Cybersicherheit und Gesellschaft: Wieviel Souveränität brauchen Deutschland und Europa?
30. Juli 2019
Wir leben in Deutschland in einer vergleichsweise resilienten Gesellschaft. Störungen in Kritischen Infrastrukturen, ob durch Naturkatastrophen, böswillige Aktivitäten oder politische Verwerfungen bedingt, beeinträchtigen uns in der Regel nur kurze Zeit und örtlich begrenzt. Zudem sind wir in den Friedens- und Wohlstandsraum der Europäischen Union eingebettet. Finanziert wird dies durch die traditionelle Stärke der deutschen Wirtschaft: Maschinen- und Automobilbau, Chemie, Energie- und Elektrotechnik – kurz, von allen Branchen, in denen die hochpräzise Umsetzung komplexer Konzepte in greifbare, langlebige und zuverlässige Produkte gefragt ist. Im Bereich Software und Internet-Dienste deuten die wenigen deutschen Global Player jedoch darauf hin, dass uns die Skalierung der zahlreichen IT-Innovationsideen auf europäische oder weltweite Bedeutung bis dato nicht gelungen ist.
Erfolgsentscheidend: Konsequente Digitalisierung des europäischen Mittelstands
Die Ursachen sind vielfältig und beruhen unter anderem auf unserer bewährten Neigung, Dinge entweder „richtig oder gar nicht“ zu tun: Perfektionsdrang und eigenfinanzierte Produktentwicklung haben unseren unternehmergeführten Mittelstand erfolgreich gemacht. Im Bereich Suchmaschinen, Handelssysteme, soziale Medien und IT-Innovationen wurden mit diesen Mittelstands-Tugenden bisher hingegen nur wenige Achtungserfolge erzielt. Risikokapital-finanzierte Neugründungen dagegen können mit breit beworbenen Prototypen ohne Zwang zur Profitabilität auf eine schnelle Maximierung des Marktanteils abzielen.
Der Ausweg scheint klar: die konsequente Digitalisierung unserer Erfolgsindustrien, deren physische Anteile wir hervorragend beherrschen, und die nicht einfach kopiert werden können. Hier haben Deutschland und Europa gute Karten, die Weltspitze zu bilden. Die Anwendung von Technologien wie Big Data, maschinellem Lernen und ubiquitärer Vernetzung auf Industrie 4.0, dezentralen Energienetzen, intelligenten Verkehrsleitsystemen sowie Verwaltungs- und Regierungsprozessen kann einen weitreichenden Mehrwert bieten: sie verspricht gesteigerte Produktivität und Servicequalität und damit die Erhaltung der hiesigen Wirtschaftskraft und der politischen Bedeutung unseres Kontinentes. Hier sind Erfahrung, Sorgfalt, langfristige Orientierung im Sinne eines fehlerfreien, ausfallsicheren Dauerbetriebs erfolgsentscheidend.
Reicht Vertrauen aus?
Jedoch öffnen sich durch die Digitalisierung und Vernetzung Kritischer oder hoheitlicher Infrastrukturen bewusst oder unabsichtlich Schnittstellen, die auch von Unberechtigten per Cyberangriff missbraucht werden können. Ein privater Nutzer, dessen Daten von einem Schadprogramm verschlüsselt wurden, ärgert sich über individuellen, immateriellen Schaden. Unsere Gesellschaft dagegen könnte durch wiederholte Sabotage oder Manipulation weniger Kritischer Infrastrukturen in kurzer Zeit in ihrer Stabilität gefährdet werden. Solchen Blackout-Szenarien muss durch klaren politischen Willen und konkrete Investitionen entschieden entgegengewirkt werden.
Den extrem von Innovationsgeschwindigkeit getriebenen digitalen Plattformen und den zugrundeliegenden Geräten und Bausteinen wie PCs, Smartphones, IoT-Devices, Netzwerken, Prozessoren und Speicherchips und ihren Softwarekomponenten vertrauen wir im privaten und geschäftlichen Alltag buchstäblich blind: sie werden überwiegend außerhalb der Europäischen Union entwickelt und hergestellt. Europäische, mindestens hiesige Kompetenzen und Kapazitäten dafür sind inzwischen überwiegend abgewandert. Diese Produkte und Lösungen, in denen Sicherheitslücken lauern könnten, stellen die Basis auch industrieller Digitalisierung – und können heute sicherheitstechnisch meist nur als Black-Boxen evaluiert werden.
Die Politik ist gefordert: EU-Cyberautonomie planen
Um eine grundlegende Resilienz von Produkten und Dienstleistungen zu erzielen, kommen regulatorische Maßnahmen in Frage, wie etwa das diskutierte IT-Sicherheitsgesetz 2.0 und die jüngst gestartete Einführung des EU-Cybersicherheits-Zertifizierungsframeworks CSA. Andererseits könnten Deutschland und Europa zentrale IT- und Cybersicherheits-Wertschöpfungsketten selbst vorhalten, um im Krisenfall Transparenz und Kontrolle über strategische Teile Kritischer Infrastrukturen zu besitzen und damit widerstandsfähiger vor Cyberangriffen zu werden. Hierzu vermisse ich eine sicherheits- und wirtschaftspolitische Debatte.
Wir würden nicht bei null anfangen: Schon vor Jahren wurde in der European Defence Agency über eine komplett europäische Chip-Wertschöpfungskette nachgedacht. Das deutsche BSI (Bundesamt für Sicherheit in der Informationstechnik) kooperiert mit dem französischen Pendant ANSSI (Agence nationale de la sécurité des systèmes dìnformation) in der gegenseitigen Anerkennung behördlicher Zulassungen. Allein in Deutschland existiert eine Vielfalt von IT-Sicherheitsanbietern „made in Germany“, deren Technologien es erlauben, global beschaffte IT vertrauenswürdig zu betreiben: eine gute Basis für die Schaffung neuer „Visible Champions“. Vieles, was hierzu gesellschaftlich diskutiert und politisch beantwortet werden sollte, wurde 2015 durch ein ZVEI-Positionspapier zur Digitalen Souveränität behandelt.
Souveränität hat auch in der Sicherheit ihren Preis. Die Politik muss definieren, welches Niveau zu welchen Kosten erreicht werden soll. Cybersicherheitswirtschaft und -forschung stehen für diese Diskussion bereit. Deutschland allein muss keinen Alleingang stemmen. Ein massiver politischer Willensakt seitens EU-Kommission und -Parlament könnte bisherige Ansätze auf europäisches Niveau heben und damit eine konsolidierte, homogene Nachfrage schaffen. In dessen Zuge bekäme der Weg zu einer kontinentalen Cyber-Autonomie eine wirtschaftliche Perspektive.
Peter Rost verantwortet Herstellerpartnerschaften und Akquisitionen sowie die Marktforschungsaktivitäten bei der Rohde & Schwarz Cybersecurity GmbH. Er leitet die Arbeitsgruppe “IT Security made in Germany” des IT-Sicherheitsverbandes TeleTrusT e.V., ist im Board of Directors der Europäischen Cybersicherheitsorganisation ECSO tätig und Co-Chair ihrer Arbeitsgruppe für Marktentwicklung und Investitionen sowie stellvertretender Vorstand der ZVEI-Arbeitsgruppe Cybersecurity.
Die Beiträge im HORIZONTE logbuch geben die Meinungen und Experteneinschätzungen der Autorinnen und Autoren wieder und nicht Positionen von acatech – Deutsche Akademie der Technikwissenschaften.