Digitalisierung – Chancen nutzen, Risiken abwehren Cyber Salon Frankfurt der Schwarz Digits KG Palais Frankfurt
Es gilt das gesprochene Wort.
1 Begrüßung
Sehr geehrte Damen und Herren,
ich freue mich über unseren heutigen Austausch über ein Thema, dessen Bedeutung kaum zu unterschätzen ist: die Digitalisierung mit ihren Chancen und Risiken. Chancen und Risiken sind enorm. Das spiegelt sich in den Medien wider. Im Handeln vieler aber noch zu wenig, denke ich. Um den berühmtesten Sohn dieser Stadt zu zitieren, Johann Wolfgang von Goethe. Er sagte: „Der Worte sind genug gewechselt, laßt mich auch endlich Taten sehn!
2 Chancen der Digitalisierung
Für uns als Bundesbank gehört die Digitalisierung zunächst einmal zu den wichtigen möglichen Wachstumstreibern für unsere Wirtschaft. Wir haben dies im vergangenen Jahr in einem Monatsberichtsartikel im Detail dargelegt. In aller Kürze: Angesichts zunehmender Engpässe auf dem Arbeitsmarkt – Stichwort demografischer Wandel – sind wir auf Produktivitätswachstum angewiesen, wenn wir unseren Wohlstand wahren wollen. Das Produktivitätswachstum aber ist seit etlichen Jahren rückläufig. Und das, obwohl davon letztlich unser Wohlstand abhängt. Der Nobelpreisträger Paul Krugman brachte die Bedeutung der Produktivität auf den Punkt – vielleicht ist dieser Satz hier nicht so bekannt wie in der Welt der Ökonomen. Paul Krugman sagte: Productivity isn't everything, but, in the long run, it is almost everything.
Eine große Chance für höheres Produktivitätswachstum bieten die Digitalsektoren. Diese haben um die Jahrtausendwende erheblich zur Stärkung der Produktivität beigetragen. Allerdings haben die Effizienzgewinne in den Digitalsektoren in den vergangenen anderthalb Jahrzehnten nicht zuletzt in Deutschland erkennbar nachgelassen.[1] Hierzu passt, dass Deutschland bei der Digitalisierung hinterherhinkt. Dieser Meinung waren 95 Prozent von jüngst befragten Führungsspitzen aus Politik und Wirtschaft.[2] Gleichzeitig bieten die künstliche und insbesondere die generative künstliche Intelligenz Potenzial für mehr Wachstum.[3]
Gerade für Deutschland gilt also: Die Chancen weiterer Digitalisierung sollten unbedingt gehoben werden! Nötig wären, erstens, mehr Investitionen in Digitalisierung in der gesamten Wertschöpfungskette. Das betrifft in erster Linie die Privatwirtschaft. Aber auch die öffentliche Hand ist hier gefragt, zum Beispiel mit Verwaltungsvorgängen, die sich digital einfach und schnell erledigen lassen. Nötig wäre es, zweitens, die digitalen Kompetenzen zu stärken – im Bildungssystem und am Arbeitsmarkt. Und dann ginge, drittens, vielleicht auch die deutsche Skepsis gegenüber der Digitalisierung zurück. Noch vor einem Jahr dachte nur eine überschaubare Minderheit von Befragten beim Begriff Digitalisierung an „künftigen Wohlstand“ – es waren nur 29 Prozent.[4] Hier brauchen wir dringend eine andere Haltung. Diese Veranstaltung trägt dazu sicherlich bei.
3 Cyberattacken als spezifische Herausforderung
Dabei dürften die meisten von Ihnen hier nicht nur die Chancen weiterer Digitalisierung vor Augen haben, sondern auch die Risiken. In einer Befragung unter Risikomanagern in diesem Jahr wurden zum dritten Mal in Folge Cyberrisiken als größtes Unternehmensrisiko genannt.[5] Das gilt für Deutschland und auch international. Jedes dritte Unternehmen wurde hierzulande in den vergangenen zwei Jahren Opfer von Cyberkriminalität.[6] Und die Schäden aufgrund von Cyberangriffen beliefen sich im vergangenen Jahr hierzulande laut dem Verband Bitkom auf knapp 150 Milliarden Euro.[7]
Dabei müssen wir von einem hohen Dunkelfeld ausgehen. Laut BKA wird nur einer von zehn Fällen von Cyberkriminalität angezeigt. Die Betroffenen fürchten Ansehensverlust und Schadensersatzklagen. Das ist durchaus problematisch. Denn je mehr wir über Cyberkriminalität wissen, umso bessere Abwehrmaßnahmen können entwickelt werden. Und die Aufklärungsquote könnte steigen; aktuell liegt sie bei jedem dritten Fall. Resümierend schreibt das Bundesamt für Sicherheit in der Informationstechnik in seinem aktuellen Bericht über die Informationssicherheit in Deutschland: Die Bedrohung im Cyberraum ist … so hoch wie nie zuvor.
[8]
Dabei möchte ich auf drei spezifische Entwicklungen hinweisen. Erstens, „Crime-as-a-Service“ hat sich als Geschäftsmodell inzwischen etabliert: Cyberattacken werden als Dienstleistung angeboten und auf Bestellung ausgeführt. Zweitens verursachen immer mehr Angriffe aus dem Ausland die Schäden.[9] Und die Vorteile der internationalen Arbeitsteilung nutzen inzwischen auch die Cyberkriminellen. Drittens nehmen politisch motivierte Cyberattacken zu, teils von Staaten, teils von Seiten der organisierten Kriminalität, teils von „Hacktivisten“. Sie zielen oft auf kritische Infrastrukturen. Oder sie verfolgen Desinformationskampagnen. Oder beides. Und nicht selten werden gleichzeitig auch finanzielle Interessen verfolgt.
Aus diesem Täterprofil ergeben sich – nur konsequent – die bevorzugten Ziele der Angreifer. Erstens: zahlungskräftige Unternehmen, von denen hohe Lösegeldzahlungen erpresst werden könnten. Finanzinstitute sind hier besonders betroffen. Zweitens: zunehmend auch mittlere und kleinere Unternehmen, die weniger in die IT-Sicherheit investieren. Und drittens: öffentliche Einrichtungen wie Hochschulen, Gesundheitsversorger, Flughäfen und zunehmend auch Behörden.[10] Jeder von Ihnen hat vermutlich Fälle vor Augen: vom Angriff auf die Frankfurter Universitätsklinik im vergangenen Oktober über den auf die US-Tochter der Industrial and Commercial Bank of China im November bis zum Bundeswehr-WebEx-Fall im Februar.
Dabei spielen den Angreifern verschiedene Entwicklungen in die Hände – Entwicklungen, die große Produktivitätsfortschritte versprechen. Da gibt es zunächst eine immer stärkere Vernetzung zwischen Institutionen und ihren Dienstleistern. So kommt es vermehrt zu „Supply Chain Attacken“. Auch die Cloud birgt Risiken. Sie steigert die Abhängigkeit vom Provider, insbesondere, wenn viele Services bei einem Provider liegen. Abhängig vom Standort der Cloud gibt es Sorgen über den Zugriff von Behörden anderer Staaten. Und nun kommt die künstliche Intelligenz hinzu. Angriffe laufen automatisierter, schneller, professioneller. Bilder, Videos und Stimmen werden immer besser manipuliert. Und die Angreifer reagieren schneller auf Schutzmaßnahmen der Angegriffenen. Beide prominente Typen von Angriffen bekommen so besondere Schlagkraft: die DDoS-Attacken, die operative Prozesse stören und die Systeme unverfügbar machen, und Angriffe mit Ransomware, bei denen Daten und Programme verschlüsselt werden, um Lösegeld zu verlangen.
Meine Damen und Herren, ich möchte Ihnen vor dem Dinner nicht den Appetit verderben. Das muss auch nicht sein. Denn es gibt Schutzmaßnahmen, die ebenfalls kontinuierlich verbessert werden können. Im Folgenden werde ich kurz darauf eingehen, was wir in der Bundesbank als sinnvolle Schutzmaßnahmen ansehen.
4 Schutzmaßnahmen gegen Cyberattacken
Da sind zunächst die technologischen Sicherheitsmaßnahmen. Sie sind die erste Abwehrlinie. Der große Game Changer, der zentrale Hebel für Informationssicherheit ist „Secure by design“. Schon beim Konzipieren und Einführen neuer IT-Lösungen und ‑Services müssen Sicherheitsaspekte von Beginn an berücksichtigt werden. Sie am Schluss draufzusetzen, ist keine gute Idee – weder für die Effizienz noch für die Effektivität. Sie müssen vielmehr das Design prägen. Dabei sollten Hersteller die Sicherheitsoptionen standardmäßig einschalten, Stichwort „Secure by default“.
Zudem streben wir an, dass unsere IT-Lösungen standardisiert, zentralisiert und automatisiert sind; auch das macht sie resilient gegenüber Cyberattacken. Wird eine Public Cloud genutzt, so ist der Informationssicherheit besondere Aufmerksamkeit zu schenken. Und schließlich macht künstliche Intelligenz nicht nur die Angreifer besser; das kann auch für die Abwehr gelten. Cyberangriffe können also schneller erkannt und Sicherheitslücken schneller geschlossen werden. Schließlich möchte ich eine automatisierte, rund um die Uhr laufende Angriffsabwehr nennen.
Die Europäische Union und das Eurosystem, also die EZB und die nationalen Zentralbanken der Euroländer, setzen weiter auf Penetrationstests. Ab 2025 werden die Finanzmarktteilnehmer in der Europäischen Union den Digital Operational Resilience Act (DORA) anwenden müssen. Sie werden ihre operationale Resilienz regelmäßig überprüfen müssen. Dabei liegt die Gesamtverantwortung für das Risikomanagement bei der Geschäftsleitung. Sie muss für kontinuierliche Updates, proaktives Schwachstellenmanagement und präventive Maßnahmen sorgen. Automatisierte Tests können zusätzlich einen wertvollen Beitrag zur IT-Sicherheit leisten. Bedrohungsorientierte Penetrationstests bleiben aber nach Ansicht auch unserer Fachleute ein unverzichtbarer Bestandteil eines umfassenden Cybersicherheitsprogramms. Denn solche Tests nutzen die menschliche Kreativität und decken die ganze Bandbreite möglicher Angriffe ab, auch Menschen und den physischen Zugang zu den Instituten.
Die höheren Anforderungen für Informationssicherheit auf europäischer Ebene halte ich angesichts der zentralen Rolle des Finanzsektors für unsere Wirtschaft für richtig. Erfolgreiche Angriffe können hier erhebliche Schäden verursachen. Und sie können weit über das betroffene Institut und die Branche hinausgehen und einen systemischen Effekt haben – mit ernsten Folgen für die Realwirtschaft und die Öffentlichkeit. Insofern muss die Latte für Informationssicherheit hier besonders hoch gelegt werden.
Nach den technologischen Maßnahmen komme ich nun zur zweiten Abwehrlinie gegen Cyberattacken: zu den organisatorischen Maßnahmen. Zunächst einmal muss ein optimiertes Risikomanagement ein Bollwerk gegen Cyberattacken sein. Kommt es aber doch zu einer Attacke, so muss sie zuverlässig erkannt werden. Deshalb sollten die Protokolldateien kontinuierlich abgeglichen werden mit Informationen und Mustern, die auf einen Angriff hindeuten. Und natürlich müssen sodann schnell Gegenmaßnahmen ergriffen werden. Grundsätzlich geht es aber darum, die Geschäftsprozesse widerstandsfähig zu gestalten. Störungen sollen nicht nur technisch, sie müssen auch organisatorisch beherrscht werden. Ein Unternehmen muss also in der Lage sein, in einer Angriffssituation wesentliche Services aufrechtzuerhalten. Dies kann mit alternativen Standorten und Verfahren ermöglicht werden.
Vielleicht ist für Sie interessant, welcher Wandel sich gegenwärtig in der Bundesbank bei unserer IT-Sicherheitsorganisation abzeichnet. Gerade sind wir im Rahmen unseres internen Programms „Wandel“ dabei, die Bundesbank digitaler, agiler und damit zukunftsfähiger zu gestalten. Hierzu gehört, die digitale Informationssicherheit umfassend zu betrachten. Wir sehen Informationssicherheit dabei immer weniger als Aufgabe der IT, sondern vielmehr als teamübergreifende Verantwortung. Produktverantwortliche Stellen und agile Teams innerhalb und außerhalb der IT arbeiten zunehmend daran, die Informationssicherheit gemeinsam zu gewährleisten. Hier braucht es Zusammenarbeit und Informationsaustausch. Und auch hier wird es darum gehen, die neue agile Organisation als Chance zu begreifen: als Chance, das Sicherheitsverständnis und die Informationssicherheit in der gesamten Bundesbank zu stärken und zu verankern – und damit den Schutz sämtlicher digitaler Informationen.
Und damit komme ich zur dritten Abwehrlinie gegen Cyberattacken – vielleicht der Wichtigsten: Es sind die Menschen, die Beschäftigten. Sie zu sensibilisieren für die allgegenwärtigen Gefahren von Cyberangriffen, sie kontinuierlich zu schulen, ist entscheidend für die Informationssicherheit in einem Unternehmen, in einer Institution. Das wird in der Unternehmenswelt so gesehen. Zwei Drittel von befragten Unternehmen gaben bei einer ganz aktuellen Studie an, dass Cyberkriminalität besonders begünstigt würde von einer mangelnden Sicherheitskultur und einem mangelnden Sicherheitsverständnis bei Beschäftigten.[11] Allerdings setzen deutlich weniger dieser befragten Unternehmen auf Schulungen, nämlich nur gut die Hälfte. Gleichzeitig berichten ähnlich viele von Problemen bei der Weiterbildung zum Thema Prävention.
Bei der Bundesbank gibt es bereits seit vielen Jahren ein breites Sensibilisierungskonzept mit bankweiten Kampagnen, Anti-Phishing-Trainings und Webinaren zu Cybergefahren. Gerade haben wir eine neue Kampagne zum Vertraulichkeitsschutz gestartet. Sie deckt auch Aspekte der Informationssicherheit ab. Der Vorstand erhält wöchentlich einen Bericht über Veränderungen der Gefährdungslage. Alle drei Monate geht ein ansprechend gestalteter Newsletter „Mission Security“ an alle Beschäftigten. Und es gibt regelmäßige Beiträge in unserem Intranet zur Informationssicherheit. So arbeiten wir konsequent daran, unsere Beschäftigten zu sensibilisieren und zu verantwortungsvollem Verhalten zu bewegen. Dabei setzen wir auf die Freiwilligkeit: Unsere Angebote kommen mit einem Augenzwinkern statt mit erhobenem Zeigefinger daher. Und sie vermitteln Wissen, das im beruflichen und auch im privaten Kontext genutzt werden kann. Klare Leit- und Richtlinien und optimierte Informationssicherheitsprozesse sind dafür eine selbstverständliche Voraussetzung.
Eine Herausforderung, die die ganze Wirtschaft zunehmend betrifft, muss jedoch auch hier genannt werden: der Fachkräftemangel. Ohne qualifizierte Sicherheitsexpertinnen und -experten geht es bei den technologischen und organisatorischen Abwehrlinien nicht. Nur sie können die IT-Systeme und die Sicherheitsprozesse kontinuierlich überprüfen und fortentwickeln. Diese Fachleute sind aber rar. Gemäß diesjährigem Cyberreport der Schwarz-Gruppe fehlen aktuell 400.000 Fachleute für Informationssicherheit in Europa. Und dabei werden perspektivisch doch eher mehr von ihnen gebraucht.[12] Auch wir als Bundesbank müssen uns auf dem Arbeitsmarkt mächtig ins Zeug legen, selbst wenn wir von unseren Beschäftigten sehr gute Noten als Arbeitgeber bekommen.
5 Schluss
Meine Damen und Herren, eine der Grundregeln für einen Beitrag vor einem Essen lautet: Strapaziere die Geduld Deiner Zuhörerinnen und Zuhörer nicht. Daran will ich mich halten.
Ich habe Ihnen die volkswirtschaftlichen Chancen und die Risiken der Digitalisierung skizziert. Und ich habe Abwehrlinien gegen Cyberkriminalität genannt. Alle, die Verantwortung tragen, sollten diese Abwehrlinien in ihrer Institution konsequent aufbauen und stärken. Nur so können sie die Resilienz ihrer Informationssysteme erhöhen, Angriffe abwehren und Schäden mindern. Als Bundesbank nehmen wir diese Aufgabe besonders ernst. Und wir tun dies auch mit Blick auf die von uns beaufsichtigten hiesigen Finanzinstitute. Und tatsächlich gab es bei uns im vergangenen und in diesem Jahr keinen gravierenden IT-Sicherheitsvorfall. Dafür, dass dies so bleibt, werden wir weiter mit Nachdruck arbeiten. Wir werden Prävention, Detektion und Reaktion weiter verstärken. Indem wir die Risiken konsequent begrenzen, können wir als Bundesbank die Chancen der Digitalisierung in unserer Arbeit nutzen. Ich hoffe, dass auch die Unternehmen die Chancen der Digitalisierung umfassend nutzen – zum Wohle unserer Volkswirtschaft.
Und damit danke ich Ihnen für Ihre Aufmerksamkeit.
- Deutsche Bundesbank (2023), Zur Bedeutung der Digitalisierung für die Entwicklung der Arbeitsproduktivität, Monatsbericht, März 2023.
- European Center for Digital Competitiveness (2024), Digitalreport 2024, S. 12.
- Vgl. Acemoglu, Daron (2024), The simple macroeconomics of AI, NBER-Working Paper 32487, May 2024; außerdem McKinsey (2023), The Economic Potential of Generative AI, sowie Goldman Sachs (2023), The Potentially Large Effects of Artificial Intelligence on Economic Growth.
- European Center for Digital Competitiveness (2023), Digitalreport 2023, S. 28.
- Allianz Commercial (2024), Allianz Risk Barometer 2024
- KPMG (2024), e-Crime in der deutschen Wirtschaft 2024, S. 7.
- Bundesministerium des Inneren und für Heimat (2024): Cyberkriminalität erneut gestiegen: Sicherheitsbehörden zerschlagen kriminelle Infrastrukturen
- Bundesamt für Sicherheit in der Informationstechnik (2023), Die Lage der IT-Sicherheit in Deutschland 2023
- Vgl. BKA: Cybercrime - Bundeslagebericht 2023
- Vgl. BKA: Cybercrime - Bundeslagebericht 2023, S. 4f sowie Correctiv (2024), Pro-russische Internetangriffe: BKA ermittelt.
- VglKPMG Deutschland (2024), Computerkriminalität bleibt eine ernste Gefahr für Unternehmen, S. 8.
- Schwarz Digital GmbH & Co. KG (2024), Cyber Security Report, S. 55.