Bayern und Nordrhein-Westfalen wollen bei der IT-Sicherheit verstärkt zusammenarbeiten, um das Thema in ganz Deutschland voranzubringen. Hierfür gab es diese Woche im Rahmen der IT-Sicherheitsmesse it-sa in Nürnberg eine Auftaktveranstaltung. „Es gibt viel Mythos und wenig Kenntnis“, konstatierte Ministerialdirigent Klaus-Peter Potthast, Leiter der Abteilung Digitalisierung und Medien im bayerischen Wirtschaftsministerium. In vielen kleinen und mittleren Unternehmen (KMUs) sei man der Ansicht, dass ein Antivirenprogramm auf den Rechnern ausreiche, um die Unternehmensdaten zu schützen.

Potthast lobte die Auftaktveranstaltung „Gemeinsam sicher – sicher gemeinsam. IT-Sicherheit in Bayern und NRW“ als richtigen Weg, um mehr Bewusstsein für Cybersecurity zu schaffen. „Bayern und Nordrhein-Westfalen haben zusammen rund 30 Millionen Einwohner“, so der Ministerialdirigent. Das sei eine nennenswerte Größe, um die ganze Republik von diesem Anliegen zu überzeugen. „Im Bereich der Hardware hat Deutschland schon lange die Führung abgegeben. Das sollte bei der IT-Sicherheit nicht so sein“, betonte Potthast. Er kündigte an, dass der sogenannte Digitalbonus der bayerischen Staatsregierung noch in diesem Monat starten werde. Diese interministerielle Kooperation soll die IT-Sicherheit in bayerischen Unternehmen verbessern. Zuschüsse von 10.000 Euro bis 50.000 Euro könnten sich die Firmen dann abrufen, um entsprechende Maßnahmen auf den Weg zu bringen. Diese Summen sind Potthast zufolge nur als Anstoß gedacht, damit in den KMUs das Thema überhaupt ernstgenommen wird. In großen Unternehmen sei sowieso genügend Know-how für die Gefahren aus dem Netz vorhanden. Doch in den KMUs herrsche häufig die Meinung, dass sich der hauseigene Computer-Fuzzi schon um die IT-Sicherheit kümmere. Dieser ist aber oft mit der Vielzahl und der Ausgeklügeltheit der Cyberbedrohungen überfordert.

IT-Sicherheit nachhaltig verbessern

Erste Hilfe in Sachen IT-Sicherheit, die auch mit dem Digitalbonus finanziert werden kann, bietet der Bayerische IT-Sicherheitscluster e.V. aus Regensburg. Mit den beiden Instrumenten ISIS12 und ISA+ stellt der Cluster kleinen und mittleren Unternehmen sowie Kommunen zwei Analysewerkzeuge zur Verfügung, die helfen, die IT-Sicherheit nachhaltig zu verbessern. ISA+ kann ohne technische Kenntnisse von der jeweiligen Unternehmensleitung durchgeführt werden. 50 Fragen sind gemeinsam mit einem akkreditierten Berater zu beantworten. Aus den Antworten ergibt sich dann ein Stärken-Schwächen-Profil, aus dem wiederum konkrete Handlungsempfehlungen abgeleitet werden.

ISIS12 ist aufwendiger und vor allem für mittlere Unternehmen sinnvoll. Laut Peter Hien von Secure Data Consulting wird in zwölf Schritten ein Informations-Sicherheitsmanagementsystem implementiert. Es sei auf die Bedürfnisse des Mittelstands und von Kommunen zugeschnitten. Bis ISIS12 läuft, dauert es laut Hien ein bis zwei Jahre. Der Aufwand hierfür liege bei 15 bis 30 Manntagen durch einen externen Dienstleister. „So ein System einzuführen, ist durchaus sinnvoll, denn beim Abschluss einer Ausfallversicherung für IT, wird man nach entsprechenden Maßnahmen gefragt, die man bereits ergriffen hat“, so Hien. Sollte man als Unternehmer in diesem Fall blank dastehen, werde entweder der Versicherungsschutz verweigert oder er koste entsprechend viel. Hien betont: „Mit Datenkriminalität wird mehr Geld verdient als mit Drogenhandel.“ Damit möchte er illustrieren, wie ernst das Thema IT-Sicherheit genommen werden sollte. Detaillierte Informationen zu ISA+ und ISIS12 können sich Interessierte unter www.it-sicherheit-bayern.de abrufen.

Cybersecurity im Fokus

IT-Sicherheit spielt auch im neuen Zentrum Digitalisierung Bayern (ZD.B) eine zentrale Rolle. Der im Januar dieses Jahres neu gegründete Staatsbetrieb bietet unter anderem die Themenplattform Cybersecurity. Sie richtet sich laut Kathrin Jaenicke vom ZD.B an KMUs, die Industrie, Startups, Forschungseinrichtungen, die Politik und die Gesellschaft. „Ziel ist es, die Wettbewerbsfähigkeit, die Resilienz, also die Widerstandsfähigkeit, und das Bewusstsein zu stärken“, so Jaenicke. Mobile Security, Internet of Things, Smart Data, Industrie 4.0 oder sichere kritische Infrastrukturen seien einige der Bereiche mit denen sich die Themenplattform Cybersecurity im ZD.B beschäftigt.

Jaenicke stellte auch das Sicherheitsnetzwerk München vor, für das sie ebenfalls arbeitet und das es seit vier Jahren gibt. „Es ist ein offenes Netzwerk, an dem auch Akteure außerhalb Bayerns mitmachen können.“ Airbus, Allianz, Atos, Audi, Giesecke & Devrient, Infineon, Siemens und TÜV Süd sind nur einige der Unternehmen, die im Sicherheitsnetzwerk München organisiert sind.

IHK sorgt für "Digitalen Wirtschaftsschutz"

Für IT-Sicherheit sorgen auch die bayerischen Industrie- und Handelskammern. So gab es laut Claudiu Bugariu, bei der IHK Nürnberg zuständig für IT-Sicherheit, von 2013 bis 2015 ein entsprechendes Projekt, das über 3000 KMUs in Bayern erreicht hat. Als Fortsetzung wurde dieses Jahr das Projekt „Digitaler Wirtschaftsschutz“ etabliert, das aber nur bei der IHK Nürnberg angesiedelt ist. „Es ist aber für ganz Bayern verfügbar“, betont Bugariu. Er stellte die „IT-Schwachstellenampel“ vor, die Unternehmen gratis nutzen können. Sie zeigt ihnen ihre Handlungsnotwendigkeiten auf, damit die IT-Sicherheit gewährleistet ist. „Das ist besser, als sich seine IT-Systeme via Cloud von einem US-amerikanischen Anbieter scannen zu lassen“, so Bugariu. Die „IT-/Schwachstellenampel“ wurde von den IHKs, dem Deutschen Industrie- und Handelskammertag (DIHK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mitentwickelt. Waren 2014 IT-Schwachstellen noch 295 Tage „offen“ und konnten von Angreifern ausgenutzt werden, so reduzierte sich dieser Zeitraum laut Bugariu in 2015 auf nur noch 19 Tage. Auch die Zeit, um die Schwachstellen zu beheben, konnte verringert werden. 2014 waren es noch 59 Tage, 2015 nur noch vier Tage. Die IHK Nürnberg bietet unter www.ihk-nuernberg.de/informationssicherheit noch weitere Auskünfte, einen Newsletter und einen Blog.

Somit gibt es eigentlich genügend Informationsquellen, um die IT-Sicherheit verbessern zu können. Bayerns Unternehmen sind aufgerufen, diese zu nutzen. Der nächste Austausch zwischen Bayern und Nordrhein-Westfalen wird laut Sandra Wiesbeck, Clustermanagerin und Vorstandsvorsitzende des Bayerischen IT-Sicherheitsclusters, in Düsseldorf stattfinden.
(Ralph Schweinfurth)