Cyber-Security Report 2017 Teil 1: Handlungsauftrag an Politik und Gesellschaft

Transkript

1 Cyber-Security Report 2017 Teil 1: Handlungsauftrag an Politik und Gesellschaft

2

3 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Vorwort 05 Executive Summary Einschätzung der Gefährdung Fake News? Mehr als einfach Lüge? Verantwortlichkeit staatlicher Stellen Zentralität der staatlichen Verantwortung Kompetenz staatlicher Stellen Was fordern die Unternehmen? Organisationsbereich Cyber- und Informationsraum 24 Handlungsempfehlungen 26 Ansprechpartner 28 03

4 04

5 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Vorwort Die erfolgreiche Digitalisierung von Wirtschaft und Gesellschaft zählt zu den wichtigsten Schlüsselfaktoren, um Deutschland als Wirtschaftsstandort auch in Zukunft wettbewerbsfähig und innovativ zu gestalten und somit den erreichten Wohlstand zu sichern. Wichtiger Treiber ist dabei vor allem die Steigerung der Produktivität bei gleichzeitiger Individualisierung von Produkten und Services. Im Grunde betrifft diese große Umwandlung alle Lebensbereiche und Geschäftsprozesse. In der Produktion wird dies unter dem Schlagwort Industrie 4.0 zusammengefasst. Ein wesentlicher Bestandteil im Gesamtkontext von digitaler Produktion, integrierten Lieferketten und individualisierten Services für End- und Businesskunden ist die umfassende Vernetzung der IT-Systeme und Anwendungen. Damit einher geht auch eine neue Bedrohungs- und Gefährdungslage, die durch adäquate Cyber-Security-Maßnahmen adressiert werden muss. Nur so können Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Prozesse gewährleistet und somit letztendlich der unternehmerische Erfolg gesichert werden. Viele Unternehmen haben bereits umfassende Investitionen getätigt und betreiben spezielle Sicherheitsprogramme, um so der rasanten Entwicklung der Gefährdungspotenziale entgegenzutreten. Im Rahmen unserer Cyber-Security-Projekte beobachten wir diese Entwicklung seit vielen Jahren und begleiten unsere Kunden bei der Umsetzung von Lösungen. Im politisch-regulatorischen Umfeld sind in Deutschland in den vergangenen Jahren Strukturen aufgebaut worden, die bereits erfolgreich Initiativen zur Sicherung der deutschen Infrastruktur, der öffentlichen Verwaltung und der Wirtschaft umgesetzt haben. So spielt bspw. das Bundesamt für Sicherheit in der Informationstechnik (BSI) als ein wesentlicher Eckpfeiler an der Schnittstelle zwischen öffentlicher Verwaltung und der Wirtschaft eine wesentliche Rolle im Zusammenhang mit der Umsetzung des IT-Sicherheitsgesetzes, das die Absicherung der kritischen Infrastruktur für Deutschland im Fokus und für alle wichtigen Sektoren individuelle Verordnungen mit speziellen Maßnahmen erarbeitet hat. Gemeinsam mit dem Institut für Demoskopie Allensbach hat Deloitte in diesem Jahr eine insgesamt zum siebten Mal erscheinende repräsentative Trendstudie durchgeführt, um den Stand der Cyber- Security in Deutschland zu erheben. Es wurden Führungskräfte aus großen und mittleren Unternehmen sowie Abgeordnete aus Länderparlamenten, Deutschem Bundestag und Europaparlament befragt. Die Ergebnisse der Untersuchung zeigen auf, wie Abgeordnete und Führungskräfte die Gefährdungslage einschätzen, welche Handlungsfelder in Unternehmen und staatlichen Einrichtungen bearbeitet werden und wie Entscheider in Deutschland den Stand der getroffenen Maßnahmen einschätzen. Wie bislang bilden Schwerpunkte der Studie die Einschätzung der Bedrohung durch Cyber- und IT-Risiken und der daraus folgenden Gefahren für Unternehmen. Unternehmen geben Auskunft über die Zahl der erfolgten Angriffe, die Art der daraus folgenden Schäden und die von ihnen ergriffe nen Maßnahmen. Wir haben den Fokus der Studie in diesem Jahr um wesentliche Punkte der aktuellen Situation in den Unternehmen und wichtige Fragestellungen aus der gesellschaftlichen und politischen Debatte ergänzt: Institutionelle Verantwortung: Wie greifen Verantwortung von Staat, Wirtschaft und Gesellschaft für Cyber-Security zusammen? Schlagwort Fake News : Wie groß ist die Gefahr der Manipulation der Meinungsbildung durch falsche Nachrichten oder verfälschte Fakten? Cyber Board Awareness: Wie stark ausgeprägt ist das Bewusstsein und die Verantwortung der Führungsgremien in Unternehmen für Cyber-Security? Wir haben in dem hier vorliegenden Teil 1 der Studie auf die Verantwortlichkeit staatlicher Stellen abgestellt, während Teil 2 die Gefährdungen und Gegenmaßnahmen in Unternehmen beleuchten wird. 05

6 Executive Summary Die Ergebnisse der Befragung führen zu den folgenden Kernaussagen: Einschätzung der Gefährdung Viele der mit Vernetzung und Nutzung des Internets im Zusammenhang stehenden Gefahren werden von der Mehrheit der Befragten als großes Risiko für die Menschen in Deutschland eingestuft. Es wird eine hohe Gefährdung von Unternehmen und Infrastruktur durch Cyber-Angriffe bei gleichzeitig nicht ausreichender Vorbereitung wahrgenommen. Nahezu alle Risikokategorien werden von mehr Entscheidern aus der Wirtschaft als großes Risiko eingestuft als von Politikern. Fake News Manipulation der Meinungsbildung als Gefahr Entscheider halten Versuche die Meinungsbildung zu beeinflussen z.b. im Vorfeld der Bundestagswahl für mehrheitlich wahrscheinlich und fordern Gegenmaßnahmen. Eine Gefahr gravierender Folgen hieraus wird aber nur von ca. der Hälfte derer gesehen, die diese Versuche befürchten. Handlungsauftrag an staatliche Stellen Eine Mehrheit von Entscheidungsträgern aus Politik und Wirtschaft (60%) plädiert gleichermaßen dafür, dass für die Abwehr von Angriffen, z.b. auf die Infrastruktur eine zentrale staatliche Stelle verantwortlich sein sollte. Eine gute Mehrheit der Wirtschaftsführer hält eine Unterstützung durch den Staat bei der Abwehr von Cyber-Attacken grundsätzlich für möglich. Den Einsatz eines übergeordneten Warnsystems oder Informationen über neue Angriffsrisiken und Schutzmöglichkeiten sowie direkte Unterstützung im Angriffsfall empfänden sie als einen wertvollen Beitrag der staatlichen Stellen zur Unterstützung der Unternehmen. Im Widerspruch dazu steht, dass 72 Prozent der Befragten aus der Wirtschaft an der entsprechenden Kompetenz dieser staatlichen Stellen zweifeln und nur rund jeder dritte Politiker die Kompetenzen als ausreichend bewertet. In der Konsequenz hieraus stimmen Politiker dafür, diese Eigenkompetenzen der staatlichen Stellen aufzubauen, während die Wirtschaftsvertreter diese auch gerne in Kooperation zwischen Staat und Wirtschaft erweitern wollen. Regulatorische Anforderungen und Kompetenzen Trotz der Einführung der Datenschutzgrundverordnung (DSGVO) und des IT- Sicherheitsgesetzes gibt die Mehrheit der Unternehmensführer an, dass es für ihre Organisation keine regulatorischen Anforderungen im Bereich der Informationssicherheit gäbe. Gleichzeitig wird von über drei Vierteln der befragten Unternehmensführer die Kompetenz von Politik und Verwaltung angezweifelt, den regulatorischen Rahmen setzen zu können. Selbst Politiker sind von den Kompetenzen der staatlichen Stellen nicht immer überzeugt und stimmen überwiegend in den Kanon der Zweifler ein. Es bleibt zu untersuchen, woher diese Zweifel rühren. Bundeswehr und Cyber-Abwehr Die Gründung des Organisationsbereiches Cyber- und Informationsraum der Bundeswehr wird nahezu einstimmig begrüßt. In diesem Zusammenhang wird auch die Ausbildung der Fähigkeit, eigene Cyber-Operationen durchführen zu können, von einer knappen Mehrheit der Befragten befürwortet. 06

7 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft 07

8 1. Einschätzung der Gefährdung Generell lässt sich sagen, dass die Wahrnehmung der Gefährdung gegenüber den Vorjahren gestiegen ist. Viele der hinterfragten Risiken werden von einer Mehrheit der Studienteilnehmer als großes Risiko eingestuft. Hierzu zählen neben individuellen Unsicherheiten, die sich auf den Missbrauch von Daten beziehen, auch kollektive Risiken wie zum Beispiel solche durch den Ausfall wichtiger Infrastruktureinrichtungen oder die Manipulation der öffentlichen Meinung. Nahezu alle Risiken werden von mehr Entscheidern aus der Wirtschaft als großes Risiko eingestuft als von Politikern. Jeweils drei Viertel der Befragten sehen insgesamt ein großes Risiko durch Angriffe auf wichtige Infrastruktureinrichtungen wie z.b. Krankenhäuser oder Stromnetze und durch Computerviren. Die Bewertung von Computerviren und Malware als großes Risiko ist dabei von 57 Prozent 2013 auf 75 Prozent 2017 kontinuierlich gestiegen. Bemerkenswert ist auch, dass im vergangenen Jahr nur 27 Prozent der Entscheider einen Zusammenbruch des Stromnetzes als großes Risiko für die Menschen eingestuft hatten. Aktuell steht die mögliche Beeinträchtigung von Infrastruktureinrichtungen durch einen Cyber-Angriff gleichauf mit den Computerviren auf Platz eins der am häufigsten genannten Risiken. Ein möglicher Blackout im Kontext eines Cyber-Angriffs auf Infrastruktureinrichtungen insgesamt lässt für die Befragten daraus das Top-Risiko werden. Weitere Risikobereiche bilden Datenmissbrauch und Überwachung. Die Einschätzung der Gefährdung differiert hier je nachdem, von wem die Gefährdung ausgeht. Der Missbrauch persönlicher Daten wird generell mehrheitlich als großes Risiko gewertet. Jeweils rund zwei Drittel der Befragten sehen dies bei dem Diebstahl privater Dateien, dem Datenbetrug im Internet oder der missbräuchlichen Nutzung von persönlichen Daten durch andere Nutzer in sozialen Medien wie z.b. Facebook. Insgesamt sehen 57 Prozent der Studienteilnehmer Probleme, die sich aus der unerlaubten Weitergabe von Daten durch Unternehmen ergeben. Politiker schätzen dies mit 66 Prozent in deutlich höherem Anteil als großes Risiko für die Menschen in Deutschland ein als Entscheider aus Unternehmen (55%). Relativ hohes Vertrauen haben die Befragten in den deutschen Staat: Nur 21 Prozent sehen große Risiken in einer Überwachung z.b. der Internet- oder Telefonverbindungen. Wesentlich problembehafteter wird dagegen eine mögliche Überwachung der Bürger durch andere Staaten, wie USA oder China eingeschätzt: 54 Prozent der Umfrageteilnehmer sehen hierin ein großes Risiko. 08

9 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Abb. 1 Cyber-Risiken für die Gesellschaft nach Risikoeinschätzung von Wirtschaftsführern und Abgeordneten Lahmlegung wichtiger Infrastruktureinrichtungen durch Cyber-Angriffe 75 Computerviren 75 Datenbetrug im Internet 68 Manipulation der öffentlichen Meinung durch Fake News 67 Missbrauch persönlicher Daten durch andere Nutzer in sozialen Netzwerken 65 Diebstahl von privaten Informationen durch Cyber-Angriffe 64 Missbrauch persönlicher Daten durch Unternehmen 57 Überwachung der deutschen Bürger durch andere Staaten 54 Gefährdung der Privatsphäre durch die Vernetzung von Haustechnik 51 Cyber-Angriffe auf die Bundeswehr 46 Gefährdung der Privatsphäre durch die Verbreitung von Drohnen Überwachung der Bürger durch den deutschen Staat

10 Abb. 2 Sorge um Infrastruktureinrichtungen Starke Zweifel an der Vorbereitung auf die Abwehr von Cyber-Angriffen. 75% 12% der Entscheidungsträger sehen die Gefährdung der deutschen Infrastruktur als großes Risiko. der Entscheidungsträger halten die Vorbereitung auf Cyber-Angriffe auf die Infrastruktur für bestmöglich. Bezogen auf den Schutz der Privatsphäre empfindet eine knappe Mehrheit (51%) die Vernetzung der Haustechnik als großes Risiko, demgegenüber erkennen dies nur 25 Prozent in der zunehmenden Verbreitung von Drohnen. Dieser Einschätzung der Gefährdungslage steht ein geringes Vertrauen in den Stand der Vorbereitung zur Abwehr entsprechender Attacken gegenüber. Nur eine Minderheit der Entscheider aus Politik und Wirtschaft ist überzeugt, dass Deutschland bestmöglich auf Cyber-Angriffe gegen die kritische Infrastruktur (12%) bzw. staatliche Stellen (14%) vorbereitet ist. Politiker haben dabei wesentlich weniger Zweifel als Wirtschaftsführer, dass Deutschland optimal oder zumindest einigermaßen vorbereitet ist auf mögliche Cyber-Angriffe gegen die kritische Infrastruktur (24% vs. 39%) bzw. staatliche Stellen (28% vs. 50%). Die Gefahr, die von groß angelegten Hackerangriffen ausgeht, bewerten 57 Prozent der Befragten als sehr groß und weitere 40 Prozent als groß. Auch hier gibt es Abweichungen in der Einschätzung der Befragten aus Politik bzw. Wirtschaft, ob sich Computernetzwerke wirksam schützen lassen: 62 Prozent der Politiker, aber nur 37 Prozent Entscheider aus der Wirtschaft denken, ein wirksamer Schutz ist möglich. 10

11 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Bei hoher Gefährdungseinschätzung ist das Vertrauen in die Schutzmöglichkeiten und in den Stand der Vorbereitung gering. 11

12 2. Fake News? Mehr als einfach Lüge? In der Zeit vor der Bundestagswahl wurde die Frage, wie wahrscheinlich und Erfolg versprechend Desinformationskampagnen umgangssprachlich Fake News sind, intensiv diskutiert. Dabei wurde deutlich, dass unter diesem Schlagwort viele Phänomene verstanden werden: faktisch falsche Nachrichten, die einseitige oder verkürzte Darstellung von Fakten oder die gefälschte Darstellung des vermeintlichen Absenders einer Nachricht. Dazu kommt die sekundenschnelle Verbreitung durch soziale Medien, die Gegenreaktion und Richtigstellung erschwert. Die Ergebnisse der Befragung spiegeln den Stand dieser öffentlichen Debatte wider. So sehen 67 Prozent der Befragten in der Manipulation der öffentlichen Meinung durch gefälschte oder irreführende Informationen eine große Gefahr für die Menschen in Deutschland, 27 Prozent sehen darin ein weniger großes und 6 Prozent ein nur geringes oder kein Risiko. Von den insgesamt Befragten halten es rund 60 Prozent für wahrscheinlich, dass es Versuche geben wird, die Bundestagswahl durch Falschinformationen oder Hackerangriffe zu beeinflussen. Die Einschätzung variiert aber zwischen Politikern und Vertretern aus der Wirtschaft: 72 Prozent aus ersterer Gruppe halten dies für wahrscheinlich, aber lediglich 58 Prozent der Teilnehmer aus dem privaten Sektor. Nur von ca. der Hälfte der Befragten, die annehmen, dass es entsprechende Versuche geben wird, wird darin auch eine Gefahr erkannt so sehen nur 55 Prozent der Politiker hierin eine große Gefahr, die Mehrheit der Führungskräfte aus der Wirtschaft (52%) schätzt die Gefahr hingegen als gering ein. Trotzdem fordern rund zwei von drei Befragten, dass mehr gegen Falschmeldungen getan wird, nur ein Drittel ist der Ansicht, dass das bisher Unternommene ausreichend ist. Die Debatte zu diesem Thema zeigt viele offene Fragen auf: So ist zum Bespiel die wirkliche Auswirkung auf die Meinungsbildung durch Fake News sehr schwer messbar. Wichtig ist es, das Bewusstsein dafür zu stärken, dass Nachrichten im Zweifel anhand verlässlicher Quellen auf ihren Wahrheitsgehalt überprüft werden sollten. Die Falschmeldungen werden jedoch häufig direkt in den sozialen Netzwerken verbreitet, ohne dass die Quelle überprüft werden kann. Deshalb ist es erforderlich, die Verbreitung dieser Informationen durch eine Social-Media-Analyse genau im Auge zu behalten. Katrin Rohmann, Public Sector Leader Deloitte 12

13 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Abb. 3 Versuche der Einflussnahme auf Bundestagswahl wahrscheinlich Versuche, auf die Bundestagswahl durch Desinformation und Hackerangriffe Einfluss zu nehmen, werden für wahrscheinlich gehalten aber die Gefahr wird unterschiedlich bewertet. Politiker Führungskräfte in Unternehmen Sehr unwahrscheinlich Eher unwahrscheinlich Eher wahrscheinlich Sehr wahrscheinlich In Prozent der Nennungen; Nicht abgebildet: Antworten unentschieden und keine Angabe. 55% 48% der Politiker, die Versuche der Einflussnahme als wahrscheinlich betrachten, sehen auch eine große Gefahr daraus erwachsen. der Führungskräfte, die Versuche der Einflussnahme befürchten, sehen darin eine große Gefahr. Abb. 4 Es müsste mehr gegen Fake News unternommen werden 64% Politik und Wirtschaft im Einklang: um einer Manipulation der öffentlichen Meinung durch Fake News vorzubeugen, müsste mehr getan werden. 13

14 3. Verantwortlichkeit staatlicher Stellen 3.1. Zentralität der staatlichen Verantwortung Die Verantwortlichkeit für die verschiedenen Aspekte der Cyber-Sicherheit Deutschlands ist gegenwärtig entsprechend der regulatorisch zugeschriebenen Aufgabenfelder auf verschiedene staatliche Akteure verteilt. Für die jeweiligen Verantwortungsbereiche wurden Strategien erarbeitet und Programme implementiert, die die jeweiligen Aufgaben und Ziele der verschiedenen Akteure zur Gewährleistung der Cyber-Sicherheit in Deutschland festschreiben. Die Digitale Agenda der Bundesregierung 1 legt die Grundlagen für die Verwaltung der Zukunft. Mit der Umsetzung der Digitalen Agenda sollen Sicherheit und Schutz im Netz so hergestellt werden, dass die Digitalisierung ihr volles Potenzial für Gesellschaft und Wirtschaft in Deutschland entfalten kann. Das Regierungsprogramm Digitale Verwaltung zielt darauf ab, die Potenziale der Digitalisierung zu steigern sowie effektiver, transparenter, effizienter, barrierefreier, bürger- und unternehmensfreundlicher zu machen. Das Programm soll langfristig die Agilität der Verwaltung, die Finanzierbarkeit und auch die Sicherheit der Informationstechnik des Bundes sichern. Die IT-Strategie der Bundesverwaltung 3 definiert ressortübergreifende strategische Ziele und Handlungsfelder für die IT der Bundesverwaltung. Diese strategischen Ziele wirken auf die IT-Steuerung und -Konsolidierung des Bundes. Zur Erreichung derselben wurden zentrale Handlungsfelder definiert, darunter der Ausbau der Informationssicherheit und die Verbesserung von Datenschutz in bestehenden und neuen IT-Systemen der Bundesverwaltung. Die Cyber-Sicherheitsstrategie für Deutschland schreibt die Sicherheitsstrategie von 2011 fort und setzt ressortübergreifende Rahmenbedingungen für die Aktivitäten der Bundesregierung mit Verbindung zur Cyber-Sicherheit. Bundesländer und Wirtschaft wurden bei der Entwicklung mit einbezogen. Die Strategie gibt Handlungsfelder vor, die den ressortgemeinsamen, gesamtstaatlichen Ansatz betonen: 1. Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung 2. Gemeinsamer Auftrag Cyber-Sicherheit von Staat und Wirtschaft 3. Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur 4. Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik 14 1 BMWi, BMI, BMVI (2014): Digitale Agenda , August BMI (2014): Digitale Verwaltung 2020, September Der Beauftragte der Bundesregierung für Informationstechnik (2017): IT-Strategie der Bundesverwaltung, und IT-Rat (2017): Beschluss Nr. 2017/6, BMI (2016): Cyber-Sicherheitsstrategie für Deutschland 2016, November 2016.

15 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Das Weißbuch zur Sicherheitspolitik Deutschlands und zur Zukunft der Bundeswehr 5 formuliert die sicherheitspolitischen Leitlinien der nahen Zukunft. Darin werden insbesondere der Ausbau von Fähigkeiten zur Konsolidierung und Härtung der Sicherheitsarchitektur des IT-Systems der Bundeswehr und die Stärkung der Resilienz gefordert. Weitere strategische Dokumente 6 des Geschäftsbereichs ergänzen das Weißbuch und nennen Leitlinien zur Entwicklung und Umsetzung der Cyber-Verteidigung. Die Cyber-Sicherheit Deutschlands wird durch verschiedene staatliche Akteure gesteuert. Die folgende Abbildung zeigt einige dieser Akteure die staatlichen Institutionen auf Bundesebene. Der Deutsche Bundestag hat mit dem Ausschuss Digitale Agenda ein ständiges Gremium geschaffen, welches sich netzpolitischen Themen widmet. Fachübergreifend werden hier die Digitalisierung und Vernetzung diskutiert sowie die Weichen für den digitalen Wandel gestellt. Das Bundeskanzleramt und die Bundesministerien gestalten als oberste Bundesbehörden die digitalen Leitlinien in ihrem Ressort und teils auch ressortübergreifend. Die Bundesregierung hat das Thema Cyber-Sicherheit zur Chefsache gemacht. BMI, BMVI sowie BMWi spielen hierbei eine zentrale Rolle, unter anderem teilten sie sich die gemeinsame Federführung für die Umsetzung der Digitalen Agenda. Abb. 5 Auswahl staatlicher Akteure zur Cyber-Sicherheit auf Bundesebene Bundestag und Ausschuss Deutscher Bundestag Ausschuss Digitale Agenda Bundeskanzleramt und -ministerien Bundeskanzleramt Bundesministerium für Verkehr und digitale Infrastruktur Auswärtiges Amt Bundesministerium der Justiz und für Verbraucherschutz Bundesministerium des Innern Bundesministerium für Bildung und Forschung Bundesministerium der Verteidigung Bundesministerium der FInanzen Bundesministerium für Wirtschaft und Energie Behörden mit Aufgabenbereich Cyber-Sicherheit Bundesamt für Sicherheit in der Informationstechnik Zentrale Stelle für Informationstechnik im Sicherheitsbereich Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Kommando Cyberund Informationsraum Nachrichtendienste des Bundes Bundesamt für Verfassungsschutz Bundesnachrichtendienst Militärischer Abschirmdienst Polizeien des Bundes und ZKA Bundeskriminalamt Bundespolizei Zollkriminalamt 5 BMVg (2016): Weißbuch zur Sicherheitspolitik Deutschlands und zur Zukunft der Bundeswehr, Juni Strategische Leitlinie Cyber Verteidigung, IT-Strategie für den Geschäftsbereich BMVg, Strategische Leitlinie Digitalisierung im Geschäftsbereich BMVg. 15

16 Bei Fragen der Cyber-Sicherheit sind verschiedene Akteure auf Bundesebene mit Aufgabenstellungen betraut. Daneben kümmern sich z.b. in den Bundesländern Polizei, Landesämter für Verfassungsschutz und Landeskriminalämter um Cyber-Kriminalität. Bundesministerium des Innern (BMI) Das Bundesministerium des Innern ist für Cyber-Sicherheit zuständig und setzt hier einen wesentlichen Schwerpunkt. Mit zahlreichen Maßnahmen hat es den Schutz und die Sicherheit im Netz gestärkt. Die Verantwortung über die Bekämpfung von Cyber-Kriminalität, -Spionage und -Terrorismus liegen im Geschäftsbereich des BMI. Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) Das Bundesministerium für Verkehr und digitale Infrastruktur verantwortet die flächendeckende Verfügbarkeit moderner Breitbandnetze und somit auch die Gewährleistung ihrer Sicherheit. Bundesministerium für Wirtschaft und Energie (BMWi) Das Bundesministerium für Wirtschaft und Energie verantwortet konkrete Maßnahmen zur Stärkung der digitalen sowie der vernetzten Wirtschaft und Gesellschaft. Es treibt die Stärkung der IT-Sicherheitswirtschaft voran und fördert das Bewusstsein für IT-Sicherheit bei Unternehmen. Die ressortübergreifende Zusammenarbeit innerhalb der Bundesregierung und zwischen Staat und Wirtschaft wird auch durch die Arbeit des Cyber-Sicherheitsrats deutlich. Seine Arbeit ist ein wichtiger Beitrag zur Cyber-Sicherheitsstrategie für Deutschland, seine Aufgabe ist es, auf einer politisch-strategischen Ebene zwischen Staat und Wirtschaft präventive Maßnahmen und übergreifende politische Ansätze für Cyber-Sicherheit zu betrachten. Der Cyber-Sicherheitsrat tagt dreimal jährlich unter dem Vorsitz des Beauftragten der Bundesregierung für die Informationstechnik (BfIT). Behörden mit Aufgabenbereich Cyber-Sicherheit (BSI, ZITiS, BBK, Kdo CIR) bündeln das technische Know-how mit Cyber-Bezug und haben die Aufgabe, IT-Sicherheitsvorfälle schnell und umfassend zu bewerten, Handlungsempfehlungen zu erarbeiten sowie die ressortübergreifende nationale und internationale Zusammenarbeit sicherzustellen. Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik gehört zum Geschäftsbereich des BMI und ist die nationale Cyber-Sicherheitsbehörde. Sie ist unabhängige und neutrale Stelle für Fragen der Cyber-Sicherheit aus Wirtschaft, Gesellschaft und Bundesverwaltung. Ziel des BSI ist die präventive Förderung der Cyber-Sicherheit. Die Aufgaben des BSI sind komplex und vielschichtig. Dazu zählen: Schutz der Netze des Bundes, Erkennung und Abwehr von Angriffen auf die Regierungsnetze Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und -Dienstleistungen Warnung vor Schadprogrammen oder Sicherheitslücken in IT-Produkten und -Dienstleistungen IT-Sicherheitsberatung für die Bundesverwaltung und andere Zielgruppen Information und Sensibilisierung der Bürger für das Thema IT- und Internet- Sicherheit Entwicklung einheitlicher und verbindlicher IT-Sicherheitsstandards Entwicklung von Kryptosystemen für die IT des Bundes Das BSI ist federführend für das Nationale Cyber-Abwehrzentrum (NCAZ). Dieses Zentrum ist eine Kooperationseinrichtung deutscher Sicherheitsstellen auf Bundesebene und hat die Abwehr elektronischer Angriffe auf die IT-Infrastrukturen der Bundesrepublik Deutschland als auch der Wirtschaft als zentrale Aufgabe. Das Bundesamt für Verfassungsschutz (BfV) sowie das Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) sind direkt beteiligt. Das Bundeskriminalamt (BKA), der Bundesnachrichtendienst (BND), die Bundespolizei (BPol), der Militärische Abschirmdienst der Bundeswehr und das Zollkriminalamt wirken indirekt mit. 16

17 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Zentrale Stelle für Informationstechnik in Sicherheitsbereichen (ZITiS) Die Zentrale Stelle für Informationstechnik in Sicherheitsbereichen gehört zum Geschäftsbereich des BMI. Die Behörde versteht sich als Dienstleister der Sicherheitsbehörden in Deutschland und bündelt das technische Know-how. Sie handelt auf Bedarf der Sicherheitsbehörden und entwickelt Werkzeuge und Lösungen, die für die Aufgabenerfüllung derselben unverzichtbar sind. Die Polizeien des Bundes (BPol, BKA) und das Zollkriminalamt haben leistungsfähige Analyse- und Auswertesysteme aufgebaut. Sie befassen sich mit den Erscheinungsformen der Cyber-Kriminalität, führen Ermittlungsverfahren durch und koordinieren nationale sowie internationale Aktivitäten. Kommando Cyber- und Informationsraum (Kdo CIR) Das Kommando Cyber- und Informationsraum ist eine höhere Kommandobehörde und trägt die operationelle Durchführungsverantwortung für die Informationssicherheit in der Bundeswehr. Mit einem gemeinsamen Lagezentrum CIR stellt das Kommando ein fusioniertes Lagebild des Cyber- und Informationsraums für die Bundeswehr und auch für weitere Ressorts zur Verfügung. Die Nachrichtendienste des Bundes (BfV, BND, MAD) haben die Befugnis und die technischen Möglichkeiten, Datenverkehre strategisch zu erfassen und dadurch Gefahren für und Angriffe auf deutsche Netzwerke und Computer rechtzeitig zu erkennen und erfolgreich zu verhindern. 17

18 Abb. 6 Wunsch nach Zentralisierung 60% Politik und Wirtschaft im Einklang: Wunsch nach einer zentralen Stelle zur Abwehr von Cyber-Angriffen. Politiker 62 Führungskräfte in Unternehmen 60 In Prozent der Nennungen, Antwort Eine zentrale Stelle Sowohl die befragten Politiker als auch Wirtschaftsführer plädieren mehrheitlich für eine zentrale Stelle, bei der die Verantwortung für die Abwehr von Cyber-Angriffen, z.b. auf die Infrastruktur gebündelt ist. Der Wunsch nach Zentralität und Bündelung scheint daher trotz aller bereits begonnenen und umgesetzten Maßnahmen weiterhin zu bestehen. In Gesprächen mit Wirtschaftsvertretern wird häufig der Wunsch geäußert, dass es eine klar definierte Anlaufstelle geben sollte, wenn im Unternehmen eine Cyber-Attacke festgestellt wird. In der Regel sind die Motivation des Angreifers und die Kritikalität eines Angriffs im ersten Moment nicht ersichtlich. Von dieser Einschätzung hängt aber häufig ab, welche staatlichen Stellen eingebunden werden sollten. Peter J. Wirnsperger, Cyber Risk Leader Deloitte 18

19 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Abb. 7 Zweifel an staatlicher Kompetenz zur Abwehr von Angriffen 37% 72% Nur rund jeder dritte Politiker bewertet die staatliche Kompetenz zur Abwehr von Angriffen als ausreichend. der Führungskräfte bezweifelt das. Ausreichende Fachkompetenz Habe Zweifel Politiker Führungskräfte in Unternehmen In Prozent der Nennungen 3.2. Kompetenz staatlicher Stellen Von der Kompetenz in den staatlichen Stellen, die für den Schutz vor Cyber-Angriffen zuständig sind, sind die Befragten nicht überzeugt. Fast zwei Drittel der Politiker und fast drei Viertel der Führungskräfte aus der Wirtschaft haben Zweifel daran, dass die staatlichen Stellen, die derzeit für den Schutz vor Cyber-Angriffen zuständig sind, über ausreichend Fachkompetenz verfügen. Neben der Unterstützung bei der Abwehr konkreter Attacken besteht eine wesentliche Aufgabe des Staates und seiner Institutionen auch in der Schaffung eines effektiven regulatorischen Rahmens. Auffallend ist, dass die befragten Entscheidungsträger aus der Wirtschaft überwiegend davon ausgehen, dass es für ihr Unternehmen keine regulatorischen Anforderungen an die IT-Sicherheit gibt. 58 Prozent dieser Gruppe sind dieser Meinung. 19

20 Abb. 8 Mangelndes Wissen um den regulatorischen Rahmen Gesetzliche Anforderungen im Bereich IT-Sicherheit sind überwiegend nicht bekannt. Viele bestehende Einzelregelungen wie z.b. zum Datenschutz oder das IT-Sicherheitsgesetz werden anscheinend durch die Entscheidungsträger nicht als regulatorischer Gesamtrahmen wahrgenommen. Führungskräfte in Unternehmen Auch wenn es um die Schaffung dieser gesetzlichen Rahmenbedingungen geht, bestehen Zweifel an der Kompetenz staatlicher Stellen. Gut drei Viertel der Wirtschaftsführer, aber auch fast zwei Drittel der Politiker zeigen sich hier skeptisch. Insgesamt mit Zuständigkeit für IT-Bereich unter 250 Mitarbeiter ab 250 Mitarbeiter aus produzierendem Gewerbe Unter denjenigen, die Zweifel an staatlicher Kompetenz zur Abwehr von Cyber-Attacken hegen, gehen die Lösungsvorschläge auseinander. 75 Prozent der Politiker plädieren für eine Stärkung der staatlichen Kompetenzen in diesem Bereich. Eine Mehrheit der Führungskräfte der Wirtschaft setzt demgegenüber auf verstärkte Kooperation zwischen Unternehmen und staatlichen Stellen. aus Dienstleistungssektor aus Handel Weiß nicht Es gibt keine Es gibt gesetzliche regulatorische Anforderungen In Prozent der Nennungen 20

21 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Abb. 9 Fachkompetenz für regulatorische Rahmenbedingungen Fachkompetenz von Politik und Verwaltung für die Schaffung regulatorischer Rahmenbedingungen wird bezweifelt. 77% 62% der Führungskräfte in der Wirtschaft halten die Fachkompetenz in Politik und Verwaltung für die Schaffung gesetzlicher Rahmenbedingungen für nicht ausreichend. der Politiker teilen diese Meinung. Abb. 10 Stärkung der staatlichen Kompetenz zur Abwehr von Cyber-Attacken Wirtschaft und Politik haben einen unterschiedlichen Blick auf die Lösung des Problems. 56% der Führungskräfte setzen auf Kooperation zur Stärkung und Ergänzung der staatlichen Kompetenz. Politiker Führungskräfte in Unternehmen Fachkompetenz in staatlichen Stellen aufbauen In Prozent der Nennungen Kooperation mit Unternehmen der freien Wirtschaft Sowohl als auch 21

22 3.3. Was fordern die Unternehmen? Dass der Staat Unternehmen wirkungsvoll bei der Abwehr von Cyber-Angriffen unterstützen kann, wird dagegen von einer Mehrheit sowohl der Politiker als auch der Führungskräfte in den Unternehmen für wahrscheinlich gehalten. Unter denen, die hier wirkungsvolle Möglichkeiten sehen, würden rund drei Viertel ein staatliches Warnsystem vor Cyber-Angriffen für ein gutes Instrument halten. Knapp zwei Drittel wünschen Informationen, um über neue IT-Risiken und Schutzmöglichkeiten auf dem Laufenden zu bleiben, und 60 Prozent der Unternehmen wollen unmittelbar bei der Abwehr eines Cyber-Angriffs unterstützt werden. Diese konkrete Hilfe wünschen sich überdurchschnittlich häufig Unternehmen mit weniger als 1000 Mitarbeitern, die oftmals über eine knappere Ausstattung an Mitarbeitern im Bereich der IT-Security verfügen. Die gewünschte Hilfe staatlicher Stellen soll also genau in die Bereiche fließen, in denen die Unternehmen bislang Schwachstellen in der eigenen Aufstellung beim Schutz vor Cyber-Attacken sehen. So gaben beispielsweise 58 Prozent der Führungskräfte an, nicht genau zu wissen, welche Arten von Angriffen es aktuell in ihrer Branche gibt. 74 Prozent wünschen sich Warnungen im Falle eines Angriffs. Einige Befragte nennen neben den vorgegebenen Antwortmöglichkeiten spontan auch, dass der Staat gesetzliche Vorschriften erlassen sowie Standards und Pflichten verbindlich definieren solle. Abb. 11 Praktische Hilfe durch den Staat Knappe Mehrheit hält Unterstützung des Staates beim Schutz vor IT-Angriffen für möglich. Schutz vor Cyber-Angriffen Vertrauen in die Möglichkeit staatlicher Unterstützung bei Politikern stärker als in der Wirtschaft. Politiker Führungskräfte in Unternehmen In Prozent der Nennung Unterstützung möglich Zweifel an Unterstützungsmöglichkeit 22

23 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Abb. 12 Möglichkeiten staatlicher Hilfe Staatliche Unterstützung beim Schutz vor Cyber-Angriffen auf mehreren Ebenen sinnvoll. Schutz vor Cyber-Angriffen Wenn eine wirkungsvolle Unterstützung durch den Staat möglich erachtet wird, sollte sie sich auf folgende Bereiche beziehen: Staatliches Warnsystem bei Cyber-Angriffen 74 Informationen über neue IT-Risiken oder Schutzmöglichkeiten Unterstützung bei der Abwehr eines Cyber-Angriffs Andere Angaben 11 In Prozent der Nennung, die eine wirkungsvolle Unterstützung für möglich halten. Aus den Ergebnissen der Studie lässt sich ableiten, dass der Schutz der Infrastruktur, aber auch die Unterstützung der Unternehmen bei der Abwehr von Cyber-Attacken von den Befragten auch als hoheitliche Aufgabe verstanden wird. Sowohl die Entscheidungsträger aus der Wirtschaft als auch Politiker wünschen mehrheitlich, dass diese Aufgabe zentralisiert wahrgenommen wird. Nach Meinung der Befragten muss die Kompetenz der staatlichen Stellen für diese Aufgaben weiter ausgebaut werden. Dies betrifft sowohl die Schaffung regulatorischer Rahmenbedingungen als auch die Unterstützung bei der Abwehr von Angriffen. Die Unternehmen sehen Kooperationen zwischen privater Wirtschaft und staatlichen Stellen als wichtigen Beitrag zur Stärkung der Kompetenz und letztlich zur Erhöhung der Sicherheit. Aufgabe der Politik wird es sein, hierfür effektive und sichere Rahmenbedingungen zu schaffen. Neben den Forderungen zur Zusammenarbeit mit staatlichen Stellen muss das Thema Cyber- Sicherheit noch intensiver in der Führungsebene von Unternehmen verankert werden. Die Geschäftsleitung beschäftigt sich zwar mit den Risiken aus Cyber- Angriffen, dies aber häufig anlassbezogen. Oftmals fehlt eine Strategie und das ausreichende Verständnis für die Kritikalität und der möglichen Auswirkung für ihr Unternehmen. Peter J. Wirnsperger, Cyber Risk Leader Deloitte 23

24 4. Organisationsbereich Cyber- und Informationsraum Die Bundeswehr hat zum April 2017 einen neuen Bereich aufgestellt. Der Organisationsbereich Cyber- und Informationsraum (OrgBer CIR) ergänzt die bisherigen militärischen Organisationsbereiche und ist gleichberechtigt zur Streitkräftebasis, dem Zentralen Sanitätsdienst sowie zu den drei Teilstreitkräften Heer, Marine und Luftwaffe. Die Aufgaben des OrgBer CIR gehen über den Schutz der IT-Systeme der Bundeswehr hinaus und umfassen auch die Beteiligung am Schutz kritischer Infrastrukturen, den Aufbau eines Cyber-Lagebildes, die Durchführung von Cyber-Operationen, das Erkennen von Propaganda und Desinformation sowie die Teilhabe an der Meinungsbildung im Informationsraum. Neben den eingangs beschriebenen allgemeinen Risiken erkennen die Befragten auch eine Gefährdung der Bundeswehr. So sehen 46 Prozent der Studienteilnehmer es als ein großes Risiko an, dass durch einen Cyber-Angriff militärische Geheimnisse gestohlen werden oder die Einsatzfähigkeit der Bundeswehr beeinträchtigt wird. Die überwiegende Mehrheit der Befragten aus Politik und Wirtschaft findet die Gründung des Organisationsbereiches CIR sehr wichtig. In der Frage, ob Deutschland selbst in der Lage sein sollte, Cyber-Angriffe durchzuführen, zeigen sich Politiker und Wirtschaftsführer gespalten. Nur jeweils knappe Mehrheiten votieren für die Schaffung solcher Fähigkeiten. Bei den Politikern gehen die Meinungen entlang der Parteizugehörigkeit auseinander. Diejenigen, die sich für die Schaffung von Angriffsfähigkeiten aussprechen, halten deren Einsatz mit jeweils großer Mehrheit für gerechtfertigt, um Gruppen zu attackieren, die ihrerseits Cyber- Angriffe gestartet haben, zur allgemeinen Auf deckung von Straftaten wie organi sierter Kriminalität und Terrorismus, aber auch, um im Ausland Informationen zu beschaffen, die für die Sicherheit und den Schutz des Landes wichtig sind. Auf große Zustimmung stößt die Simulation von Cyber-Angriffen durch staatliche Stellen, um die Sicherheit der Computernetzwerke im Land zu überprüfen. Das Meinungsbild der Umfrage und unsere Diskussionen mit Entscheidungsträgern in staatlichen Institutionen zeigen viele offene Fragen: Das betrifft Bereiche des nationalen und internationalen rechtlichen Rahmens, aber auch die Frage der Zuordnung von Verantwortlichkeiten und die Legitimation für die Durchführung eigener Cyber-Operationen innerhalb unserer demokratischen gesellschaftlichen Struktur. Katrin Rohmann, Public Sector Leader Deloitte 24

25 Cyber-Security Report 2017 Teil 1 Handlungsauftrag an Politik und Gesellschaft Abb. 13 Organisationsbereich Cyber- und Informationsraum der Bundeswehr Klare Mehrheit für die Gründung eines eigenen Organisationsbereichs, der sich mit Cyber-Attacken und deren Abwehr beschäftigt. Wichtig 27% Weniger wichtig 4% Gar nicht wichtig 1% 95% halten CIR für einen wichtigen bis sehr wichtigen Schritt. Sehr wichtig 68% In Prozent der Nennung Abb. 14 Offensiven Operationen gegen Cyber-Angriffe Zustimmung zu offensiven Operationen abhängig von deren Zielsetzung. 89% sind Cyber-Angriffe seitens des deutschen Staates gerechtfertigt, wenn Gruppen attackiert werden, die selbst Cyber-Angriffe starten. Attackieren von Gruppen, die selbst Cyber-Angriffe starten Aufdeckung von Straftaten wie organisierter Kriminalität und Terrorismus Beschaffung von Informationen aus dem Ausland zum Schutz und zur Sicherheit Deutschlands Beschaffung anderer Informationen aus dem Ausland 26 In Prozent der Nennung Antwort Wirkungsvolle Unterstützung möglich 25

26 Handlungsempfehlungen 1. Bisherige begriffliche Abgrenzungen wie innere und äußere Sicherheit, zwischen kriminellen Handlungen, Radikalismus, Terrorismus und Krieg greift im Cyber- Raum nicht mehr. Besonders vor dem Hintergrund ist das Verständnis über die Verteilung zwischen privater und staatlicher Verantwortung bei Schutz und Abwehr von Cyber-Angriffen zu schärfen. Denn auch Angriffen kann eine Motivation zugrunde liegen, die über die wirtschaftliche Schädigung des Angegriffenen hinaus geht. Für diese Abgrenzungen müssen in der nationalen Debatte Positionen gefunden und in die internationale Diskussion dieser Fragen eingebracht werden. 2. Einem Großteil der befragten Führungskräfte sind die jeweiligen Aufgaben und bestehenden Maßnahmen der verschiedenen staatlichen Stellen, die sich mit Cyber-Abwehr beschäftigen, nicht klar. Die Aufgabenzuordnung innerhalb des öffentlichen Sektors wird nicht erkannt. Eine fortgesetzte gezielte Aufklärung über den Status quo der staatlichen Cyber-Abwehr erscheint notwendig. Eine zentrale Anlaufstelle wird gewünscht und erachten wir ebenfalls als zielführend. Dabei könnten die vorhandenen Strukturen genutzt und ausgebaut werden. 3. Angesichts einer von den Befragten wahrgenommenen steigenden Gefährdung bei gleichzeitig schnell veränderlichen Risiken ist ein umfassenderer und effizienterer Austausch zwischen privatem und öffentlichem Sektor über Cyber-Security in Deutschland unerlässlich. Ziel sollte es sein, die strategischen Weichenstellungen aber auch operative Abwehrmaßnahmen schnell und wirksam auf die aktuellen Bedrohungen anzupassen. 4. Die Kompetenzen zur Organisation der Cyber-Security aus Wirtschaft und staatlichen Stellen sollte gebündelt werden. Die Wirtschaft signalisiert die Bereitschaft, sich hierbei aktiv einzubringen. Neue flexible und innovative Formen dieser Kooperation müssen entwickelt werden. 5. Die Weiterentwicklung von Regulierung sollte Aspekte der Selbstregulierung der Wirtschaft und einzelner Branchen mit regulatorischen staatlichen Vorgaben kombinieren. Standardisierungen von Sicherheitsmaßnahmen sollten in ein europäisches oder globales Rahmenwerk eingebettet sein und mit Bezug auf die Einschätzung der Kritikalität von Bedrohungen und erfolgreichen Cyber-Attacken den Austausch und die Einleitung von Abwehrmaßnahmen unterstützen. 26

27

28 Ansprechpartner Katrin Rohmann Public Sector Leader Tel: +49 (0) Peter J. Wirnsperger Cyber Risk Leader Tel: +49 (0) Diese Veröffentlichung enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen des Einzelfalls gerecht zu werden, und ist nicht dazu bestimmt, Grundlage für wirtschaftliche oder sonstige Entscheidungen zu sein. Weder die Deloitte GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited, noch ihre Mitgliedsunternehmen oder deren verbundene Unternehmen (insgesamt das Deloitte Netzwerk ) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat. Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited ( DTTL ), eine private company limited by guarantee (Gesellschaft mit beschränkter Haftung nach britischem Recht), ihr Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständig und unabhängig. DTTL (auch Deloitte Global genannt) erbringt selbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung von DTTL und ihren Mitgliedsunternehmen finden Sie auf UeberUns. Deloitte erbringt Dienstleistungen in den Bereichen Wirtschaftsprüfung, Risk Advisory, Steuerberatung, Financial Advisory und Consulting für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und unterstützt Kunden bei der Lösung ihrer komplexen unternehmerischen Herausforderungen. Making an impact that matters für rund Mitarbeiter von Deloitte ist dies gemeinsames Leitbild und individueller Anspruch zugleich. Stand 10/2017