Im Dschungel der Cyber-Regulierungen – Die Cyber-Landscapes schaffen Abhilfe

© Unsplash/nasa

Wenn deutsche Unternehmen in anderen Ländern investieren wollen, müssen sie sich auch mit den Cybersicherheitsregulierungen eines jeden Landes vertraut machen. Denn im Zeitalter der Digitalisierung ist dies von zunehmender Bedeutung – insbesondere angesichts der steigenden Zahl an Staaten, die Cybersicherheitsgesetze einführen. BDI und Deloitte haben gemeinsam ein neues Tool entwickelt, welches den Status Quo der Cybergesetzgebung in fünf interaktiven Weltkarten darstellt – die sogenannten Cyber Landscapes.

Im Jahr 2022 wird jeder Deutsche im Schnitt 9,7 vernetzbare Gegenstände, wie beispielsweise Smartphones, Smart Home-Geräte und Computer, besitzen. Die Digitalisierung hat jedoch nicht nur Auswirkungen auf Privathaushalte, sondern auch auf andere Bereiche wie Lieferketten, industrielle Fertigungsprozesse und die Landwirtschaft. Die zunehmende Digitalisierung von Prozessen über Branchen hinweg führt dabei zu einer steigenden Verwundbarkeit gegenüber Hackerangriffen sowie anderen Formen der Cyberkriminalität. Insbesondere Unternehmen sind von hohen Kosten durch erfolgreiche Cyberangriffe betroffen. Aktuelle Studien zeigen, dass ein durchschnittlicher Cyberangriff einen Schaden in Höhe von schätzungsweise vier Millionen Euro verursacht. Bis Ende 2019 wird der globale, durch Ransomware (Schadsoftware) verursachte Schaden zudem auf 11,5 Milliarden US-Dollar steigen. Zudem muss davon ausgegangen werden, dass Ende 2019 alle 14 Sekunden ein Unternehmen durch Ransomware angegriffen wird –  im vergangenen Jahr belief es sich noch auf  einen Angriff alle 40 Sekunden. Gleichzeitig hat nach Angaben des Deloitte Cyber Security Report 2018 das Risikobewusstsein unter deutschen Führungskräften signifikant abgenommen.

Cybersicherheit: Unterschiedliche Staaten, unterschiedliche Ansätze

Regierungen reagieren auf die steigende Gefahrenlage mit der Einführung von Cybersicherheitsregulierungen. Beispielsweise hat das deutsche Bundesministerium des Innern, für Bau und Heimat (BMI) jüngst ein Zweites IT-Sicherheitsgesetz angekündigt. Doch nicht nur Deutschland hat ein eigenes Cybersicherheitsgesetz. Der European Cyber Defense Report 2018 von Deloitte zeigt, dass alle europäischen Staaten bereits über eine nationale Cybersicherheitsstrategie verfügen: Hierin haben die Staaten ihre eigenen Cybersicherheitsziele identifiziert, die verantwortlichen Stellen benannt sowie für den Fall eines Cybersicherheitsvorfalles öffentliche und private Verantwortlichkeiten definiert. Folglich müssen sich Unternehmen, die in anderen Staaten unternehmerische Aktivitäten planen, mit diesen landesspezifischen Vorgaben vertraut machen. In diesem Zusammenhang ist es besorgniserregend, dass nicht einmal die Hälfte aller Führungskräfte in Unternehmen davon ausgeht, dass es Cybersicherheitsregulierungen gibt, die für das eigene Unternehmen gelten.

Neben den europäischen Staaten haben auch zahlreiche Regierungen außerhalb Europas eine eigenständige nationale Cybersicherheitsstrategie entwickelt. Da jedes Land seine eigene Definition für Schlüsselbegriffe wie „Kritische Infrastruktur“, „Nationale Sicherheit“ und „Daten im öffentlichen Interesse“ entwickelt hat, haben sich unlängst Debatten über etwaige intendierte (politische und ökonomische) Nebeneffekte entsponnen. Dies war insbesondere der Fall beim chinesischen nationalen Cybersicherheitsgesetz. Seit der Einführung des chinesischen Cybergesetzes im Jahr 2017 verfolgt China den Schutz der nationalen Sicherheit auch zunehmend im Cyberraum: Beispielsweise, indem Unternehmen dazu verpflichtet werden, all jene Daten, die mit ihren Geschäftsaktivitäten in China zusammenhängen, in China speichern (Lokalisierungsanforderung) und auf Verlangen herausgeben müssen. Unternehmen sollten sich dieser und weiterer Vorgaben bewusst sein, da sie weitreichende Folgen für unternehmensspezifische Handlungsempfehlungen zum Schutz geistigen Eigentums haben können.

Unterschiedliche Cyberregulierungen haben Auswirkungen für Unternehmen

Wie das Beispiel China eindrucksvoll verdeutlicht, sollten sich deutsche Unternehmen, die in Drittstaaten Geschäftsaktivitäten anstreben, über die jeweils geltenden landesspezifischen Regulierungen informieren. Die entsprechenden gesetzlichen Vorgaben können Auswirkungen auf Melde- und Berichtspflichten, den Umgang mit personen- und nicht-personenbezogenen Daten sowie auf die Pflicht zum Abschluss einer Cyberversicherung haben. Insbesondere sollten sich Unternehmen darüber informieren, ob ihr Unternehmen als Kritische Infrastruktur eingestuft wird, da dies vielfach besondere Pflichten nach sich zieht.

Über das Projekt: Die Cyber Landscapes von BDI und Deloitte

Mit den interaktiven Cyber Landscapes wollen BDI und Deloitte eine kompakte Übersicht über die Cybersicherheitsregularien in verschiedenen Staaten weltweit bieten. Das Tool richtet sich gleichermaßen an Unternehmen, Politiker sowie weitere Interessierte. Die Staaten wurden basierend auf der Höhe der dortigen ausländischen Direktinvestitionen (FDI) deutscher Unternehmen ausgewählt. Die Karten geben den aktuellen Stand der Cyberregulierungen (April 2019) wieder und werden in unregelmäßigen Abständen aktualisiert. Branchenspezifische Cybersicherheitsregulierungen wurden nicht in die Erhebung miteinbezogenen. Ebenso bleiben allgemeine Datenschutzbestimmungen sowie die spezifischen gesetzlichen Vorgaben für den Finanzsektor unberücksichtigt.

Die Cyber Landscapes können eine vollumfängliche Rechtsberatung nicht ersetzen. Sie dienen vielmehr dem Awareness-Raising. Für etwaige Fehler, unvollständige und veraltete Angaben können BDI und Deloitte nicht haftbar gemacht werden.