{"id":7747,"date":"2020-01-29T11:02:44","date_gmt":"2020-01-29T10:02:44","guid":{"rendered":"https:\/\/www.3minutencoach.com\/news\/?p=7747"},"modified":"2019-12-11T19:04:34","modified_gmt":"2019-12-11T18:04:34","slug":"unternehmen-fordern-strengere-gesetzliche-vorgaben-fuer-it-sicherheit","status":"publish","type":"post","link":"https:\/\/www.3minutencoach.com\/news\/unternehmen-fordern-strengere-gesetzliche-vorgaben-fuer-it-sicherheit-7747\/","title":{"rendered":"Unternehmen fordern strengere gesetzliche Vorgaben f\u00fcr IT-Sicherheit"},"content":{"rendered":"Lesedauer:<\/span> 5<\/span> Minuten<\/span><\/span>

+++ Besserer Schutz vor Cyberangriffen in der Wirtschaft notwendig +++ Phishing, Erpressung, Manipulation: 13 Prozent hatten k\u00fcrzlich einen IT-Sicherheitsvorfall +++ Unternehmen nutzen verst\u00e4rkt K\u00fcnstliche Intelligenz f\u00fcr Angriffserkennung oder Authentifizierung +++ „T\u00dcV Cybersecurity Studie“ in Berlin vorgestellt +++<\/strong><\/p>\n

Fast jedes zweite Unternehmen in Deutschland (47 Prozent) fordert h\u00f6here gesetzliche Anforderungen an die IT-Sicherheit in der Wirtschaft. Das hat eine repr\u00e4sentative Ipsos-Umfrage im Auftrag des T\u00dcV-Verbands unter 503 Unternehmen ab 10 Mitarbeitern ergeben. Befragt wurden IT-Sicherheitsverantwortliche, IT-Leiter und Mitglieder der Gesch\u00e4ftsleitung. Demnach stimmen zudem 59 Prozent der Aussage zu, dass Regulierung durch den Gesetzgeber wichtig ist und zu einer besseren IT-Sicherheit ihres Unternehmens beitr\u00e4gt. „Die Unternehmen geben ein \u00fcberraschend starkes Votum f\u00fcr eine st\u00e4rkere gesetzliche Regulierung der IT-Sicherheit in der Wirtschaft ab“, sagte Dr. Michael F\u00fcbi, Pr\u00e4sident des T\u00dcV-Verbands (VdT\u00dcV), bei Vorstellung der „T\u00dcV Cybersecurity Studie“ in Berlin.<\/p>\n

Die wichtigsten Gr\u00fcnde f\u00fcr den Wunsch nach strengeren staatlichen Vorgaben seien eigene Erfahrungen mit Cyberkriminalit\u00e4t und die digitale Transformation. In der Umfrage geben drei von vier Unternehmen an (77 Prozent), dass die Bedeutung der IT-Sicherheit in den vergangenen f\u00fcnf Jahren f\u00fcr sie gestiegen ist. Als Gr\u00fcnde f\u00fcr das Umdenken nennen 78 Prozent der Befragten die zunehmende Digitalisierung, 41 Prozent Berichte \u00fcber immer neue Cyberangriffe und 29 Prozent einen IT-Sicherheitsvorfall im eigenen Unternehmen. „Sehr viele Unternehmen nehmen Cyberangriffe nicht mehr als abstrakte Gefahr wahr, sondern sind direkt betroffen“, sagte F\u00fcbi. In dieser Situation w\u00fcrden Unternehmen nach M\u00f6glichkeiten suchen, wie sie sich besser sch\u00fctzen k\u00f6nnen. Gesetzliche Vorgaben sowie Normen und Standards helfen dabei. F\u00fcbi: „Mit dem geplanten IT-Sicherheitsgesetz 2.0 in Deutschland und dem Cybersecurity Act in der EU stehen Instrumente zur Verf\u00fcgung, mit denen die Politik den Schutz vor Cyberangriffen in der Wirtschaft wirksam verbessern kann.“<\/p>\n

Zur IT-Sicherheit in der Wirtschaft sagte Arne Sch\u00f6nbohm, Pr\u00e4sident des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI): „Ransomware wie zum Beispiel Emotet ist eine der gro\u00dfen Bedrohungen f\u00fcr die Wirtschaft in unserem Land. Angriffe auf Regierungsnetze konnten wir als BSI erfolgreich abwehren. Viele Betriebe und Unternehmen jedoch mussten sich mit der Verschl\u00fcsselung ihrer Daten und einer anschlie\u00dfenden L\u00f6segelderpressung auseinandersetzen. Es wird nie eine hundert prozentige Sicherheit vor Cyberangriffen geben, aber man kann sich sch\u00fctzen. Das BSI mit seiner integrierten Wertsch\u00f6pfungskette der Cyber-Sicherheit, bietet hier unter anderem mit dem seit 1994 erfolgreichen IT-Grundschutz L\u00f6sungen und Ma\u00dfnahmen zum Schutz f\u00fcr Staat, Wirtschaft und Gesellschaft an. Die T\u00dcV-Organisationen als ein Audit-Anbieter sind dabei ein kompetenter Partner f\u00fcr mehr Cyber-Sicherheit in Deutschland.“<\/p>\n

Nach den Ergebnissen der Umfrage hatte gut jedes achte Unternehmen (13 Prozent) in den vergangenen 12 Monaten vor der Befragung einen IT-Sicherheitsvorfall. Jedes vierte betroffene Unternehmen (26 Prozent) berichtet von Phishing-Angriffen, bei denen – in der Regel per E-Mail – Schadsoftware in die Organisation eingeschleust wird. An zweiter Stelle steht Ransomware (19 Prozent), mit deren Hilfe Cyberkriminelle die IT-Systeme einer Organisation lahmlegen und die Unternehmen dann erpressen. Ein weiteres weit verbreitetes Ph\u00e4nomen ist Social Engineering (9 Prozent). Mitarbeiter werden gezielt manipuliert, um sich Zugang zu den IT-Systemen des Unternehmens zu verschaffen. Weitere Angriffsszenarien sind Man-in-the-middle-, Passwort- und DDoS-Angriffe. „Die Folgen sind Systemausf\u00e4lle, eine geringere Produktivit\u00e4t und nicht zug\u00e4ngliche Dienste f\u00fcr Kunden – der Worstcase f\u00fcr jedes Unternehmen“, sagte F\u00fcbi. Die Vorf\u00e4lle f\u00fchrten zu finanziellen Sch\u00e4den, aber h\u00e4ufig auch zu einem Schaden f\u00fcr die Reputation des Unternehmens oder zu anderen Wettbewerbsnachteilen.<\/p>\n

Mit K\u00fcnstlicher Intelligenz gegen kriminelle Hacker<\/strong><\/p>\n

In den vergangenen 24 Monaten haben die Unternehmen zahlreiche Ma\u00dfnahmen ergriffen, um die IT-Sicherheit zu verbessern. 71 Prozent lassen sich von externen Sicherheitsspezialisten beraten. Zwei von drei Unternehmen (64 Prozent) haben neue Software f\u00fcr IT-Sicherheit eingef\u00fchrt und 60 Prozent Schulungen f\u00fcr die Belegschaft durchgef\u00fchrt. Immerhin fast jedes dritte Unternehmen (32 Prozent) hat sein Budget f\u00fcr IT-Sicherheit in den vergangenen zwei Jahren erh\u00f6ht und 17 Prozent zus\u00e4tzliche IT-Mitarbeiter f\u00fcr diesen Zweck eingestellt. Nur jedes vierte Unternehmen hat Notfall\u00fcbungen durchgef\u00fchrt. Das ist aus Sicht des T\u00dcV-Verbands viel zu wenig. „Wir wissen heute, dass selbst die besten Schutzma\u00dfnahmen nicht ausreichen, um Cyberangriffe zu verhindern“, sagte F\u00fcbi. „Organisationen m\u00fcssen sich auch darauf konzentrieren, erfolgreiche Cyberangriffe m\u00f6glichst schnell zu erkennen und in den Griff zu bekommen.“ Dabei helfen Notfall\u00fcbungen sowie Penetrationstests und spezielle Software f\u00fcr die Erkennung von Angriffen.<\/p>\n

Bei Systemen f\u00fcr die Angriffserkennung kommt h\u00e4ufig K\u00fcnstliche Intelligenz (KI) zum Einsatz. Laut Umfrage nutzt bereits jedes achte Unternehmen (12 Prozent) K\u00fcnstliche Intelligenz f\u00fcr seinen eigenen Schutz. Unter den gro\u00dfen Unternehmen ab 250 Mitarbeitern sind es sogar 38 Prozent. Die Unternehmen nutzen KI derzeit vor allem, um Schad-Software (90 Prozent) oder Anomalien in Datenstr\u00f6men (70 Prozent) zu erkennen. Eine weitere Anwendung sind moderne Authentifizierungsverfahren, zum Beispiel Gesichts- oder Spracherkennung, die 37 Prozent der KI-Nutzer einsetzen. Allerdings sind sich nur relativ wenige Unternehmen dieser M\u00f6glichkeiten bewusst. Nur 29 Prozent stimmen der Aussage zu, dass sich ihr Unternehmen mit Hilfe von K\u00fcnstlicher Intelligenz besser sch\u00fctzen kann. Dagegen sagen fast zwei Drittel (63 Prozent), dass KI in den H\u00e4nden von Cyberkriminellen eine steigende Gefahr f\u00fcr die IT-Sicherheit ihres Unternehmens darstellt. Mit KI lassen sich Cyberangriffe zum Beispiel automatisieren und personalisieren.<\/p>\n

Laut Umfrage spielen auch Normen und Standards wie DIN-ISO 27001 oder der IT-Grundschutz des BSI eine wichtige Rolle f\u00fcr die IT-Sicherheit von Unternehmen. „Normen und Standards geben Regeln und Verfahren vor, wie eine Organisation digitale Sicherheit in der Praxis gew\u00e4hrleisten kann“, sagte F\u00fcbi. Unternehmen k\u00f6nnten sich dann von einer unabh\u00e4ngigen Stelle mit einem Zertifikat best\u00e4tigen lassen, ob sie eine bestimmte Norm einhalten. Damit dokumentieren sie – zum Beispiel gegen\u00fcber Kunden oder Zulieferern – dass ihre IT-Systeme bestm\u00f6glich gesichert sind. Zwei von drei Unternehmen orientieren sich bereits an Normen und Standards oder erf\u00fcllen diese sogar vollst\u00e4ndig (64 Prozent).<\/p>\n

Aus Sicht des T\u00dcV-Verbands k\u00f6nnen gesetzliche Regelungen entscheidend dazu beitragen, den Schutz von Unternehmen und Privatanwendern vor Cyberangriffen zu verbessern. Dazu gibt der T\u00dcV-Verband unter anderem folgende Empfehlungen ab:<\/p>\n

Anwendungsbereich des IT-Sicherheitsgesetzes erweitern – KRITIS-Fokus aufgeben<\/strong><\/p>\n

Mindeststandards f\u00fcr die IT-Sicherheit sind in allen Wirtschaftsbereichen notwendig. Bisher betrifft das IT-Sicherheitsgesetz nur die Betreiber kritischer Infrastrukturen (KRITIS) und innerhalb dieser Gruppe nur wenige Unternehmen – deutschlandweit etwa 1.700. Bestimmte Branchen wie Entsorger, Fahrzeughersteller, Maschinenbauer oder die Chemieindustrie sind nicht erfasst. „Es w\u00e4re nur konsequent, den Anwendungsbereich des geplanten IT-Sicherheitsgesetzes 2.0 auszudehnen und die Einschr\u00e4nkung auf KRITIS-Branchen aufzugeben“, sagte F\u00fcbi.<\/p>\n

Cybersecurity Act umsetzen: Produktsicherheit um IT-Sicherheit erg\u00e4nzen<\/strong><\/p>\n

Der Cybersecurity Act ist seit Juli 2019 in Kraft und schafft einen allgemeinen Rechtsrahmen f\u00fcr die IT-Sicherheit von vernetzten Produkten und Dienstleistungen. „Wir m\u00fcssen den Produktsicherheitsbegriff in der EU neu definieren“, sagte F\u00fcbi. „In Zukunft muss neben der funktionalen Sicherheit auch die digitale Sicherheit fester Bestandteil eines Produkts sein.“ Nur dann sollte ein Produkt in Europa auf den Markt gebracht werden d\u00fcrfen. Das funktioniere aber nur, wenn die Anforderungen an die IT-Sicherheit in den Richtlinien der einzelnen Produktgruppen konsequent festgeschrieben werden – f\u00fcr Maschinen, Spielzeuge, Medizinprodukte, Fahrzeuge und viele andere Produkte.<\/p>\n

K\u00fcnstliche Intelligenz nach Risikoklassen pr\u00fcfen<\/strong><\/p>\n

Bei hoch automatisierten Fahrzeugen h\u00e4ngt die k\u00f6rperliche Unversehrtheit eines Menschen direkt von Systemen mit K\u00fcnstlicher Intelligenz ab. In diesen F\u00e4llen m\u00fcssen die Funktionen selbstlernender Algorithmen von externer Stelle \u00fcberpr\u00fcfbar sein. Daf\u00fcr ben\u00f6tigen die Pr\u00fcfer Zugang zur Software und den Daten der Systeme. Je nach Risikoklasse eines KI-Systems k\u00f6nnen unterschiedliche Anforderungen an die Sicherheit und die Pr\u00fcfungen gestellt werden. Entsprechende Vorschl\u00e4ge hat auch die Datenethikkommission der Bundesregierung in ihrem Abschlussbericht aufgegriffen.<\/p>\n

Die Rolle der Politik f\u00fcr die Verbesserung der IT-Sicherheit ist auch das zentrale Thema der „T\u00dcV\u00ae Cybersecurity Conference“, die heute in Berlin stattfindet. Keynote-Speaker und Podiumsg\u00e4ste sind unter anderem Daniel Domscheit-Berg, Netzaktivist und ehemaliger Sprecher von WikiLeaks, Jochen Eisinger, Director of Engineering bei Google, Dr. Michael F\u00fcbi, VdT\u00dcV-Pr\u00e4sident und Vorstandsvorsitzender T\u00dcV Rheinland, Andreas K\u00f6nen, Abteilungsleiter Cyber- und IT-Sicherheit im BMI, und Arne Sch\u00f6nbohm, Pr\u00e4sident des BSI.<\/p>\n

Methodik-Hinweis: Grundlage der Studienergebnisse ist eine repr\u00e4sentative Umfrage des Marktforschungsunternehmens Ipsos im Auftrag des T\u00dcV-Verbands unter 503 Unternehmen ab 10 Mitarbeitern in Deutschland. Befragt wurden die Verantwortlichen f\u00fcr IT-Sicherheit in Unternehmen, IT-Leiter und Mitglieder der Gesch\u00e4ftsleitung.<\/p>\n

\u00dcber den T\u00dcV-Verband: Der Verband der T\u00dcV e.V. (VdT\u00dcV) vertritt die politischen und fachlichen Interessen seiner Mitglieder gegen\u00fcber Politik, Verwaltung, Wirtschaft und \u00d6ffentlichkeit. Der Verband setzt sich f\u00fcr technische und digitale Sicherheit bei Produkten, Anlagen und Dienstleistungen durch unabh\u00e4ngige Pr\u00fcfungen und qualifizierte Weiterbildung ein. Mit seinen Mitgliedern verfolgt der T\u00dcV-Verband das Ziel, das hohe Niveau der technischen Sicherheit in unserer Gesellschaft zu wahren und Vertrauen f\u00fcr die digitale Welt zu schaffen.<\/p>\n

Quelle: Presseportal.de<\/a><\/p>\n