Die Cyber-Bedrohungslage ist „so hoch wie noch nie“, warnt das Bundesamt für Sicherheit in der Informationstechnik in seinem aktuellen Lagebericht. Bei vielen Unternehmen fehlt es jedoch weiterhin an ausreichendem Wissen und Bewusstsein über IT-Sicherheitsrisiken sowie grundlegende Sicherheitsmaßnahmen.
Berliner Politik und Wirtschaft sind gemeinsam gefordert, die Risiken zu minimieren, Unterstützungsangebote zu schaffen und das IT-Sicherheitsniveau zu heben. Zudem gilt es, die Abhängigkeit von einzelnen Soft- und Hardwareanbietern zu reduzieren.
Schäden in Höhe von 206 Mrd. Euro sind deutschen Unternehmen 2022 durch Cyberangriffe entstanden. (Quelle: bitkom)
Nachdem der Begriff bereits auf Bundesebene als Schlagwort etabliert wurde, verankert der neue Senat „Digitale Souveränität“ nun ebenfalls als einen der Grundsätze der Berliner Digitalpolitik. Laut Koalitionsvertrag wird darunter verstanden, dass Institutionen und Individuen ihre Rollen in der digitalen Welt „selbstständig, selbstbestimmt und sicher“ ausüben können.
Digitale Souveränität klar definieren
Die Intention ist begrüßenswert. Doch souveräne Infrastruktur, Soft- und Hardware haben ihren Preis. Abhängigkeiten von internationalen Marktführern können nur reduziert werden, wenn wir als Stadt gewillt sind, Zeit und Ressourcen zu investieren, um souveräne Alternativen zu entwickeln.
Es bedarf daher einer differenzierten Auseinandersetzung damit, was Digitale Souveränität in der Praxis konkret bedeuten soll und wie sich diese gezielt stärken lässt. Diese Diskussion muss die Politik gemeinsam mit Wirtschaft und Zivilgesellschaft führen und einen breiten Konsens zum Verständnis von Digitaler Souveränität schaffen.
Ein Weg zu mehr Digitaler Souveränität bietet die Verwendung von Open-Source-Lösungen. Auch hier ist jedoch eine differenzierte Abwägung geboten, wann solche Lösungen bevorzugt eingesetzt werden sollten. Eine zu generalistische Auslegung des Prinzips „Public Money for Public Code“ erachten wir als wenig zielführend.
Differenzierter Vorrang für Open Source
Stattdessen geben eine fallabhängige Bevorzugung von Open-Source-Lösungen in der Vergabepraxis sowie die Einführung einer Begründungspflicht bei Nichtbeschaffung von Open Source mehr Flexibilität, um die wirklich beste Lösung für den konkreten Bedarf zu finden. Es sollte daher definiert werden, in welchen Bereichen Open-Source-Lösungen Vorrang genießen sollen und in welchen stärker auf proprietäre Anwendungen und Systeme zurückgegriffen werden kann. Dabei gilt, dass bei Vergaben zu Open-Source-Lösungen unbedingt auch langfristige Wartungs- und Sicherheitsfragen mitgedacht werden müssen.
Open-Source-Kompetenzen schaffen
Um leistungsstarke Open-Source-Anwendungen und -Anbieter langfristig zu fördern, müssen das Berliner Open-Source-Ökosystem und die hiesigen Kompetenzen gestärkt werden. Das geplante Open-Source- Kompetenzzentrum beim ITDZ ist ein sinnvoller Baustein.
Darüber hinaus bieten die Vergabe von Open-Source-Stipendien oder geförderte Open-Source-Sabbaticals nach Münchener Vorbild spannende Formate, um Innovationen und Engagement der Open-Source-Community in die Entwicklung souveräner IT in der Berliner Verwaltung zu leiten. Zudem ist bei der der Entwicklung von Open-Source-Lösungen der Blick aus Berlin wichtig. Wann immer möglich, sollte an Vorarbeiten angeknüpft, Synergien geschaffen und Verbundprojekte mit anderen Ländern entwickelt werden.
Digitale Souveränität bedeutet auch, dass Digitalisierung nur dann nachhaltig erfolgreich sein kann, wenn die ihr innewohnenden Sicherheitsrisiken minimiert werden. Das schließt auch den Umgang mit (KI-generierten) Falschinformationen oder Deep Fakes ein. Es braucht ein klares Mandat und Konzept des Landes, um die Fähigkeiten zur Prävention, Detektion und Reaktion auf IT-Sicherheitsvorfälle zu stärken.
IT-Sicherheitskooperation erleichtern
Dem hohen Bedrohungs- und Schadensniveau muss mit einer Aufstockung der Cyberkapazitäten bei den Sicherheitsbehörden begegnet werden. Dabei gilt jedoch: Cybersicherheit kennt keine Ländergrenzen, und verfügbare Ressourcen und IT-Fachkräfte sind begrenzt. Das Land muss daher die Kooperation mit der hiesigen IT-Sicherheitswirtschaft einerseits sowie mit Bundesakteuren wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) andererseits ausbauen und vereinfacht auf externe Expertise zurückgreifen können.
Zielgerichtete Unterstützung für KMU
Damit die Potenziale der (sicheren) Digitalisierung in der Breite der Berliner Wirtschaft ausgeschöpft werden, benötigen insbesondere kleine und mittelständische Unternehmen Unterstützung. Die zielgruppenspezifische Ansprache sowie Beratungs- und Unterstützungsangebote für KMU bleiben daher ein Schlüssel für mehr IT-Sicherheit in Berlin und Kernaufgabe von LKA, Verfassungsschutz und Digitalagentur. Letztere muss sich weiter als zentrale Anlaufstelle für Unternehmen in Digitalisierungsfragen etablieren und dabei mit ihrem Produktportfolio sowohl niederschwellige als auch reichweitenstarke Angebote bieten.
In der letzten IHK-Digitalisierungsumfrage gaben über die Hälfte der Berliner Betriebe die Kosten für IT-Sicherheitsmaßnahmen als großen Hemmfaktor an. Die erfolgreiche Digitalprämie sollte daher unter anderem im Sinne der IT-Sicherheitsförderung neuaufgelegt werden.
Das Förderinstrument und insbesondere das digitalisierte, leicht zugängliche Antragsverfahren haben sich bewährt. Zwar plant die Landesregierung laut Koalitionsvertrag die Fortführung der Digitalprämie, die Mittel im Haushalt sind jedoch für dieses Jahr noch einmal signifikant verringert worden.
Auch wenn die großzügige Ausstattung von 2021 gewiss nicht die Richtschnur ist, sollte das Förderprogramm den Digitalisierungsbedarfen und immensen Schäden für Wirtschaft und Gesellschaft durch IT-Sicherheitsvorfälle entsprechend ausgestattet werden.
STIMMEN AUS DER BERLINER WIRTSCHAFT
„Im Cyberraum wird mit harten Bandagen gekämpft. Wer einmal einen Cyberangriff in einem Unternehmen miterlebt hat, weiß, wie viel Zeit, Aufwand und Ressourcen es braucht, um wieder auf die Beine zu kommen. Wir müssen erreichen, dass IT-Sicherheit nicht als abstrakte Gefahr wahrgenommen wird, sondern als Grundvoraussetzung für langfristigen unternehmerischen Erfolg. Dafür müssen Politik, Behörden und Wirtschaft eng zusammenarbeiten und weiterhin Awareness für Risiken und Präventionsmaßnahmen schaffen.“
