Inhaltsverzeichnis
Im vergangenen Jahr 2023 lagen die gesamtwirtschaftlichen Schäden durch Cyberangriffe allein in Deutschland bei 148 Milliarden Euro. Die Attacken treffen die Breite der Organisationen und sind damit nicht weniger eindrucksvoll. Zu ihnen gehören nicht nur finanzstarke Unternehmen und Institutionen mit großer öffentlicher Strahlkraft, sondern auch kleine und mittelständische Betriebe. In Deutschland geben gar 58 % der Unternehmen an, in den letzten 12 Monaten eine Cyberattacke erlebt zu haben. In der EU ist die Zahl nur in Irland höher (71 %).
Was tun gegen Cyberkriminalität?
Die Strafverfolgung auf der anderen Seite ist ungleich schwerer. Die Varianten der Schadsoftware sind zahlreich und das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert täglich neue. Zeitgleich halten sich Cyberkriminelle meist im Ausland auf und werden mitunter von den Staaten geduldet oder sogar geschützt. Den deutschen bzw. europäischen Strafverfolgungsbehörden entziehen sie sich somit gänzlich.
Die Maßnahmen zielen daher vermehrt auf die Infrastruktur der Kriminellen. Laut Angaben des Bundeskriminalamtes (BKA) konnten 2023 teilweise erhebliche Finanzmittel entzogen und zahlreiche IT-Systeme und Daten sichergestellt werden. Von deren Auswertung erhofft man sich Ansätze für weiterführende Ermittlungen. Im Angesicht des sehr agilen und dynamischen Bereichs Cybercrime ist aber auch eine passende rechtliche Grundlage entscheidend.
Der Cyber Resilience Act als rechtliche Grundlage
Nach langem Ringen, viel Kritik von Fachverbänden und diversen Änderungsvorschlägen der Länder hat am 12. März mit dem Cyber Resilience Act (CRA) der finale Kompromiss das EU-Parlament passiert und stellt nun ebendiese Grundlage dar. Die zeitnahe Verabschiedung im EU-Rat gilt nur noch als Formalie. Im Anschluss gilt die gesetzliche Umsetzungsfrist von 36 Monaten.
Und was steht drin?
Mit dem Gesetz möchte die EU
- einerseits die Hardware- und Software-Sicherheit erhöhen und
- andererseits die Digitalisierung der Unternehmen voranbringen.
Der CRA formuliert verbindliche Anforderungen an die Cybersicherheit für alle Marktteilnehmer, die Produkte mit digitalen Elementen herstellen, vertreiben oder einsetzen. Konkret teilt sie Produkte in
- Klasse I wie beispielsweise Browser oder Passwort-Manager und
- Klasse II (z. B. Chipkarten oder Firewalls).
Was bedeutet der Cyber Resilience Act für die Technische Kommunikation?
Selbstredend ist davon auch der Maschinen- und Anlagenbau betroffen. Die digitalen Elemente der Maschinen – seien es Steuerungen oder Sensoren – können zu Ziele von Cyberangriffen werden. Zusätzlich sind Maschinen im industriellen Bereich häufig mit dem Internet verbunden und somit potenziell gefährdet.
Interessant ist der Security-by-Design-Ansatz. Entwicklungs-Abteilungen müssen künftig die Richtlinie von der ersten Produktidee an umsetzen. Hinzu kommen regelmäßige Updates und Aktualisierungen sowie maximale Transparenz. Die Produktsicherheit muss dann auch über den kompletten Lebenszyklus hinweg garantiert werden. Eine Zertifizierung soll die Konformität nachweisen. Sobald das Produkt nicht mehr aktiv upgedatet wird oder Sicherheitslücken auftreten, ist der Hersteller verpflichtet, dieses aktiv zu kommunizieren.
Generell kommt den Redaktionen in den Unternehmen eine wichtigere Rolle zu. Neben der Bedeutung der Technischen Kommunikation für die Informationstransparenz müssen auch die Maßnahmen zur Cybersicherheit professionell dokumentiert, verwaltet und bereitgestellt werden. Und das natürlich digital und sicher!
Gerade für kleine und mittlere Unternehmen wird die Richtlinienkonformität mit erheblichem Aufwand und Kosten verbunden sein. So müssen bestehende Sicherheitsmethoden evaluiert sowie neue Praktiken und Technologien eingeführt werden. Dem gegenüber steht eine erhöhte Attraktivität am Markt. Unternehmen, die den Kunden Cybersicherheit von Maschine und Mensch gleichermaßen bieten können, führen bereits heute das Feld an.
Bedenkt man die mitunter langen Entwicklungszyklen im Maschinenbau gilt es in jedem Fall, die Weichen zu stellen und die Übergangsfrist effizient zu nutzen.
Jetzt interessiert mich natürlich: Wie gehen Sie mit dem CRA um?