[datensicherheit.de, 10.11.2025] Generative Künstliche Intelligenz (KI) revolutioniert offensichtlich nicht nur zahlreiche Branchen – sie schafft andererseits auch neue Angriffsflächen und sicherheitstechnische Herausforderungen. Der TÜV Rheinland benennt hierzu den beispielhaften Fall, wenn Unternehmen große Sprachmodelle in „Chatbots“, Assistenzsystemen oder automatisierten Entscheidungsprozessen einsetzen. Welche spezifischen Risiken bei der Nutzung von „Large Language Models“ (LLMs) entstehen, erörtert der TÜV Rheinland in seinem aktuellen Whitepaper „Ist Ihr KI-System sicher?“. Zudem werde aufgezeigt, wie Unternehmen ihre KI-Anwendungen effektiv absichern können.

Warnung vor Angriffen mittels Manipulation von Eingaben und KI-Trainingsdaten

Das vorliegende Whitepaper beschreibt demnach, wie KI-Systeme angegriffen werden können. Ein Beispiel seien sogenannte Prompt Injections, bei denen Angreifer mit ihrer Eingabe das Modell manipulierten, damit es sich unvorhersehbar verhalte oder Informationen preisgebe – „und zwar solche, die nicht zugänglich sein sollten“.

• Weitere Risiken seien der unsichere Umgang mit den Ergebnissen generativer KI – etwa, indem Nutzer nicht validierte Codes ausführten – und die Manipulation von Trainingsdaten durch einen Angreifer.

Sowohl Angriffe als auch der falsche Umgang mit KI-Ergebnissen könnten fatale Folgen haben – von Datenlecks über fehlerhafte Entscheidungen bis hin zu wirtschaftlichen Schäden. Daher sei ein systematisches Risikomanagement für Unternehmen unerlässlich: Nicht zuletzt forderten dies auch zunehmend Regulierungen wie der „EU AI Act“. „Unternehmen müssen ihre Sicherheitskonzepte anpassen, um den Risiken von KI-Systemen gerecht zu werden“, unterstreicht Daniel Hanke, Experte für KI-Sicherheit beim TÜV Rheinland.

Pentests als Erfolgsindikator für KI-Sicherheit

Eine der wirksamsten Maßnahmen, um Bedrohungen frühzeitig zu erkennen und Schwachstellen zu schließen, sei das „Penetration Testing“ (Pentest): Im kontrollierten Rahmen simulierten Fachleute dabei Angriffe auf KI-Systeme, um potenzielle Schwachstellen zu identifizieren und zu beheben.

• Methoden wie „Black Box“- und „Gray Box“-Tests würden dabei an die Anforderungen von generativer KI angepasst. „KI-Systeme sind komplex und intransparent. Das erfordert neue Testansätze“, so Hanke.

Abschließend führt er aus: „Durch regelmäßige ,Penetration Tests’ können Unternehmen ihre Systeme widerstandsfähig machen und somit regulatorische Vorgaben erfüllen. Außerdem stärken sie so das Vertrauen von Partnern und Kunden.“

Weitere Informationen zum Thema:

TÜVRheinland
Über uns

TÜV Rheinland, 2025
Wie Sie eigene LLMs mit Penetration Testing und Best Practices gegen Risiken wappnen

Linkedin
Daniel Hanke – TÜV Rheinland Group

IBM, Cole Stryker & Mark Scapicchio
Was ist generative KI und wie funktioniert sie?

Fraunhofer IESE, Patricia Kelbert & Dr. Julien Siebert & Lisa Jöckel, 12.12.2023
Was sind Large Language Models? Und was ist bei der Nutzung von KI-Sprachmodellen zu beachten?

EU Artificial Intelligence Act
Die Gesetzestexte

datensicherheit.de, 13.06.2025
Generative KI boomt – zunehmende Sicherheitsrisiken als Kehrseite der Medaille / Zwar ermöglicht Generative KI beispiellose Produktivitätssteigerungen, gleichzeitig führt sie jedoch auch zu neuen, komplexen Risiken

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 24.07.2018
Pentester finden gravierende IT-Sicherheitsschwachstellen in Unternehmen / Neuer Report „Under the Hoodie: 2018 – Lessons From a Season of Penetration Testing“ von Rapid7 veröffentlicht

[datensicherheit.de, 22.06.2025] Laut einer Meldung vom 11. Juni 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem TÜV-Verband eine neue repräsentative Umfrage zur Cybersicherheit in Unternehmen durchgeführt. Deren Ergebnisse seien in zweifacher Hinsicht „besorgniserregend“: Erstens habe ein Anstieg der Bedrohungslage verzeichnet werden müssen, zweitens zeigten die Umfrageergebnisse, „dass viele Firmen die Lage unterschätzen und die eigene Resilienz überbewerten“. Das BSI warnt daher eindringlich vor „trügerischer Sicherheit“.

Abbildung: TÜV-Verband

TÜV Cybersecurity Studie 2025: Cybersicherheit in deutschen Unternehmen

NIS-2: Für ca. 29.000 „wesentliche“ bzw „wichtige“ Einrichtungen ergeben sich erstmals gesetzliche Pflichten

Zudem habe nur etwa die Hälfte der Befragten angegeben, die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) zu kennen. Jedoch: „Mit der Umsetzung der NIS-2-Richtlinie in nationales Recht, die aufgrund der vorgezogenen Neuwahlen in Deutschland bisher nicht erfolgt ist, wird das BSI für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde.“

Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändere sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach der NIS-2-Richtlinie „wesentliche“ (essential enhttps://www.bsi.bund.detities) und „wichtige“ Einrichtungen (important entities) ergäben sich erstmals gesetzliche Pflichten.

Viele Unternehmen scheinen die Risiken zu unterschätzen

Dr. Michael Fübi, Präsident des TÜV-Verbands, kommentiert: „Die deutsche Wirtschaft steht im Fadenkreuz staatlicher und krimineller Hacker, die sensible Daten erbeuten, Geld erpressen oder wichtige Versorgungsstrukturen sabotieren wollen. Allerdings scheinen viele Unternehmen die Risiken zu unterschätzen.“

• Neun von zehn (91%) bewerteten ihre Cybersicherheit als „gut“ oder „sehr gut“. Zudem gebe jedes vierte Unternehmen (27%) an, dass IT-Sicherheit für sie nur eine „kleine“ oder „gar keine“ Rolle spiele.

Eine Mehrheit spreche sich allerdings für gesetzliche Vorgaben aus, um das Schutzniveau in der Wirtschaft zu erhöhen: 56 Prozent seien der Meinung, dass alle Unternehmen verpflichtet sein sollten, angemessene Maßnahmen für ihre Cybersecurity zu ergreifen. „Die Bundesregierung sollte die überfällige nationale Umsetzung der NIS-2-Richtlinie zügig verabschieden“, legt Fübi nahe.

Auf dem Weg zur „Cybernation Deutschland“ noch eine Menge Arbeit voraus

„Die Studie des TÜV-Verbandes zeigt, dass auf dem Weg zur ,Cybernation Deutschland’ noch eine Menge Arbeit vor uns liegt. Was mich besonders besorgt, ist die geringe Bekanntheit der NIS-2-Richtlinie“, so die BSI-Präsidentin, Claudia Plattner.

• Umso wichtiger sei ihre zügige Umsetzung in nationales Recht. Verständlicherweise wiesen Unternehmen darauf hin, „dass regulatorische Vorgaben herausfordernd sind“ – auch, weil sie zu Bürokratie und damit zu Mehraufwand führen könnten. Richtig umgesetzt könnten sie uns aber dabei helfen, die Resilienz unserer Wirtschaft umfassend zu erhöhen.

„Wir als BSI legen dabei unseren Schwerpunkt auf Hilfestellung und Kooperation – und unterstützen Unternehmen auch heute schon mit umfangreichen Informations- und Beratungsangeboten. Unser Credo lautet ‚Cybersicherheit vor Bürokratie‘.“ Dies betreffe übrigens auch den „Cyber Resilience Act“ (CRA), im Rahmen dessen das BSI die Übernahme der Marktüberwachung anstrebe.

Das BSI beobachtet, analysiert und bewertet IT-Sicherheit in fünf Dimensionen

Der CRA gibt ein Mindestmaß an Cybersicherheit für vernetzte Produkte auf dem EU-Markt vor. Als nationale Stelle für Zertifizierung und Standardisierung von Cybersicherheitsmaßnahmen verfügt das BSI nach eigenen Angaben über etablierte Strukturen, die schnell für die Marktüberwachung im Sinne des CRA nutzbar gemacht werden können.

Um die Anforderungen greifbarer zu machen, hat das BSI die „Technische Richtlinie TR-03183“ erarbeitet, in der die im CRA formulierten Anforderungen an Hersteller und Produkte übersichtlich beschrieben und erklärt werden. Als Cybersicherheitsbehörde Deutschlands beobachte, analysiere und bewerte das BSI die Lage der IT-Sicherheit in fünf Dimensionen und fungiere als zivile Verteidigungsmacht des Digitalen Raumes.

Weitere Informationen zum Thema:

TÜV VERBAND
TÜV Cybersecurity Studie 2025: Cybersicherheit in deutschen Unternehmen / Neue Bedrohungslage – besserer Schutz

TÜV VERBAND
TÜV Cybersecurity Studie 2025: Cyberbedrohungen wachsen, aber viele Unternehmen hinken beim Schutz hinterher. Die TÜV Cybersecurity Studie 2025 zeigt: KI-gestützte Angriffe nehmen zu, doch nur wenige Betriebe setzen KI zur Verteidigung ein. Die Studie liefert alarmierende Zahlen – und klare Handlungsempfehlungen für Politik und Wirtschaft.

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03183 Cyber-Resilienz-Anforderungen

datensicherheit.de, 20.06.2025
Cybersicherheit geht alle an: Interaktive Trainingsplattform CyberALARM für Unternehmen vorgestellt / Mit „CyberALARM“ soll eine praxisnahe, interaktive Plattform für mehr Cybersicherheit im Mittelstand, im öffentlichen Sektor und in Bildungseinrichtungen geboten werden

datensicherheit.de, 16.05.2025
Cyber Gangsta’s Paradise: THA-Professor für IT-Sicherheit macht mit Musikvideo auf den Cyber Resilience Act (CRA) aufmerksam / Mit der EU-Regulierung wird die digitale Sicherheit von Produkten wird zur Pflicht.

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.05.2025
Cybersicherheit: Deutsche Unternehmen sehen dringenden Handlungsbedarf / Laut einer QBE-Studie betreffen 64 Prozent der Cybervorfälle Schwachstellen in der Lieferkette. Dabei gehen zwei Drittel der Befragten gehen davon aus, dass sich das Budget für Cybersicherheit in den nächsten zwölf Monaten in ihrem Unternehmen erhöhen wird. 85 Prozent der Befragten sehen steigende Bedrohungen im Vergleich zum Vorjahr

[datensicherheit.de, 17.05.2025] In seiner Stellungnahme von 16. Mai 2025 geht der TÜV-Verband e.V. auf die Vorstellung des Programms des neuen Bundesdigitalministers, Dr. Karsten Wildberger, ein – dieser habe damit Richtung vorgegeben: „Verwaltung modernisieren, digitale Infrastruktur ausbauen, die Wirtschaft digital stärken.“ Der TÜV-Verband begrüßt diesen Ansatz „als wichtigen Schritt hin zu einer umsetzungsorientierten Digitalpolitik“.

Geopolitische Unsicherheiten, Rückstände in der Digitalisierung und verstärkte Bedrohungslage im Cyberraum dulden keinen Aufschub

„Nach einer langen Phase des digitalpolitischen Stillstands zeichnen sich nun konkrete Fortschritte ab“, kommentiert Marc Fliehe, Fachbereichsleiter „Digitalisierung und Bildung“ beim TÜV-Verband. Die Herausforderungen – von geopolitischen Unsicherheiten über Rückstände bei der Digitalisierung bis hin zur gestiegenen Bedrohungslage im Cyberraum – duldeten keinen Aufschub.

Fliehe unterstreicht: „Jetzt braucht es Geschwindigkeit, klare Zuständigkeiten und verlässliche Rahmenbedingungen. Wir brauchen einen echten ‚Digitalsprint‘!“ Es gehe nicht nur um das Nachholen versäumter Reformen, sondern vor allem darum, endlich in die Umsetzung zu kommen. „Die politischen Vorhaben müssen jetzt entschlossen in die Praxis überführt werden.“

Neu geschaffenes Bundesministerium für Digitalisierung und Staatsmodernisierung gut aufgestellt

Das neu geschaffene Bundesministerium für Digitalisierung-verband und Staatsmodernisierung (BMDS) ist aus Sicht des TÜV-Verbands dafür gut aufgestellt: „Ein eigenständiges Digitalministerium schafft die nötige politische Aufmerksamkeit für die Digitalisierung von Staat, Wirtschaft und Zivilgesellschaft, benötigt aber auch die entsprechenden Verantwortlichkeiten, Ressourcen und Prozesse.“ Der Verband hatte sich in der Vergangenheit wiederholt für ein eigenes Digitalministerium stark gemacht.

Aus Sicht des TÜV-Verbands wird die digitale Agenda der kommenden Jahre vor allem von Schlüsseltechnologien wie Künstlicher Intelligenz (KI), „Cloud“-Infrastrukturen, Cybersicherheit und Rechenzentren geprägt sein. „Souveränität ist heute ein zentraler Aspekt digitaler Sicherheit“, führt Fliehe aus und betont: „Das ,Schubladendenken’ hat ausgedient – heute wird Sicherheit als ganzheitliche und umfassende Notwendigkeit gesehen!“

Zur Umsetzung notwendiger Digitalisierungsprojekte starke Kooperationen essenziell

Mit Blick auf konkrete Projekte wie den „Deutschland-Stack“ (eine sichere IT-Infrastruktur für staatliche digitale Dienste), die Digitale Brieftasche („Wallet“) oder den beschleunigten Ausbau von Glasfaser und 5G ist der TÜV demnach bereit, einen Beitrag zu leisten. „Von AI über Bildung und Cybersicherheit bis zu Infrastrukturen im Weltraum – die TÜV-Häuser bauen ihre Digitalexpertise kontinuierlich weiter aus und stellen diese zur Verfügung.“

Um notwendige Digitalisierungsprojekte erfolgreich umzusetzen, sind laut Fliehe starke Kooperationen essenziell. Diese bildeten das Fundament für gegenseitige Unterstützung und einen vertrauensvollen Erfahrungsaustausch. Netzwerke wie die „Allianz für Cybersicherheit“ seien in den vergangenen Jahren weiter gewachsen und hätten sich noch stärker etabliert. „Die Aufgaben im Digitalen Raum sind groß. Unsere Zuversicht und unser gemeinsames Engagement sind es ebenfalls“, so Fliehe abschließend.

Weitere Informationen zum Thema:

Die Bundesregierung
Dr. Karsten Wildberger / Bundesminister für Digitales und Staatsmodernisierung

bitkom, 05.03.2025
Bitkom fordert Digitalpakt Deutschland / Deutschland-Stack, digitale Transformation und digitale Verwaltung im Mittelpunkt / Bitkom-Präsident Wintergerst fordert 100 Milliarden Euro für Deutschlands digitale Souveränität

Bundesministerium des Innern, 29.11.2023
Persönliche digitale Brieftasche für Bürgerinnen und Bürger: Sichere Identifizierung und Verwaltung amtlicher Dokumente mit dem Smartphone / Erster Architektur-Vorschlag für European Digital Identity Wallet veröffentlicht / Aufruf zur Beteiligung.

datensicherheit.de, 09.05.2025
Austausch über Stand der Cybersicherheit: Digitalminister Wildberger beim Antrittsbesuch im BSI / Digitalminister beabsichtigt, optimale Rahmenbedingungen zu schaffen, damit Deutschland als wettbewerbsfähiger und innovativer Digitalstandort wächst

datensicherheit.de, 30.04.2025
eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung / Mandat des Digitalministeriums entscheidend, nicht das Etikett, betont eco-Vorstandsvorsitzender Oliver Süme

datensicherheit.de, 30.04.2025
Bitkom-Glückwünsche an neuen Digitalminister / Mehr denn je muss Deutschland jetzt wettbewerbsfähig, innovativ und digital handlungsfähig werden

[datensicherheit.de, 22.04.2025] Der TÜV NORD nimmt Stellung zu dem Anliegen, Deutschland besser auf Katastrophen und Sicherheitsrisiken vorzubereiten. 2024 wurde hierzu der Entwurf eines Gesetzes zur Stärkung der Resilienz Kritischer Infrastruktur (KRITIS), das sogenannte KRITIS-Dachgesetz, auf den Weg gebracht. Nun sei die neue Regierung in der Pflicht, dieses Thema zeitnah aufzugreifen und mit einem soliden KRITIS-Dachgesetz eben Kritische Infrastrukturen zu schützen.

„KRITIS-Dachgesetz“ für Betreiber von Anlagen der Kritischen Infrastruktur eine Leitlinie

„Im Bereich Kritische Infrastruktur sehen wir, dass die Gefährdungslage mit dem Krieg in der Ukraine und weiteren Bedrohungen jetzt eine ganz andere ist als vor zehn oder fünfzehn Jahren. Dadurch sind Betreiber mit neuen Aufgaben konfrontiert, die auf sie zukommen – im Bereich Cybersecurity, aber auch beim physischen Schutz der Anlagen vor beispielsweise längeren Stromausfällen“, erläutert Hans Koopman, Geschäftsführer von TÜV NORD EnSys.

• Koopman fordert aus diesem Grund, die EU-Richtlinie zur Resilienz Kritischer Einrichtungen (Critical Entities Resilience, CER) kurzfristig in nationales Recht umzusetzen. Es dürfe durch den Regierungswechsel keine unnötigen Verzögerungen geben.

Das „KRITIS-Dachgesetz“ gibt Betreibern von KRITIS-Anlagen eine Leitlinie an die Hand, mit welcher ein deutschlandweit einheitliches hohes Sicherheitsniveau geschaffen werden soll – dazu gehören Anlagensicherung, aber auch Notfallpläne und Prozesse zur Verkürzung von Ausfallzeiten im Schadenfall und vieles mehr.

Für Deutschland sind KRITIS auf zehn Sektoren verteilt

In Deutschland werden KRITIS in zehn Sektoren unterteilt, die für das Funktionieren der Gesellschaft und Wirtschaft von entscheidender Bedeutung sind: Im Einzelnen sind das die Energie- und Wasserversorgung, die Produktion und der Vertrieb von Lebensmitteln, Informationstechnik und Telekommunikation, Transport und Verkehr, medizinische und Arzneimittel-Versorgung, das Finanzwesen, Sozialversicherungsleistungen und Grundsicherung, der Schutz der Weltrauminfrastruktur sowie die Beseitigung und das Recycling von Abfällen.

• Werden diese beeinträchtigt oder fallen aus, kann das erhebliche Auswirkungen auf die Öffentliche Sicherheit, die Wirtschaft und das gesellschaftliche Leben haben.

„Wir haben bei TÜV NORD viel Erfahrung in diesem Bereich, weil wir schon seit Jahrzehnten Hochrisikotechnologie wie kerntechnische Anlagen betreuen. Mit unserer Expertise in der Funktionalen Sicherheit sowie bei systematischen Risikoanalysen, der Bewertung von Mensch-Technik-Organisation und bei Cybersicherheit unterstützen wir Betreiber dabei, aktiv eine hohe Resilienz und Versorgungssicherheit zu schaffen“, so Koopman. Noch gebe es keine regulatorischen Anforderungen – es obliege daher den Betreibern, ihre Anlagen ausreichend zu schützen.

Geplantes Dachgesetz verpflichtet KRITIS-Betreiber zu regelmäßiger Risikobewertung und geeigneter -minimierung

Das geplante Dachgesetz soll KRITIS-Betreiber verpflichten, regelmäßig eine Risikobewertung ihrer Anlage vorzunehmen und geeignete Maßnahmen zur Risikominimierung zu implementieren. Dies umfasst auch die physische Sicherheit der Anlage.

• „Maßstäbe setzen hier bereits einige Rechenzentren, deren Betreiber aus eigenem Interesse einen hohen Sicherheitsstandard und ein entsprechendes Niveau an physischer Sicherheit vorweisen wollen“, berichtet Lars Wilke, „Lead Expert Physische Sicherheit von Infrastrukturen“ und „Data Center Lead Auditor“ bei TÜV NORD.

Ein interdisziplinäres Team befasse sich daher schon lange mit Umfeldrisiken wie geologischen Gefahren, Explosionsrisiken oder Hochwassergefährdungen, baulicher Sicherheit, Brandmelde- und Sicherheitssystemen, physischem Schutz der Datenverkabelung sowie der Verfügbarkeit und dem Schutz von Strom- und Kälteversorgungssystemen. Wilke: „Es gibt zahlreiche Stellschrauben für mehr Sicherheit, die wir analysieren und auch auf andere Objekte der Kritischen Infrastruktur anwenden können.“

„KRITIS-Dachgesetz“ begründet erweiterte Meldepflicht bei Beeinträchtigung der Resilienz Kritischer Einrichtungen

Ein weiterer Aspekt des „KRITIS-Dachgesetzes“ ist die erweiterte Meldepflicht bei Vorfällen, welche die Resilienz Kritischer Einrichtungen beeinträchtigen könnten. Dies soll eine schnellere Reaktion und bessere Koordination zwischen den betroffenen Akteuren ermöglichen, sowohl national als auch auf EU-Ebene.

• Zudem werde es schließlich um den Schutz sensibler Informationen gehen: „Gerade für Kritische Infrastrukturen sind strenge Sicherheits- und Datenschutzmaßnahmen unerlässlich, wenn Anwendungen mit künstlicher Intelligenz, KI, zum Einsatz kommen“, kommentiert Koopman. Er führt weiter aus: „Mit Analysen und Risikobewertungen tragen wir zur sicheren, effizienten und regelkonformen Integration von KI-Technologien in Deutschlands Industrie und Kritischen Infrastrukturen bei.“

Dabei gehe es beispielsweise um Fragestellungen zur anforderungsgerechten Anwendung von KI-Lösungen, denn mit Standard-Lösungen sei es hier meist nicht getan, gibt Koopman zu bedenken. Die Experten von TÜV NORD könnten eine Aussage darüber treffen, „ob die Implementierung eines bestimmten KI-Systems risikobehaftet ist und unterstützen bei der Umsetzung von Datenschutzmaßnahmen und Sicherheitsprotokollen, um die Einhaltung der DSGVO und den Schutz vor Cyber-Angriffen zu gewährleisten“.

Weitere Informationen zum Thema:

OpenKRITIS
KRITIS-Dachgesetz

Die Bundesregierung, 08.04.2025
KRITIS-Dachgesetz / Kritische Infrastruktur schützen

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

[datensicherheit.de, 31.07.2024] Der TÜV-Verband e.V. geht in seiner aktuellen Stellungnahme auf den mit gestaffelten Übergangsfristen in Kraft tretenden Europäischen „AI Act“ ein – der TÜV-Verband begrüßt demnach diese Regelung und fordert eine rasche Klärung offener Umsetzungsfragen. Das „TÜV AI.Lab“ entwickele zudem ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen und -Modellen – den „AI Act Risk Navigator“.

Abbildung: TÜV AI.Lab

AI Act Risk Navigator: „Classify your Risk according to the EU AI Act“

AI Act kodifiziert erstmals Regeln für KI

Der TÜV-Verband unterstützt nach eigenen Angaben das Inkrafttreten des europäischen „AI Act“, womit erstmals Regeln für Künstliche Intelligenz (KI) festlegt würden. Damit werde nun ein global führender Rechtsrahmen für sichere und vertrauenswürdige KI geschaffen.

„Der ,AI Act’ bietet die Chance, vor negativen Auswirkungen von Künstlicher Intelligenz zu schützen und gleichzeitig Innovationen zu fördern. Er kann dazu beitragen, einen globalen Leitmarkt für sichere ‚KI Made in Europe‘ zu etablieren“, kommentiert Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands.

Dr. Bühler betont: „Es ist jetzt wichtig, die Umsetzung effizient und unbürokratisch zu gestalten. Unabhängige Stellen spielen dabei eine wesentliche Rolle, nicht nur im Hinblick auf die verbindlichen Anforderungen, sondern auch im freiwilligen KI-Prüfmarkt.“

Gestaffelte Übergangsfristen für KI-Systeme bis 2027

Der „EU AI Act“ soll am 1. August 2024 mit gestaffelten Übergangsfristen in Kraft treten. Sechs Monate nach Inkrafttreten, das heißt ab Anfang 2025, sollten zunächst KI-Systeme verboten werden, die unter anderem manipulative oder täuschende Techniken einsetzen.

Ab dem 1. August 2025 werden dann Verhaltenskodizes für bestimmte Allzweck-KI-Modelle in Kraft treten. Zudem müssten die EU-Mitgliedstaaten nationale Behörden für die Marktüberwachung benennen. Verpflichtende Prüfungen für sogenannte Hochrisiko-KI in Bereichen wie Kreditvergabe, Personalwesen oder Strafverfolgung werden ab August 2026 erforderlich sein – und nicht nur KI-Entwickler betreffen, sondern auch KI-Anbieter, und Betreiber risikoreicher KI.

Ab 2027 sollen dann die Anforderungen an KI in „drittprüfpflichtigen Produkten“ in Kraft treten. Dr. Bühler führt hierzu aus: „Prüfungen von KI-Systemen schaffen Vertrauen und sind schon heute ein Wettbewerbsvorteil. Unternehmen sind gut beraten, sich jetzt mit den Anforderungen vertraut zu machen, insbesondere im Hinblick auf die Übergangsfristen. Es ist wichtig, abzuschätzen, wie und wo der ,AI Act’ ihre Aktivitäten betrifft.“

Herausforderungen der Umsetzung: KI-Risiken sowie Entwicklung systemischer Risiken besonders leistungsfähiger Allzweck-KI-Modellen im Blick behalten

„Eine einheitliche Interpretation und konsequente Anwendung des risikobasierten Ansatzes sind entscheidend, damit der ,AI Act’ in der Praxis wirksam wird – hier sind die Mitgliedsstaaten gefordert“, betont Dr. Bühler. Aus Sicht des TÜV-Verbands sollte besonderes Augenmerk auf eine effiziente und unbürokratische Umsetzung gelegt werden.

Klare Zuständigkeiten und „verantwortliche Stellen“ seien notwendig, um die Regelungen praktisch umzusetzen. So sollten Umsetzungsleitfäden für die Einstufung von Hochrisiko-KI-Systemen vom AI Office (Europäisches KI-Büro) schnellstmöglich veröffentlicht werden, um insbesondere kleinen und mittleren Unternehmen (KMU) Rechtssicherheit zu geben.

Darüber hinaus seien neue KI-Risiken sowie die Entwicklung systemischer Risiken von besonders leistungsfähigen Allzweck-KI-Modellen im Blick zu behalten und der Aufbau einer systematischen KI-Schadensberichterstattung voranzutreiben.

TÜV AI.Lab Risk Navigator zeigt soll helfen, Klarheit über Auswirkungen der KI-Verordnung zu schaffen

Das 2023 als Joint Venture der TÜV-Unternehmen gegründete „TÜV AI.Lab“ soll regulatorische Anforderungen an KI in die Prüfpraxis übersetzen und quantifizierbare Konformitätskriterien sowie geeignete Prüfmethoden für KI entwickeln.

Zum Inkrafttreten des „AI Act“ veröffentlicht das „TÜV AI.Lab“ den „AI Act Risk Navigator“ – ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen. „Mit dem ,AI Act Risk Navigator’ des ,TÜV AI.Lab’ bieten wir eine nutzerfreundliche Anwendung, mit der Unternehmen verstehen können, ob und wie sie vom AI Act betroffen sind“, erläutert Franziska Weindauer, Geschäftsführerin des „TÜV AI.Lab“.

„Unser Ziel ist es, Klarheit über die Auswirkungen der KI-Verordnung zu schaffen, so dass Unternehmen sich rechtzeitig vorbereiten können. Wenn wir Qualitätsanforderungen an Künstliche Intelligenz von Beginn an mitdenken, kann vertrauenswürdige Künstliche Intelligenz zum europäischen Alleinstellungsmerkmal werden.“ Der „AI Act Risk Navigator“ soll dabei Unterstützung bieten, KI-Systeme gemäß den Risikoklassen des „AI Act“ einzuordnen und Transparenz über die geltenden Anforderungen zu schaffen.

Anforderungen je nach KI-Risikoklassifizierung

Die EU-Regulierung teile KI-Anwendungen in vier Risikoklassen mit jeweils unterschiedlichen Anforderungen ein, welche in den kommenden Monaten schrittweise einzuhalten seien. Systeme mit hohem Risiko, die in Bereichen wie Medizin, Kritische Infrastrukturen oder Personalmanagement eingesetzt werden, unterlägen beispielsweise künftig strengen Auflagen und müssten umfassende Anforderungen an Transparenz, Sicherheit und Aufsicht erfüllen.

Bei Verstößen drohten Bußgelder von bis zu 15 Millionen Euro oder bis zu drei Prozent des weltweiten Jahresumsatzes. „Wir wissen, dass das für Unternehmen Fragen aufwirft. Deshalb wollen wir zu größerer Klarheit über das eigene Risikoprofil und die zu erfüllenden Anforderungen beitragen“, unterstreicht Weindauer.

Systeme mit begrenztem Risiko, wie etwa sogenannte Chatbots, müssten nur Transparenzanforderungen erfüllen, während Systeme mit minimalem Risiko, wie z.B. einfache Videospiele, gar nicht reguliert würden. Die risikobasierte Klassifizierung solle sicherstellen, „dass der Einsatz von KI sicher und vertrauenswürdig ist, damit so die Innovationskraft der Technologie und deren Marktdurchdringung weiter gesteigert werden kann“.

Weitere Informationen zum Thema:

TÜV AI.LAB
AI Act Risk Navigator / Classify your Risk according to the EU AI Act

[datensicherheit.de, 20.04.2024] Die sogenannte Digitalministerkonferenz (DMK) soll eine Plattform für länderübergreifenden Austausch bieten, um die Digitalisierung in Deutschland voranzutreiben. Der TÜV-Verband sieht nach eigenen Angaben in dieser Konferenz einen „wichtigen, aber überfälligen Schritt zur Koordinierung der Digitalisierungsbestrebungen“. Die Skepsis hinsichtlich ihrer Durchschlagskraft bleibe indes bestehen.

1. DMK-Treffen markiert notwendigen Schritt, Digitalisierungsanstrengungen länderübergreifend zu koordinieren

Zum ersten Mal haben sie die DMK-Akteure nun in Potsdam getroffen, um über die digitale Zukunft des Landes zu beraten. „Die Digitalisierung in Deutschland muss effizient und ohne Barrieren zwischen den Bundesländern vorangetrieben werden. Die erste Digitalministerkonferenz markiert daher einen notwendigen Schritt, die Digitalisierungsanstrengungen länderübergreifend zu koordinieren“, kommentiert Marc Fliehe, Fachbereichsleiter „Digitalisierung und Bildung“ beim TÜV-Verband.

Der TÜV-Verband begrüßt demnach diese Initiative ausdrücklich. Bisher seien viele digitalpolitische Kernthemen in Regie und nach Vorstellung der Bundesländer sowie föderal organisiert worden. Die DMK biete nun eine Plattform, Deutschland im Bereich digitaler Bildung, Digitalisierung der Verwaltung und Cyber-Sicherheit effektiv voranzubringen. Fliehe merkt jedoch an: „Es bleibt jedoch eine gewisse Skepsis hinsichtlich der Durchschlagskraft bestehen und es bleibt abzuwarten, wie nachhaltig und effektiv die beschlossenen Maßnahmen in die Praxis umgesetzt werden.“

58 Prozent der Unternehmen haben hohen Weiterbildungsbedarf bei Digitalkompetenzen

Fliehe benennt eine zentrale Herausforderung: „Ein länderübergreifendes Problem ist der Fachkräftemangel, der durch eine unzureichende digitale Bildung verschärft wird. Unsere Weiterbildungsstudie zeigt, dass erheblicher Bedarf besteht, Digital-Qualifikationen auf breiter Front zu fördern. Über die Hälfte – 58 Prozent – der Unternehmen hat einen hohen Weiterbildungsbedarf an Digitalkompetenzen. Untätigkeit in diesem Bereich gefährdet die Zukunftsfähigkeit unserer Wirtschaft.“

Grundlage der Studienergebnisse sei eine repräsentative Umfrage des Marktforschungsinstituts Forsa im Auftrag des TÜV-Verbands unter 500 Unternehmen ab 20 Mitarbeitern in Deutschland. Befragt worden seien von Oktober bis Dezember 2023 Verantwortliche für Weiterbildung, Geschäftsführer, CEOs und Vorstände.

Digitalisierung der Verwaltung: KI-Einsatz könnte helfen Bürokratie-Lasten abzubauen

Dringender Handlungsbedarf bestehe auch hinsichtlich der Zukunftstechnologie Künstliche Intelligenz (KI) – ansonsten drohe Deutschland international den Anschluss zu verlieren. Bisher böten nur wenige Unternehmen ihren Mitarbeitern KI-Weiterbildungen an: „Nur in zwölf Prozent der Unternehmen haben Mitarbeitende an KI-Fortbildungen teilgenommen. In weiteren sechs Prozent ist das konkret geplant und zehn Prozent ermitteln den Bedarf.“

Dagegen sähen 71 Prozent aktuell keinen Bedarf für KI-Schulungen. Fliehe unterstreicht: „Nachdem die Digitalisierung der Verwaltung in der Vergangenheit eher stiefmütterlich behandelt wurde, muss die Integration von Künstlicher Intelligenz jetzt Priorität haben.“ Durch KI-Einsatz könnten Bürokratie-Lasten abgebaut und erhebliche Effizienzgewinne erzielt werden.

Effektive Digitalisierungsstrategie erfordert Nutzung bestehender Synergien

„Für eine effektive Digitalisierungsstrategie ist es unerlässlich, sollten die Bundesländer nicht in Silos denken, sondern bestehende Synergien nutzen, die durch eine Zusammenarbeit mit etablierten nationalen Akteuren entstehen.“ Die Bundesländer müssten die national verfügbaren Digital-Ressourcen nutzen, um eine robuste, sichere und zukunftsfähige Digitalstrategie zu entwickeln.

Fliehes Fazit: „Dies wird nicht nur die Effizienz staatlicher Dienstleistungen verbessern, sondern auch die internationale Wettbewerbsfähigkeit Deutschlands stärken.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 19.04.2024
Digitalministerkonferenz: BSI-Präsidentin Claudia Plattner informierte über Chancen und Risiken von KI

D16 DIGITAL MINISTER TREFFEN BERLIN BRANDNEBURG 2023-2024, 09.11.2023
Konzeptpapier / Die Digitalministerkonferenz (DMK) / Selbstverständnis – Orga

TÜV VERBAND
Digitalisierung

[datensicherheit.de, 07.02.2024] Laut einer aktuellen Stellungnahme des TÜV-Verband e.V. sendet Deutschlands neue Digitalstrategie ein „starkes Signal für europäische Souveränität“ im Digitalen Raum und betont die „Notwendigkeit einer konsequenten und nachhaltigen Umsetzung“.

Stellungnahme zu der am 7. Februar 2024 vom Bundeskabinett beschlossenen Strategie zur internationalen Digitalpolitik

Dass Digitalpolitik auch geopolitisch eine immer wichtigere Rolle spiele, zeige die am 7. Februar 2024 vom Bundeskabinett beschlossene „Strategie zur internationalen Digitalpolitik“. Federführend bei der Erarbeitung der Strategie war demnach das Bundesministerium für Digitales und Verkehr (BMDV).

Marc Fliehe, Fachbereichsleiter „Digitalisierung und Bildung“ beim TÜV-Verband, kommentiert: „Mit der Strategie zur internationalen Digitalpolitik sendet das Bundeskabinett ein klares Signal für mehr europäische Souveränität und Resilienz im Digitalen Raum.“

Darüber hinaus werde deutlich, „dass Sicherheit und Wertschöpfung heute untrennbar mit der Digitalisierung verbunden sind“. Durch die ressortübergreifende Erarbeitung erfahre die Digitalisierung eine breite politische Rückendeckung. Im digitalen Wettbewerb könnten Deutschland und Europa gestärkt werden.

Strategie für internationale Digitalpolitik soll Leitplanken zur Risikoreduzierung, Vertrauenswürdigkeit und Sicherheit setzen

Fliehe führt aus: „Die Schritte der Bundesregierung, die Nachhaltigkeitspotenziale der Digitalisierung zu nutzen, sind richtig, denn das Verhältnis von Digitalisierung und Nachhaltigkeit ist in jüngster Zeit als neue Dimension in den Fokus gerückt: Dennoch existieren bisher weder in Deutschland noch in der EU kaum regulatorische Vorgaben, um das wechselseitige Zusammenwirken von Nachhaltigkeit und Digitalisierung zu fördern.“ Dabei wären konkrete Vorgaben nicht nur für die Umwelt, sondern auch für die langfristige Wettbewerbsfähigkeit der europäischen Unternehmen wichtig.

„Für einen globalen, offenen, freien, stabilen und sicheren Cyber-Raum sind Cyber-Sicherheit, sichere Infrastrukturen und faires Datenmanagement unerlässlich“, betont Fliehe. Mit der Strategie für internationale Digitalpolitik gebe die Bundesregierung nun „klare Leitplanken zur Risikoreduzierung, Vertrauenswürdigkeit und Sicherheit“. Entscheidend für den Erfolg sei jetzt die konsequente und nachhaltige Umsetzung. Dabei sei nicht nur die Frage nach den finanziellen Mitteln entscheidend, sondern auch die Frage nach effizienten Strukturen.

„Der TÜV-Verband steht voll und ganz hinter der neuen Strategie“, so Fliehe. Als erfahrene Prüf- und Zertifizierungsorganisationen leisteten die TÜV-Unternehmen ihren Beitrag dazu, die Digitalisierung nicht nur effizient, sondern auch nachhaltig und sicher zu gestalten. „Unser Ziel ist es, gemeinsam mit den Akteuren im Digitalen Raum eine verlässliche Basis für Innovationen zu schaffen und gleichzeitig höchste Standards für Sicherheit und Nachhaltigkeit zu gewährleisten.“

Weitere Informationen zum Thema:

Bundesministerium für Digitales und Verkehr, 07.02.2024
Strategie für die Internationale Digitalpolitik der Bundesregierung
https://bmdv.bund.de/SharedDocs/DE/Artikel/K/strategie-internationale-digitalpolitik.html

datensicherheit.de, 17.06.2022
Deutscher Mittelstands-Bund moniert Digitalpolitik: Durcheinander der Zuständigkeiten befürchtet / Hohe Erwartungen des Mittelstands an die Digitalstrategie der Bundesregierung

datensicherheit.de, 19.07.2019
Digitalpolitik der Bundesregierung: Bitkom zieht Zwischenfazit / Bislang viele Ziele des Koalitionsvertrags schuldig geblieben

[datensicherheit.de, 08.01.2024] In einer aktuellen Stellungnahme warnt der TÜV-Verband, dass sogenannte Intelligente Sportgeräte und „Wearables“ wohl die Motivation für mehr Bewegungen steigern könnten, doch sei Vorsicht geboten: „Smarte Fitnessgeräte können zum Einfallstor für Cyber-Kriminelle werden!“ Sportler sollten daher Zugriffsrechte und Schnittstellen überprüfen und starke Passwörter verwenden. Der TÜV-Verband erläutert zudem, wie Nutzer von smarten Fitnessgeräten ihre persönlichen Daten schützen können.

TÜV-Verband: Bei smarten Fitnessgeräten sollte grundsätzlich auch auf Cyber-Sicherheit geachtet werden

Auch im neuen Jahr 2024 fassten viele Menschen den Vorsatz, mehr für ihre körperliche Fitness zu tun: Smarte Sportgeräte, intelligente Körperwaagen oder „Wearables“ könnten dabei helfen, Trainingsfortschritte und Vitalwerte aufzuzeichnen. Mit einigen Geräten könnten Sportler ihr Trainingserlebnis sogar personalisieren: „So lassen sich Workouts protokollieren, Trainingsparameter einstellen, Fitnessziele überwachen und individuelle Trainingspläne erstellen.“ Diese digitalen Helfer erleichterten nicht nur den Alltag, sondern könnten auch Sportmuffel motivieren.

Doch sie bergen auch Risiken, betont Marc Fliehe, Fachbereichsleiter für Digitalisierung und Bildung beim TÜV-Verband: „Da smarte Fitnessgeräte häufig mit dem Internet verbunden oder persönliche Bewegungs- und Gesundheitsdaten dort speichern, lohnt es sich, auch die Cyber-Sicherheit in den Blick zu nehmen.“ Deshalb sollten Verbraucher besonderen Wert auf die richtige Einrichtung und den sicheren Gebrauch dieser Geräte legen.

Aktuelle Ergebnisse einer repräsentativen Forsa-Umfrage im Auftrag des TÜV-Verbands

In elf Prozent der deutschen Haushalte steht demnach eine Intelligente Körperwaage – so ein Ergebnis einer repräsentativen Forsa-Umfrage im Auftrag des TÜV-Verbands unter 1.002 Personen ab 16 Jahren. „Smarte Körperwaagen messen neben dem Gewicht zum Beispiel auch den Körperfettanteil, die Muskelmasse, das Knochengewicht, den Wasseranteil, den Body-Mass-Index und den Puls und senden diese Daten per WLAN über das Internet oder direkt per ,Bluetooth’ an das Smartphone.“ Dort würden die Daten in der zugehörigen App übersichtlich dargestellt und ausgewertet.

Da smarte Fitness-Tracker sensible personenbezogene Daten speicherten, sollten Verbraucher ganz besonders auf die Cyber-Sicherheit dieser Geräte achten. Laut Umfrage hätten 65 Prozent der Bundesbürger große Sorge, dass privat genutzte Smart-Home-Geräte den Datenschutz verletzen oder persönliche Daten missbrauchen könnten.

TÜV-Verband empfiehlt, schon vor dem Kauf auf Cyber-Sicherheit zu achten

Schon vor dem Kauf personenbezogene Daten schützen!
Intelligente Fitnessgeräte verfügten oft über verschiedene Sensoren zur Messung der körperlichen Aktivität und der Vitalwerte. Sie würden häufig als „Wearables“ am Körper getragen – zum Beispiel in Form smarter Armbänder, smarter Kleidung oder smarter Kopfhörer. Darüber hinaus sammelten sie auch Daten zur Person und Standortdaten. „Cyber-Kriminelle nutzen personenbezogene Daten, um persönlichen oder finanziellen Schaden anzurichten“, warnt Fliehe. Hacker könnten solche Daten auch veröffentlichen, um Personen gezielt zu schädigen oder zu erpressen, indem sie mit der Veröffentlichung brisanter Daten drohten. Weiterhin könnten sie versuchen, die Kontrolle über vernetzte Geräte wie Smartphones zu erlangen.

Verbraucher sollten sich bereits vor dem Kauf über das Gerät informieren und potenzielle Risiken kennen!
Es sei wichtig, zu wissen, welche Sensoren das Gerät verwendet und welche Daten damit aufgezeichnet und gespeichert werden. Außerdem sollte nachvollziehbar sein, wo die Daten gespeichert und mit welchen Anwendungen (Apps) sie geteilt werden. Ein Blick auf den Hersteller lohne sich ebenfalls: Dieser sollte seriös sein und langfristig Sicherheits-Updates zur Verfügung stellen. Apps aus unsicheren Quellen enthielten oft Malware, mit der Cyber-Kriminelle sensible Daten abgreifen könnten. Hierzu könnten auch Erfahrungsberichte anderer Nutzer helfen. Mittlerweile gebe es auch Zertifizierung für die IT-Sicherheit smarter Geräten. Prüfzertifikate von unabhängigen Prüfstellen – wie z.B. das TÜV-Prüfzeichen „CyberSecurity Certified“ (CSC) – gäben Verbrauchern Orientierung beim Kauf.

Wie sich Nutzer smarter Fitnessgeräte laut TÜV-Verband vor Cyber-Angriffen schützen können:

1. Zugriffsrechte überprüfen!
Intelligente Fitnessgeräte würden häufig mit dem Smartphone verbunden. Dadurch könne es auf Daten und Funktionen wie Standort oder Kontaktliste zugreifen. Verbraucher sollten deshalb genau überprüfen, ob entsprechende Zugriffsberechtigungen für den Gebrauch des Gerätes tatsächlich notwendig sind und diese gegebenenfalls deaktivieren. Auch die Daten der Fitnessgeräte sollten nur bei Bedarf für das Smartphone freigegeben werden. Mit jedem Software-Update könne sich die Berechtigungsstruktur ändern. Sie sollte daher regelmäßig überprüft und gegebenenfalls angepasst werden.

2. Starke Passwörter und PINs verwenden!
Smarte Fitnessgeräte sollten immer mit Passwörtern oder PINs vor unbefugtem Zugriff geschützt werden. Auch das Smartphone und das genutzte WLAN-Netzwerk sollten durch sichere Passwörter geschützt werden – voreingestellte Passwörter sollten bei der Einrichtung des Gerätes sofort geändert und Benutzerkonten möglichst durch eine Zwei-Faktor-Authentifizierung (ZFA) geschützt werden. Ein Passwort-Manager könne helfen, sichere Passwörter zu erstellen und zu verwalten. Ein starkes Passwort bestehe aus mindestens zehn Zeichen, darunter Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

3. Auf richtige Verschlüsselung achten!
Ein ausreichend gesichertes Heimnetzwerk sei eine wichtige Voraussetzung für den Schutz von smarten Sportgeräten. „Bei WLAN-Routern empfiehlt sich der aktuellste Verschlüsselungsstandard WPA3.“

4. Schnittstellen kontrollieren!
Schnittstellen zwischen smarten Fitnessgeräten und anderen Geräten sollten nur dann aktiviert werden, wenn sie für die Funktionalität notwendig sind und auch verwendet werden – nach der Nutzung sollten sie wieder deaktiviert werden. „Je mehr Schnittstellen aktiviert sind, desto größer ist die Angriffsfläche für Cyber-Angriffe.“ Wenn möglich, sollte eine Verschlüsselung der Kommunikation aktiviert werden. Verbindungen zwischen Smartphone und „Wearable“ über „Bluetooth“ sollten nur mit PIN-Abfrage möglich sein. So werde sichergestellt, dass sich nur verifizierte Geräte mit dem „Wearable“ verbinden.

Fitness-Hype: TÜV-Verband rät generell zur Vorsicht

Messwerte wie zum Beispiel der Körperfettanteil bei einer smarten Körperwaage sollten lediglich als Richtwerte verwendet werden. Für eine detaillierte Analyse sollten Sportler einen Arzt aufsuchen. Smarte Fitnessgeräte könnten dabei helfen, bestimmte Fitnessziele zu erreichen. Nutzer könnten Fortschritte und Werte regelmäßig einsehen, sollten sich dabei aber nicht unter Druck setzen.

Eine Abhängigkeit von diesen Geräten könne negative Folgen haben. Auch einige Apps profitierten auf diese Weise: „In-App-Käufe zum Beispiel für detaillierte Werte oder Trainingspläne können mit hohen Kosten verbunden sein und den eigentlichen Spaß zur Kostenfalle machen“, so der abschließende Hinweis.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2018
Fitness-App: Datenpanne könnte Mitarbeitern sensibler Bereiche schaden / Tim Berghoff kommentiert aktuelle Entdeckung einer Schwachstelle

datensicherheit.de, 12.09.2017
5. Verbraucherdialog in Mainz gestartet: Wearables im Fokus / Nutzung von Fitnessarmbändern u.a. muss unter Wahrung des Rechts auf informationelle Selbstbestimmung erfolgen

datensicherheit.de, 05.12.2016
Gesundheits-Apps und Wearables: Datenschutz ungenügend / Stichproben durch Datenschutzbehörden aus Bund und Ländern unterstreichen Handlungsbedarf

[datensicherheit.de, 02.11.2023] Laut einem aktuellen Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist die Lage der Cyber-Sicherheit in Deutschland „angespannt bis kritisch“, teilweise sogar „besorgniserregend“. Die Mehrheit der deutschen Unternehmen verschweige indes IT-Sicherheitsvorfälle – die Angst vor Reputationsschäden sei zu groß. In seiner Stellungnahme fordert der TÜV-Verband, das Bewusstsein für Cyber-Angriffe mittels Transparenz zu schärfen und den „Cyber Resilience Act“ voranzutreiben.

Bedrohung durch Cyber-Angriffe in Deutschland so hoch wie nie zuvor

Der aktuelle BSI-Lagebericht mache deutlich: „Die Bedrohung durch Cyber-Angriffe in Deutschland ist so hoch wie nie zuvor.“ Der TÜV-Verband fordert daher nach eigenen Angaben seit Jahren „eine Nachschärfung der gesetzlichen Vorgaben“, um die Cyber-Sicherheit des Staates, der Unternehmen und Organisationen sowie Verbraucher zu gewährleisten.

„Angesichts der hohen Bedrohungslage sind auch strenge gesetzliche Vorgaben für die Cyber-Sicherheit notwendig“, betont Marc Fliehe, Fachbereichsleiter für „Digitalisierung und Bildung“ beim TÜV-Verband. Dazu gehöre zum Beispiel der „Cyber Resilience Act“, welcher Standards für vernetzte Produkte schaffe, um die Widerstandsfähigkeit von Systemen gegen Cyber-Angriffe zu stärken. „Hier kommt es jetzt auf eine zügige Umsetzung an“, so Fliehe. Gesetzliche Vorgaben und Regulierungen würden zudem helfen, die Geschäftsleitungen für dieses Thema zu sensibilisieren.

Die meisten Unternehmen verschweigen Cyber-Attacken

Cyber-Angriffe seien eine allgegenwärtige Gefahr. Laut BSI-Lagebericht stellen Ransomware-Angriffe dabei die größte Bedrohung dar. Dies zeigten auch aktuelle Ereignisse wie der Angriff der Ransomware-Gruppe „Lockbit“ auf den US-Flugzeughersteller Boeing oder die Attacke auf die Hotelkette MotelOne. Die Folgen solcher Cyber-Angriffe reichten von finanziellen Verlusten und Reputationsschäden über die Beeinträchtigung der Arbeitsproduktivität von Mitarbeitern bis hin zum Ausfall von Diensten für Kunden oder der Veröffentlichung personenbezogener Daten.

„82 Prozent der deutschen Unternehmen, die in den vergangenen zwölf Monaten einen IT-Sicherheitsvorfall zu verzeichnen hatten, hielten diesen geheim.“ Das habe eine repräsentative Ipsos-Studie im Auftrag des TÜV-Verbands ergeben, „bei der rund 500 Unternehmen befragt wurden“. Nur 15 Prozent der Unternehmen hätten die Öffentlichkeit über den Vorfall informiert; vier Prozent davon, weil sie gesetzlich dazu verpflichtet seien. Dies sei zum Beispiel der Fall, wenn personenbezogene Daten abfließen. Fast drei Viertel der befragten Unternehmen hätten angegeben, dass sie es vermieden, einen Cyber-Sicherheitsvorfall öffentlich zu machen, weil sie einen Reputationsschaden befürchteten (74%). „Und das, obwohl 83 Prozent der Meinung sind, dass mehr Unternehmen Cyber-Sicherheitsvorfälle öffentlich machen sollten, um das Risikobewusstsein zu schärfen.“

Transparenz kann helfen, Bewusstsein für Cyber-Angriffe zu schärfen

Den meisten Unternehmen fehle es an Transparenz, wenn sie Opfer eines Cyber-Angriffs geworden sind. Dabei könne Transparenz sogar zur Cyber-Sicherheit beitragen. Das Publikmachen solcher Angriffe zeige anderen Betroffenen, „dass Cyber-Attacken ein weit verbreitetes Phänomen sind“.

Fliehe führt aus: „Täter und Opfer werden in der Wahrnehmung oft vertauscht“ –„auch, wenn ein Unternehmen ein hohes Maß an Sicherheitsvorkehrungen trifft, kann es Opfer eines Cyber-Angriffs werden“. Transparenz könne hier ein Umdenken bewirken. Unternehmen sollten eine aktive Informationspolitik betreiben und nicht zum Spielball von Hackern werden – Fliehe unterstreicht: „Wir brauchen eine Kultur, in der auch der öffentliche Umgang mit Cyber-Sicherheitsvorfällen selbstverständlich ist!“

Cyber-Sicherheit sollte eine Priorität für das Management sein

Cyber-Sicherheit sei nicht nur ein Thema für die IT-Abteilung eines Unternehmens, sondern sollte auch eine Priorität für das Management sein. Unternehmen sollten in moderne Hard- und Software investieren und sich gegebenenfalls von externen Experten beraten lassen. Auch Praxistests würden immer wichtiger, um Schwachstellen aufzudecken und in Notfallübungen den Ernstfall zu proben. Laut Fliehe ist es wichtig, alle Mitarbeiter gezielt zu schulen und zum Beispiel für Phishing-Angriffe zu sensibilisieren.

Neben der Prävention von Cyber-Angriffen sei es wichtig, Angriffe zu erkennen, schnellstmöglich zu reagieren und die IT-Systeme nach einem Sicherheitsvorfall wiederherzustellen. Um einen Angriff so schnell wie möglich abzuwehren, müsse bereits im Vorfeld klar sein, welche Maßnahmen in welcher Reihenfolge ergriffen werden müssen. „Hacker greifen auch gerne an Feiertagen an“, verdeutlicht Fliehe, „deshalb müssen Reaktionszeiten, Erreichbarkeiten und Kommunikationsabläufe vorher festgelegt werden“. Um hier routiniert agieren zu können, sollten Unternehmen den Ernstfall vorher geprobt haben.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2023

[datensicherheit.de, 23.03.2023] Die Vorgaben für den Schutz vor Cyber-Angriffen auf „überwachungsbedürftige Anlagen“ steigen laut einer aktuellen Stellungnahme des TÜV-Verband e.V.: „Die Betreiber der Anlagen sollten jetzt handeln und ihre bestehenden IT-Sicherheitskonzepte überprüfen“, rät Dr. Hermann Dinkler, Experte für Maschinen- und Anlagensicherheit beim TÜV-Verband. Er erläutert: „Auf Basis einer aktuellen Gefährdungsbeurteilung müssen die Betreiber entsprechende technische und organisatorische Maßnahmen für den Schutz vor digitalen Angriffen umsetzen.“

Zu überwachungsbedürftigen Anlagen gehören u.a. Aufzüge, Druckbehälter sowie Anlagen in explosionsgefährdeten Bereichen

Zu den sogenannten überwachungsbedürftigen Anlagen gehörten unter anderem Aufzüge, Druckbehälter sowie Anlagen in explosionsgefährdeten Bereichen, darunter Tankstellen und Gasfüllanlagen. Diese Anlagen werden demnach regelmäßig von externen Sachverständigen überprüft, weil von ihnen ein besonders hohes Risiko für Leib und Leben ausgehen kann. Grundlage für die Umsetzung und Überprüfung der Schutzmaßnahmen der Cyber-Sicherheit sei die jetzt veröffentlichte Technische Regel Betriebssicherheit (TRBS) 1115-1 mit dem Titel „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“.

Dr. Dinkler führt aus: „Die neuen Anforderungen sind ein wichtiger Meilenstein, um die digitale Sicherheit überwachungsbedürftiger Anlagen auf ein höheres Level zu bringen.“ Die Technische Regel diene als Leitfaden für Betreiber und Sachverständige, mit dessen Hilfe sie die Vorgaben in der Praxis umsetzen könnten.

Auch Anlagen und Arbeitsmittel können ins Visier krimineller Hacker geraten

Hintergrund dieser neuen Regelungen sei die zunehmende Digitalisierung und Vernetzung technischer und industrieller Anlagen im sogenannten Internet der Dinge. „Angriffsziel von Cyber-Attacken sind meist die Netzwerke und Computersysteme von Unternehmen. Was dabei häufig übersehen wird: Auch Anlagen und Arbeitsmittel geraten ins Visier krimineller Hacker, wenn sie über digitale Schnittstellen verfügen oder mit dem Internet verbunden sind“, so Dr. Dinkler.

Viele Anlagen sind heute mit sogenannten Speicherprogrammierbaren Steuerungen (SPS) ausgestattet. Die meisten dieser SPS hätten Schnittstellen zur Aktualisierung oder Programmierung – zum Beispiel USB-Anschlüsse, Schnittstellen zu internen Netzwerken oder direkt zum Internet. „Es besteht die Gefahr, dass die SPS als Einfallstor für Schadsoftware genutzt wird. Die schädlichen Programme können die Anlagen selbst kompromittieren oder sich im Netzwerk der Organisation ausbreiten“, warnt Dr. Dinkler. Die Folgen könnten ein Ausfall einzelner Anlagen oder ein breit angelegter Cyber-Angriff sein, um die IT-Infrastruktur des Unternehmens lahmzulegen. Er ist überzeugt: „Die neuen Regelungen werden dazu beitragen, das Schutzniveau vor Cyber-Angriffen zu erhöhen.“

Vor allem für Arbeitssicherheit relevant: Technische Regel 1115-1 überwachungsbedürftiger Anlagen

Da die Technische Regel 1115-1 vor allem für die Arbeitssicherheit Relevanz habe, sei sie im „Ausschuss für Betriebssicherheit“ gemeinsam von Unternehmen, Länderbehörden, Gewerkschaften, der gesetzlichen Unfallversicherung und den zugelassenen Überwachungsstellen (ZÜS) ausgearbeitet und jetzt von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin veröffentlicht worden.

Die für die Prüfungen zuständigen ZÜS hätten auf Grundlage der Technischen Regel in einem aktuellen Beschluss ihrerseits grundlegende Anforderungen an die Cyber-Sicherheit der Anlagen und ihrer Prüfung formuliert.

Weitere Informationen zum Thema:

baua: Bundesanstalt für Arbeitsschutz und Arbeitsmedizin, 22.03.2023
TRBS 1115 Teil 1 Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen / Technische Regel für Betriebssicherheit / Ausgabe: November 2022

EK ZÜS-Geschäftsstelle im TÜV-Verband, 16.11.2022
Beschluss des EK ZÜS