier Lösungsansätze genannt, die sich mit dem Motto "Mehr Pragmatismus wagen" zusammenfassen lassen: 

  • Nötig sind Lockerungen bei den bisherigen Vorgaben für eine händische Unterschrift von Antragsformularen, etwa in Form einer digitalen Signatur.
  • Darüber hinaus braucht es eine ressortübergreifende, aktualisierte Digitalstrategie. Gerade der Föderalismus mit seinen 16 Landesparlamenten sei ein Hemmschuh bei der Umsetzung, 
  • Bei allen Formularen müsse der Grundsatz "Once only" gelten: Angaben wären demnach nur einmal nötig und dürfen nicht in mehreren Formularen redundant abgefragt werden, weil der Datenabgleich nicht klappt oder mit Verweis auf den Datenschutz verweigert wird. Ein Negativbeispiel hierfür ist der Antrag auf KFZ-Zulassung, wofür gleich sechs Formulare auszufüllen sind - und nur drei davon digital vorliegen. Die Bürger müssten die Möglichkeit haben, ihre Daten freizugeben, so dass der Erfassungsaufwand reduziert werden kann. 
  • Bei jedem neuen Gesetz wird ein Digital-Prozess-Check zwingend - wobei dieser Check eine Prüfung der Frage mit einschließt, ob die bestehende Regelung auch in der analogen Welt überhaupt in der bestehenden Form sinnvoll war. Anschließend muss ein Normenkontrollrat das Gesetz auf seine Digitaltauglichkeit prüfen – und zwar verbindlich.

Obwohl der Unternehmensleiter für die Folgen eines Hackerangriffs auf seine Firma in der Verantwortung steht, ist die IT-Sicherheit oft nicht Chefsache


Cybersecurity - Denken wie ein Hacker

Während die öffentliche Verwaltung die Digitalisierung verschleppt, machen Hacker vor, wie diese im kriminellen Umfeld ohne Wenn und Aber vorangetrieben wird, wie auf dem Forum klar wurde: Die Cyberkriminalität sei an "perfider Professionalität" nicht zu überbieten. Die Angriffe durch Hacker haben seit Beginn des Ukraine-Kriegs um den Faktor 100 zugenommen, sie betreffen inzwischen alle Branchen - von Krankenkassen, die die Veröffentlichung von Patientenakten fürchten müssen, bis hin zu Industriebetrieben, in denen Anlagen bei der Warenherstellung manipuliert werden können. Zu dieser Professionalität gehöre auch, dass die Hacker sehr genau wissen, welche Beträge sie erpressen können. Orten ließen sich die meisten Angriffe in Osteuropa, zunehmend aber auch in der Türkei, in China oder neuerdings im Iran. 

Dass die meisten kritischen Assets eines Unternehmens in weniger als vier Schritten durch Cyberangriffe kompromittierbar sind - so die erschreckende Analyse -, ist mit der starken Vernetzung zu erklären: Ein Hacker denke nun mal immer vernetzt. Die Sicherheitslücken sind zudem nicht nur technischer, sondern auch menschlicher Natur. Je größer der Betrieb, desto wahrscheinlicher, dass ein Mitarbeiter sensible Daten herausgebe oder verkaufe. 

Beschreiben lässt sich zum einen das Phänomen der Cyber-Illusion: IT-Fachkräfte unterschätzen systematisch die Gefahren eines Hackerangriffs, da sie sozusagen in ihrer eigenen Welt leben und andere Faktoren als die eigene IT-Architektur nicht im Blick haben. Zum anderen lässt sich das Phänomen eines Cyber-Dilemmas beobachten: Obwohl der Unternehmensleiter für die Folgen eines Hackerangriffs auf seine Firma in der Verantwortung steht, ist die IT-Sicherheit oft nicht Chefsache, sondern wird aufgrund ihrer Komplexität delegiert. 

Ein Ausweg besteht nun darin, die eigene Firma mit den Augen des Hackers zu sehen, Angriffe auf das System zu simulieren und solche Schwachstellen zu identifizieren, über die sensible Bereiche gehackt werden könnten. In der Regel lasse sich mit der Absicherung von zwei Prozent der Schwachstellen verhindern, dass das System angegriffen werde. Es geht also nicht darum, Hacker ganz außen vorzuhalten, sondern zu verhindern, dass man bei den Angriffen "verletzt" werde. 

Zusammenfassen lässt sich die Strategie demnach in vier Schritten:

  • Das Unternehmen mit den Augen des Hackers sehen
  • Das Mindset anpassen, also die IT-Sicherheit zur Chefsache machen
  • Sich auf die wirklich wichtigen Schwachstellen im System konzentrieren
  • das Cyber-Expertenwissen für alle IT-Experten im Unternehmen verfügbar machen

INHALTSVERZEICHNIS 

{title}

Artikel lesen

Container for the dynamic page

(Will be hidden in the published article)