Cybersecurity

Täglich greifen kriminelle Hacker:innen die Netzwerke von Unternehmen, Behörden und anderen Organisationen an – allzu häufig mit Erfolg. Cyberangriffe sind eine reale, allgegenwärtige Gefahr. Deshalb wird Cybersecurity so wichtig: Sie bietet Schutz vor Angriffen aus dem Netz.

Diesen Schutz zu gewährleisten, ist Aufgabe des Managements und der Sicherheitsverantwortlichen in Organisationen. Sie brauchen dafür allerdings klare gesetzliche Vorgaben – genau die fordern viele Unternehmen von der Politik. Deshalb bringen sich der TÜV-Verband und seine Mitgliedsorganisationen in den entsprechenden Gremien mit ihrer Expertise ein, um hier notwendige Standards mit ausreichend hohen Sicherheitsanforderungen zu schaffen.

Wirtschaft fordert härtere Regeln

Der Handlungsdruck wächst – für die Unternehmen ebenso wie in der Politik. 47 Prozent der Unternehmen in Deutschland fordern höhere gesetzliche Anforderungen an die IT-Sicherheit in der Wirtschaft. Das hat eine repräsentative Ipsos-Umfrage im Auftrag des TÜV-Verbands ergeben. 59 Prozent der Befragten halten eine Regulierung durch die Gesetzgebung für wichtig, da sie zu einer besseren IT-Sicherheit ihres Unternehmens beiträgt.

Laut „TÜV Cybersecurity Studie“ geben drei von vier Unternehmen an, dass die Bedeutung der IT-Sicherheit in den vergangenen fünf Jahren für sie gestiegen ist. Als Gründe dafür nennen 78 Prozent der Befragten die zunehmende Digitalisierung und 29 Prozent einen Cyberangriff im eigenen Unternehmen.

Standards und Normen helfen

Laut Umfrage spielen Normen und Standards wie ISO 27001 eine wichtige Rolle für die IT-Sicherheit von Unternehmen. Sie geben Regeln und Verfahren vor, wie eine Organisation digitale Sicherheit in der Praxis gewährleisten kann. Unternehmen könnten sich von einer unabhängigen Stelle per Zertifikat bestätigen lassen, dass sie eine bestimmte Norm einhalten. Damit dokumentieren sie – zum Beispiel gegenüber Kund:innen oder Zulieferfirmen – dass ihre IT-Systeme bestmöglich gesichert sind. Schon heute orientieren sich zwei von drei Unternehmen laut „TÜV Cybersecurity Studie“ an Normen und Standards oder erfüllen diese sogar vollständig.

Darüber hinaus tragen aus Sicht des TÜV-Verbands gesetzliche Regelungen entscheidend dazu bei, den Schutz von Unternehmen und Privatanwender:innen vor Cyberangriffen zu verbessern. Deshalb gibt der TÜV-Verband drei Empfehlungen zum weiteren Vorgehen ab.

Drei Empfehlungen des TÜV-Verbands

1. Cybersecurity ganzheitlich betrachten
   Um Produkte, Systeme oder Prozesse nach Stand der Technik sichern zu können, müssen die Produkte ganzheitlich geprüft werden. Dabei muss insbesondere das Zusammenwirken von IT-Sicherheit und der physischen Sicherheit betrachtet werden. Je nach Funktionsumfang müssen auch weitere Aspekte wie der Datenschutz berücksichtigt werden.

2. Cybersecurity Act umsetzen
   Neben der funktionalen  Sicherheit muss auch die digitale Sicherheit fester Bestandteil eines Produkts sein. Dafür schafft innerhalb der Europäischen Union der Cybersecurity Act einen geeigneten Rechtsrahmen. Der TÜV-Verband empfiehlt, den Cybersecurity Act umfassend anzuwenden, um Sicherheitsanforderungen für Produkte, Services und Prozesse zu definieren. Die sektorspezifischen Richtlinien der einzelnen Produktgruppen müssen sich konsequent auf den Cybersecurity Act beziehen und dessen Möglichkeiten nutzen, um ihn ins Zentrum der Europäischen Produktregulierung zu stellen.

3. Künstliche Intelligenz nach Risikoklassen prüfen
   Die Funktionen selbstlernender Algorithmen müssen von externen Stellen überprüfbar sein. Je nach Risikoklasse eines KI-Systems können unterschiedliche Anforderungen an die Sicherheit und die Prüfungen gestellt werden. Cybersecurity ist dabei ein Schutzziel.