WirtschaftsWoche: Herr Busch, ist Deutschland bei der Weitergabe von Hochtechnologie und geistigem Eigentum manchmal zu nachlässig und naiv?
Roland Busch: Ich glaube, dass wir im Großen und Ganzen sehr verantwortungsvoll damit umgehen. Wenn es um Energie-, Kommunikations- und Verkehrsinfrastruktur geht, muss man allerdings darüber diskutieren, inwieweit wir die mit eigener Technologie doch besser in unserer Hand behalten wollen.
Dass sich China an einem deutschen Stromübertragungsnetz beteiligt, geht aus Ihrer Sicht also nicht?
Es ist ja nicht nur das. Es geht beispielsweise auch um Router für unsere Telekommunikationsnetze. Da sollte man nicht in erster Linie auf den Preis schauen, sondern darauf, ob sie unseren Standards für Cybersicherheit entsprechen.
Sollte Deutschland bei Übernahmen und Beteiligungen aus China, so wie die Amerikaner, restriktiver sein?
Manche Länder sind da durchaus etwas kritischer. Diese Länder verstehen Infrastruktur als ein strategisches Asset, auf das auch die Regierung achtgeben muss. Es geht schließlich um die nationale Sicherheit. Wenn jemand in einem Krisenfall das Energienetz außer Kraft setzen kann, hält er schon alle Trümpfe in der Hand.
Zur Person
Roland Busch, 53, ist Technikvorstand und Chief Technology Officer bei Siemens. Der studierte Physiker kam bereits 1994 zum Konzern, 2011 rückte er in den Vorstand auf. Gemeinsam mit der Münchner Sicherheitskonferenz und den Unternehmen Airbus, Allianz, Daimler, IBM, SGS, dem Halbleiterkonzern NXP und der Deutschen Telekom hat Siemens gerade eine Zehn-Punkte-Charta für mehr Cybersicherheit verabschiedet
Siemens hat gemeinsam mit Konzernen wie Airbus, IBM und Allianz eine Charta für Cybersicherheit verabschiedet. Was soll so eine unverbindliche Absichtserklärung bringen?
Die Digitalisierung ist der große transformatorische Trend, und das ist ja auch gut so, denn die Digitalisierung treibt die Produktivität. Das größte Risiko dabei ist aber die Cybersicherheit. Nehmen Sie als Beispiel das autonome Fahren. Das führt zu mehr Sicherheit, könnte aber auch durch Cyberattacken dramatisch konterkariert werden. Darum haben wir uns zusammengesetzt und überlegt, wie wir für mehr Cybersicherheit sorgen können – und das im Übrigen sehr verbindlich: Wir wollen mit der Initiative dafür sorgen, dass Kunden und Verbraucher Vertrauen in die Cybersicherheit unserer Produkte und Lösungen haben. Auch wenn es nie eine hundertprozentige Sicherheit geben kann.
Ich muss nachhaken: Was soll Ihre unverbindliche Initiative da bringen?
Wir adressieren mit unserer Charta drei wichtige Aspekte: Es geht zum einen darum, dass die Wirtschaft, also die Unternehmen, Anstrengungen für mehr IT-Sicherheit unternehmen, zum anderen geht es darum, dass wir in der Politik zu schlüssigen Standards und Zertifizierungen für Cybersicherheit finden. Als drittes wollen wir den Austausch von Informationen und die Zusammenarbeit zwischen den Unternehmen fördern.
Werden sich der Charta weitere Unternehmen anschließen?
Ja. Das ist jetzt die erste Welle. Aber wir sind schon in Kontakt mit weiteren Unternehmen. Das Softwarehaus AtoS wird beispielsweise dazu kommen.
Muss auch die Politik mehr tun, wenn es um den Schutz vor Hackerangriffen geht?
Klar, auch die Politik ist gefragt. Wir betreten bei dem Thema ja gewissermaßen Neuland. Ein Produkt kann man recht einfach auf Qualität testen. Wirklich verlässliche Aussagen zur Sicherheit von Netzen zu treffen, ist dagegen nicht so einfach. Wenn man ein Produkt fertigt, das Software enthält, die Infrastruktur, mit der es gefertigt wird, aber nicht sicher ist, ist es nicht möglich, für die Sicherheit des Produkts zu garantieren. Die Politik sollte sich fragen, wie man die Regeln richtig setzt. Gleichzeitig darf das Regelwerk nicht so streng sein, dass sich am Ende niemand mehr bewegen kann. Bei potenziell lebensbedrohenden Bereichen wie Metrozügen oder autonom fahrenden Autos muss der Rahmen natürlich strenger sein.
IT- und Informationssicherheit in deutschen Unternehmen
Eine Umfrage der "Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS)" fördert deutliche Investitionsbereitschaft deutscher Unternehmen in mehr IT-Sicherheit zu Tage.
Quelle: Studie "IT-Sicherheit und Datenschutz 2017" der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS)
von 100 befragten IT-Experten und IT-Sicherheitsexperten sind davon überzeugt, dass die Ausgaben deutscher Unternehmen für IT- und Informationssicherheit in den nächsten zwölf Monaten um rund ein Drittel ansteigen werden.
erwarten langfristig bis zum Jahr 2025 einen um etwa ein Drittel höheren monetären Einsatz, verglichen mit dem bisherigen Invest.
der befragten Fach- und Führungskräfte gehen von einem Anstieg der Investitionssummen um die Hälfte aus. Der akute Bedarf an Sicherheitsmaßnahmen wird damit als relevanter eingeschätzt: Im Jahr 2016 gingen noch 58 Prozent der befragten Fach- und Führungskräfte von einem Ausgabenanstieg um 50 Prozent bis im Jahr 2025 aus.
geht bis zum Jahr 2025 sogar von einer Verdopplung der bisherigen Investitionssumme aus. Innerhalb der kommenden 12 Monate vermuten lediglich neun Prozent eine Verdopplung der Investitionssumme.
der Umfrageteilnehmer vermuten, dass bis zu 75 Prozent der Unternehmen innerhalb der letzten drei Jahre mit einem Sicherheitsvorfall zu kämpfen hatten.
der Befragten meinen, dass etwa die Hälfte der Firmen aufgrund von Cyberkriminalität aktiv Schadensbegrenzung betreiben musste.
15 Prozent der Befragten gehen sogar davon aus, dass mehr als 75 Prozent der Unternehmen einen Sicherheitsvorfall innerhalb der letzten drei Jahre lösen mussten.
Ist die Regulatorik eher ein Thema, das nach Brüssel oder nach Berlin gehört?
Wir sitzen da alle im selben Boot. Es ist ein Berlin-Thema, ein Brüssel-Thema, aber auch ein Thema für die Unternehmen.
"Viele Attacken kommen aus dem asiatischen Raum"
Sollten wir in Berlin ein Digitalministerium haben?
Zunächst mal zur Wirtschaft: Ich glaube nicht, dass jedes Unternehmen einen Chief Digital Officer braucht, denn die Digitalisierung betrifft alle Geschäftsbereiche. Wenn sich das Management nicht ernsthaft mit dem Thema auseinandersetzen will, ernennen sie meist einen CDO. Da machen es sich manche zu einfach. Anders sieht es aus mit einem Cybersicherheit-Officer. Der steht wie ein CIO für das Thema Cybersicherheit und hat eine wichtige Rolle, weil dort die relevanten Informationen zusammenlaufen.
Und ein Digitalministerium?
Die Probleme fangen doch schon beim Ressortzuschnitt an. Gehört beispielsweise das Thema 5G dazu oder nicht? Dann stellt sich die Frage nach Überlappungen, etwa mit dem Wirtschaftsministerium oder mit einem Technologieministerium.
Wie hat sich die Bedrohungslage durch Cyberattacken in letzter Zeit verschärft?
Der Level an Attacken ist immens. Bei unserem Unternehmen etwa gibt es jeden Monat rund 1000 Angriffe. Die Zahl steigt in dem Maße wie sich die Digitalisierung ausbreitet. Es ist ein permanenter Kampf, sich dagegen zu wappnen.
Geht es bei den Attacken immer noch vor allem um Industriespionage?
Die meisten Attacken zielen in der Tat auf Industriespionage ab.
Stimmt es, dass die meisten Angriffe aus Osteuropa und China kommen?
Viele Attacken kommen aus dem asiatischen Raum, soweit man sie überhaupt lokalisieren kann. Aber da gibt es auch sehr viele andere Länder.
Bremst die wachsende Bedrohung durch Cyberattacken die Digitalisierung in den Fabriken?
Vor allem kleinere Unternehmen haben oft keine großen IT-Abteilungen, die für Cybersicherheit sorgen können. Da ist Vertrauen sehr wichtig. Da geht es um die Frage, ob diese Unternehmen ihren Lieferanten wie etwa Siemens, die die Anlagen für die Fabriken liefern, vertrauen. Wir können für unsere Produkte und Lösungen einen gewissen Level an Sicherheit aufzeigen. Dazu kaufen wir natürlich auch zu. Siemens hat rund 1.300 Cybersicherheits-Experten, die permanent prüfen, welche neuen Tools es auf dem Markt gibt und unsere Infrastruktur und Prozesse kontinuierlich verbessern.
Zwei deutsche Schlüsselzulieferer für IT-Sicherheit sind die Münchner Unternehmen Rohde & Schwartz und Giesecke & Devrient.
Das sind sicherlich zwei wichtige Adressen. Aber in dem Bereich tut sich auch unheimlich viel in der Start-up-Szene. Ich denke aber auch, dass Kooperationen immer wichtiger werden.
Vernachlässigt in Deutschland vor allem der Mittelstand die Cybersicherheit?
Kleinere Unternehmen haben – so wie große Unternehmen auch – sicherlich noch einige Hausaufgaben zu machen, vor allem was die Organisation und die personelle Ausstattung zu dem Thema angeht.
