Dem Bundesinnenministerium bot sich mit der neuen Cybersicherheitsagenda eine gute Gelegenheit, die mittelständische Industrie besser zu unterstützen. Diese Chance wurde vertan, bemängelt der Verband Deutscher Maschinen- und Anlagenbau (VDMA). Letzterer fordert nun eine stärkere Unterstützung in den Lieferketten für mehr Cyber-Resilienz der Unternehmen.
Cyberkriminelle haben der deutschen Industrie mit sogenannten „Ransomware“-Angriffen (Erpressungssoftware) in den vergangenen Jahren schweren Schaden zugefügt. Die Attacken kosten die Unternehmen zum Teil mehr als eine Million Euro – pro Tag. Nicht selten stehen die Produktionsanlagen 4 bis 8 Wochen still, mit Auswirkungen bis hinein in kritische Infrastrukturen.
Dass es dabei auch Unternehmen mit einer vorhandenen Cybersecurity-Infrastruktur trifft, zeigt, dass die Bedrohungslage für den industriellen Mittelstand sehr groß ist. Doch fehlt es seitens zuständiger Behörden oft an adäquater Unterstützung, insbesondere durch das vom Innenministerium geführte Bundesamt für Sicherheit in der IT (BSI), bemängelt Claus Oetter, Geschäftsführer des VDMA-Fachverbands Software und Digitalisierung. Der Verband hatte sich von der neuen Cybersecurity-Agenda des Innenministeriums eine breitere Unterstützung Förderung der Resilienz in der Lieferkette versprochen. „Leider erfüllt die Agenda diesen Anspruch nicht“, erklärt Oetter.
Kein KRITIS – keine Unterstützung
So wurde in der Vergangenheit VDMA-Mitgliedsunternehmen die Unterstützung verweigert, weil sie keine Betreiber kritischer Infrastrukturen (KRITIS) sind. Dabei sind es gerade die Maschinen- und Anlagenbauer, deren Produkte und Services entscheidend für kritische Dienstleistungen sind – für Trinkwasserversorgung, Strom oder Wärme.
„Der VDMA hält die Sichtweise, sich bei aktiver Unterstützung weiterhin ausschließlich auf kritische Infrastrukturen zu konzentrieren, für falsch“, sagt Steffen Zimmermann, Leiter Competence Center Industrial Security im VDMA. In der heutigen Zeit wäre eine breitere Unterstützung für eine Cyberresilienz der kritischen Lieferkette der richtige Ansatz, um das Selbstverständnis der deutschen Behörden auch zu erfüllen, die für die „IT-Sicherheit in Deutschland verantwortlich“ sind.
Der Mittelstand sollte zu einem relevanten Akteur werden und eine bundeseinheitliche Notfallhilfe für die Industrie durch das BSI gesetzlich verankert werden. „Unternehmen brauchen zudem diesen vertrauenswürdigen, unabhängigen Partner nicht nur für den Schutz vor, sondern auch für die Hilfe während und nach Cyberangriffen“, sagt Zimmermann. „Das BSI kann und will dies als größte europäische Cybersicherheitsbehörde sicher leisten, das Innenministerium muss dafür die gesetzlichen Grundlagen schaffen.“
Cybersecurity statt Cybersecurity-Produkte fördern
Richtig ist nach Ansicht des Verbands die Förderung von Cybersecurity zur Erhöhung der Digitalen Souveränität. Die Ausgestaltung einer Förderung sollte dabei aus Sicht des VDMA die cybersichere Anwendung im Fokus haben, wie sie auch mit der Neufassung der Netzwerk- und Informationssicherheitsrichtlinie (NIS 2) auf mehr als 10.000 Unternehmen in Deutschland verpflichtend zukommt. Sowohl eine Förderung der sicheren Produktentwicklung (Green Field) von Industrieanlagen als auch Integration von Security in bestehende Anlagen (Brown Field) sollte gleichermaßen in Betracht gezogen werden.
Viele technische Lösungen stehen bereits parat. Der VDMA sieht hier besonderen Bedarf bei der Unterstützung einer breiten Verwendung, auch durch Qualifizierung und Standardisierung über nationale Grenzen hinaus. Der Verband fordert daher eine harmonisierte Betrachtung der Cybersecurity für den europäischen Binnenmarkt und eine durch alle Partner und Beteiligte europäisch erarbeitete Umsetzung in harmonisierten Normen.
