Deutsche Märkte schließen in 3 Stunden 7 Minuten

Siemens, Daimler, Airbus, Telekom, Tüv: Allianz für Cyber-Sicherheit findet immer mehr Mitglieder

Hackerangriffe kosten Konzerne jedes Jahr Milliarden – und die Risiken steigen weiter. Ein Bündnis von 16 Konzernen hat nun Standards für die Sicherheit in ihren Lieferketten definiert.


Die Cyber-Sicherheit wird wieder eines der zentralen Themen auf der Münchener Sicherheitskonferenz. Die Initiative „Charter of Trust“, die vor einem Jahr von Siemens und der Sicherheitskonferenz gegründet worden war, ist inzwischen auf 16 Mitglieder angewachsen – von Airbus und der Allianz über Cisco und Daimler bis zur Telekom und dem Tüv Süd.

„Cyber-Sicherheit ist das Schlüsselelement für eine erfolgreiche Digitalwirtschaft und für den Schutz kritischer Infrastrukturen“, sagte Siemens-Chef Joe Kaeser am Freitag. Die Partner wollen künftig unter anderem die Cyber-Sicherheit in ihren Lieferketten etablieren. Siemens machte hier bereits einen Anfang und verpflichtete seine Lieferanten auf verbindliche Anforderungen, um die digitale Lieferkette besser vor Hackerangriffen zu schützen. „Das schwächste Teil einer Kette ist entscheidend für die Sicherheit”, sagte auch Bundeswirtschaftsminister Peter Altmaier am Freitag dazu in München.

Ziel von „Charter of Trust“ ist es, Regeln für die Cybersicherheit im vernetzten Leben zu formulieren und umzusetzen. Seit der Unterzeichnung im vergangenen Jahr hat sich die Lage nicht verbessert – im Gegenteil. Die Gefährdung habe zugenommen und sei vielschichtiger geworden, schrieb das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht, der im Oktober erschien.

„Es gibt nach wie vor eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen.“ Dabei sei mit weiteren Bedrohungen zu rechnen, da „eine Ära der Digitalisierung, die unseren Alltag und unsere Gesellschaft umfassend beeinflussen wird“, gerade erst beginne. Ohne Anstrengungen durch Staat, Wirtschaft und Gesellschaft werde die Bedrohung fürs Land wachsen, warnt das BSI – und begründet so den Anspruch auf mehr Personal und Mittel.

Das Ausmaß der Cyberkriminalität lässt sich nur schwer schätzen, die Dunkelziffer ist groß. Laut dem Center for Strategic and International Studies richteten Cyber-Angriffe im vergangenen Jahr einen weltweiten Schaden von mehr als 500 Milliarden Euro an. In der deutschen Industrie sind innerhalb von zwei Jahren Schäden in Höhe von 43 Milliarden Euro entstanden. Das geht aus einer Studie hervor, die der Technologieverband Bitkom und der Verfassungsschutz erstellt haben.


Mit 68 Prozent ist die Mehrheit der Firmen betroffen. Bei jedem dritten Unternehmen (32 Prozent) kamen Computer oder Smartphones abhanden, bei rund jedem vierten sind sensible Daten abgeflossen und etwa jedes fünfte berichtet von digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Deutlich mehr Manager vermuten, dass sie von derartigen Straftaten betroffen sind, wissen es aber nicht sicher.

Am Bewusstsein mangelt es nicht. Praktisch alle Firmen (92 Prozent) schätzen laut BSI die Gefahren als „kritisch für die Betriebsfähigkeit ihrer Institution“ ein, viele setzen zudem Technik etwa zum Schutz von Netzwerken und zur Abwehr von Viren ein.

Allerdings verfolgt nur ein relativ kleiner Teil einen ganzheitlichen Ansatz. So weisen nur neun der 80 Dax- und MDax-Mitglieder in ihrer Selbstdarstellung einem Vorstand die Verantwortung für die Sicherheit zu, wie die Wirtschaftsprüfungs- und Beratungsgesellschaft PwC im vergangenen Jahr erhoben hat. Sprich: IT-Sicherheit wird auf der Arbeitsebene verhandelt, nicht im Vorstandsbüro – und findet daher auch nicht unbedingt in der Strategie Widerhall.

Die Partner der Initiative warnen zudem, dass die Risiken weiter steigen. So werde laut Gartner die Zahl der vernetzten Geräte von 8,4 Milliarden im Jahr 2017 auf 20,4 Milliarden im Jahr 2020 steigen.


Das Bündnis von Unternehmen und Sicherheitskonferenz will dagegen anarbeiten. Erstmals traten mit dem BSI und dem National Cryptologic Center aus Spanien zwei Regierungsbehörden der Charter bei. „Wir hoffen, dass die Charter zu einer lebhaften öffentlichen Diskussion führen wird – und künftig zu verbindlichen Standards und Regeln“, sagte Kaeser. Ein Schwerpunkt der Initiative soll das Thema Lieferketten werden. 60 Prozent der Cyber-Attacken ließen sich im Ursprung auf Teile der Lieferketten zurückverfolgen.

Siemens führt seine neuen Mindestanforderungen an Cyber-Sicherheit für Lieferanten ab Mitte Februar schrittweise ein. Von den Regeln betroffen sind vor allem Lieferanten von sicherheitskritischen Komponenten wie Software und Prozessoren. Ziel ist es unter anderem, Software-Schwachstellen zu vermeiden. Ebenso müssen sich die Lieferanten künftig um regelmäßige Sicherheitsüberprüfungen, Tests und Korrekturen kümmern.

„Damit können wir das Risiko von Sicherheitsvorfällen ganzheitlich entlang der Wertschöpfungskette reduzieren und unseren Kunden höhere Cyber-Sicherheit bieten“, sagte Siemens-Technologievorstand Roland Busch. Wenn alle Partner-Unternehmen diese Maßnahmen umsetzten, könne man „große Effekte erzielen und die digitale Welt sicherer machen“.

Die deutsche Autoindustrie verfährt bereits ähnlich: Mit Tisax hat der Branchenverband VDA einen Standard für Informationssicherheit entwickelt, den Zulieferer seit 2018 einhalten müssen. Dienstleister überprüfen die Einhaltung der Norm in regelmäßigen Abständen.