„IT-Sicherheit muss im Handwerk von Anfang an mitgedacht werden“

ZDH-Geschäftsführer Karl-Sebastian Schulte sprach mit Benjamin Stiebel vom Behörden Spiegel über die Herausforderungen gerade kleiner Handwerksbetriebe, für IT-Sicherheit zu sorgen, und über die bestehenden Unterstützungsangebote für den Weg zu mehr IT-Sicherheit.

Herr Schulte, wenn von einer angespannten Cyber-Sicherheitslage für die deutsche Wirtschaft die Rede ist, denkt man vor allem an Unternehmen mit komplexen IT-Strukturen. Wie sehr ist das Handwerk in Deutschland betroffen?
Zu denken, das Handwerk bliebe verschont, wäre ein Trugschluss. Wir sind in sehr vielen Bereichen schon weitgehend digitalisiert, und damit gehen leider auch Risiken einher. Das beginnt bei vernetzten Produktionsprozessen mit computergesteuerten Verfahren wie CNC. Viele Handwerksunternehmen arbeiten heute mit Trackingsystemen, d. h. das Management von Werkzeugen, Maschinen und dem Fuhrpark läuft oft schon digital. Nicht wenige sind Teil industrieller Lieferketten und als Zulieferer in digitale Kommunikationssysteme eingebunden. Auch der Umgang mit IT und Daten im Servicebereich nimmt zu. Ich denke da an Themen wie Gebäudeautomation und Predictive Maintenance, wo vernetzte Sensoren im Spiel sind. Auch die kleinsten Unternehmerinnen oder Unternehmer arbeiten mittlerweile im digitalen Büro mit Geschäfts- oder Kundendaten, die geschützt werden wollen. Eigentlich gibt es kaum einen Betrieb, der nicht digitale Devices und Kanäle einsetzt. Entsprechend ist es ein enorm wichtiges Anliegen, diese IT-Strukturen und digitalen Ökosysteme sicher zu halten.

Woran fehlt es den Betrieben, um Ihre IT sicher aufzustellen?
Mit Betriebsgrößen von häufig zwischen 5 und 50 Mitarbeiterinnen und Mitarbeitern haben wir natürlich andere Herausforderungen als industrielle Mittelständler. In der Regel gibt es keinen CIO oder einen speziell dafür zuständigen Sicherheitsfachmann, sondern die Aufgaben liegen bei der Inhaberin oder dem Inhaber. Und in diesen eher kleineren Betrieben muss sich teils auch erst einmal r die nötige Sensibilität für das Problem entwickeln. Manch einer glaubt, sein Unternehmen wäre sowieso kein interessantes Ziel einer Cyber-Attacke, und sieht keine Notwendigkeit, sich zu kümmern. Ist das Risikobewusstsein vorhanden, liegt die Herausforderung natürlich darin, mit begrenzten Ressourcen IT-Sicherheitsmaßnahmen umzusetzen. Dazu kommt die Frage, ob überhaupt die geeigneten Tools am Markt verfügbar sind, um branchenspezifische Bedarfe zu decken. Viele Unternehmen arbeiten auch mit IT-Dienstleistern und Beratern zusammen. Allerdings ist es nicht leicht, herauszufinden, welche Anbieter eigentlich die richtigen für kleine Unternehmen oder für bestimmte Branchen sind. Da würde ich mir mehr Transparenz wünschen.

Wie können Sie als Verband den Unternehmerinnen und Unternehmern unter die Arme greifen?
Es ist sehr wichtig, zu sensibilisieren und aufzuklären., dabei belassen wir es aber nicht.Wir legen auch ganz konkrete Dinge auf den Tisch. In Kooperation mit dem BSI haben wir ein IT-Grundschutzprofil für unsere Betriebe erstellt. Dazu kommt ein sogenannter Routenplaner zur Cyber-Sicherheit vom Kompetenzzentrum Digitales Handwerk. Das sind ganz wichtige Orientierungshilfen, bei denen wir für unsere Betriebsgrößen und für eine typische Geschäftsprozessstruktur im Handwerk zeigen, wie man ein IT-Sicherheitskonzept konkret umsetzen kann. Wir organisieren außerdem über unsere Verbände und Kammern ein umfangreiches Beratungsangebot für den Bereich Digitalisierung und Transformation – da spielt Cyber-Sicherheit eine ganz zentrale Rolle. Was mich außerdem umtreibt, ist das Thema Notfallmanagement. Also was können kleine Betriebe tun, wenn Schadsoftware den Betrieb lahmgelegt hat? Da bräuchte es branchenübergreifend eine Art Notfallhilfe-Plattform, an die sich jeder Betroffene wenden kann.

Was wünschen Sie sich von staatlicher Seite, um das Niveau der Informationssicherheit im Handwerk nachhaltig erhöhen zu können?
Wir brauchen eine robuste staatliche Cyber-Sicherheitsarchitektur, um das Thema insgesamt weiter voranzutreiben. Das BSI ist da ein entscheidender Nukleus, der in Zukunft noch weiter gestärkt werden sollte. Vor allem muss der Wirtschaft, aber auch der öffentlichen Hand noch eindringlicher vermittelt werden, dass Investitionen in die IT-Sicherheit absolut notwendig sind. Das muss Teil der Digitalisierung von Geschäftsmodellen und Prozessen sein und sollte sich auch entsprechend deutlich in der Förderkulisse für Digitalisierungsvorhaben widerspiegeln.