Cybersecurity ist ein Thema, das heutzutage sowohl Unternehmen wie auch Privatpersonen betrifft. Erpressungsfälle, Datenklau, kleinere und größere Sicherheitslücken – der digitale Angriff auf sensible Daten hat sich in den vergangenen Jahren immens ausgeweitet und stellt nicht nur IT- sondern auch Kommunikationsverantwortliche vor ganz neue Herausforderungen. In den kommenden Wochen beschäftigen wir uns intensiver mit dem Thema Cybersecurity. Dazu konnten wir namhafte Unternehmen zu Gastbeiträgen überzeugen, die an dieser Stelle dann erscheinen werden. Im ersten Post befassen wir uns mit Cybersecurity im Spannungsfeld von politischer und unternehmerischer Verantwortung. Autorin ist Bärbel Hestert-Vecoli, Head of Public Affairs bei Weber Shandwick.
Bärbel Hestert-Vecoli
Director Corporate Affairs || Weber Shandwick Berlin
E-Mail: BHestert[at]webershandwick.com
Tel.: +49 30 20 351 227
Weder kleine noch große Unternehmen sind heute vor Cyberattacken gefeit. Mehrere tausende Cyberangriffe auf nur ein Unternehmen – wohlgemerkt pro Tag – sind schon lange keine Seltenheit mehr. Die gesamte Welt ist davon betroffen – wie die Norse Cyber Map in Realzeit widerspiegelt.
Wie geht die Politik aktuell mit diesem sicherheitsrelevanten Territorium des digitalen „Neulands“ um und welche neuen Herausforderungen an die unternehmerische Verantwortung sind damit verbunden? Insbesondere der letzte Aspekt hat mit der jüngsten Ankündigung der „Big Five“ (Alphabet, Amazon, Facebook, IBM und Microsoft), gemeinsam Regeln zur Ethik der künstlichen Intelligenz auszuarbeiten, noch einmal eine neue Dimension erhalten. Denn die Frage, ob ein selbstfahrendes Auto in Zukunft bei einem Unfall eher die Insassen oder die Passanten schützen soll, ist in erster Linie eine ethische. Damit wäre sie klassisch vor allem Gegenstand politischer Regulierung und nicht unternehmerischer Meinungsbildung – oder? Der gesetzeskonforme und für den Verbraucher sichere Umgang mit Mobilitätsdaten wird hingegen sehr viel eindeutiger im Pflichtbereich unternehmerischer Verantwortung verortet, für den die Politik lediglich den Rahmen setzt. Beide Fragen gehören zum Kontext der Cybersecurity und sie zeigen exemplarisch, wie Wirtschaft und Politik nur gemeinsam und im Dialog diese Terra Incognita des digitalen Zeitalters ausleuchten können.
Was ist Cybersecurity?
Laut dem Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, befasst Cyber-Sicherheit sich “mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.” (Quelle)
Cybersecurity umfasst also alle Eigenschaften von informationsverarbeitenden und -lagernden Systemen, die Vertraulichkeit, Verfügbarkeit und Integrität in Bezug auf das Internet sicherstellen. In ihren Maßnahmen werden Organisationen, Institutionen und sonstige Einrichtungen vor Gefahren und Bedrohungen geschützt, und damit wirtschaftlicher Schaden vermieden beziehungsweise das Risiko dessen minimiert. Kritische Infrastrukturen sind laut BMI “Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.”
Politische Entwicklungen zu Cybersecurity in Deutschland und der EU
Der Deutsche Bundestag beschloss bereits im Jahr 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Damit wird insbesondere der Schutz im Bereich der Kritischen Infrastrukturen (KRITIS) verbessert werden. Im Mai 2016 trat daraufhin die erste Verordnung des IT-Sicherheitsgesetzes, die KRITIS-Verordnung (BSI-KritisV), in Kraft. Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung sind seitdem im Falle eines Cyberangriffs verpflichtet, dem BSI erhebliche Störungen ihrer informationstechnischen Systeme zu melden und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Der zweite Teil der Verordnung wird bis Anfang 2017 erwartet. Er wird die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit abdecken. Am 9. November hat die Bundesregierung zudem die vom Bundesminister des Innern vorgelegte “Cyber-Sicherheitsstrategie für Deutschland 2016″ beschlossen. Diese sieht über 30 strategische Ziele und Maßnahmen zur Verbesserung der Cybersicherheit vor, u.a. die Einführung eines IT-Sicherheitsgütesiegels, die Ausweitung der Kooperation zwischen Staat und Wirtschaft sowie die Schaffung von “mobilen Einsatzteams” für die Unterstützung vor Ort.
Parallel zu diesen nationalen Entwicklungen hat das EU-Parlament 2016 eine Datenschutzgrundverordnung für Verbraucher beschlossen, die Unternehmen mit Sitz in Europa dazu verpflichtet, für die Verarbeitung persönlicher Daten eine ausdrückliche Zustimmung von ihren Kunden einzuholen und diesen Auskunft über gespeicherte Daten zu erteilen. Im Juli unterzeichnet EU-Digitalkommissar Günther Oettinger zudem die neue öffentlich-private Partnerschaft mit der Europäischen Cybersicherheitsorganisation ECSO, die bis 2020 Investitionen in Höhe von 1,8 Mrd. € mobilisieren soll. Mit dem Pakt soll Europa besser gegen Cyberangriffe verteidigt und die Wettbewerbsfähigkeit der europäischen Cybersicherheitsbranche gesteigert werden.
Dimensionen der Verantwortung
Politisch gesehen ist also schon viel geschehen. Doch damit ist nicht automatisch auch alles in bester Ordnung. Gerade im Bereich der Digitalisierung und der Cybersecurity sind Unternehmen gefordert, ihr Know-how aber auch ihre Wertehaltung in den politischen und gesellschaftlichen Dialog mit einzubringen. Es ergeben sich hierbei zwei Dimensionen:
1. Political Engagement
Technische Innovationen, der Ausbau der Industrie 4.0 und das exponentielle Wachstum an messbaren und wirtschaftlich nutzbaren Daten werden kontinuierlich zu neuen Cyber-Herausforderungen und Sicherheitsfragen führen. So entsteht immer neuer politischer Handlungsbedarf in Bereichen, die sich aufgrund ihrer fachlichen Komplexität staatlicherseits nur im Zusammenwirken mit der Wirtschaft durchdringen lassen. Corporate Citizens sind gefragt, bei der Prävention und Aufklärung von Cyberattacken aktiv und transparent mit den Behörden zusammenzuarbeiten. Aber auch die Mitwirkung an der politischen Meinungsbildung im Bereich von Cybersicherheit, sowie Daten- und Verbraucherschutz im Dialog mit der Politik gehört zur unternehmerischen Verantwortung.
2. Corporate Responsibility
In Zeiten, in denen Datenleaks und sicherheitsrelevante Cyberattacken zu großen Schäden führen können, sei zudem auch geboten, den verantwortungsbewussten Umgang mit Daten- und IT-Sicherheit zum festen Bestandteil der unternehmerischen Corporate Responsibility bzw. der CR-Kommunikation zu machen. Dabei gilt es gegenüber Mitarbeitern, Stakeholdern und Kunden deutliche Zeichen zu setzen und entsprechende Funktionen im Unternehmen zu schaffen. Die Sensibilität von Kunden und Verbrauchern gegenüber Sicherheitsfragen im Umgang mit Daten wird weiter steigen. Nur wer im Alltag wie auch im Krisenfall auf der Basis einer soliden Sicherheitsplanung transparent und Kunden-orientiert kommuniziert, wird sich im Wettbewerb um Vertrauen langfristig durchsetzen können.