Die 10 wichtigsten Punkte für NRW

Die 10 wichtigsten Punkte für NRW
„Die 10 wichtigsten Punkte für NRW“ sind im Rahmen des vom Ministerium für Innovation, Wissenschaft und Forschung (MIWF) initiierten
Round Table IT-Sicherheit entstanden. Übergeordnetes Ziel ist es dabei die Stärken im Bereich IT-Sicherheit in NRW weiter auszubauen
und Wissenschaft, Wirtschaft und Gesellschaft nachhaltig zu stärken. Die hierfür entwickelten Empfehlungen sind eingebettet in das
Strategiepapier „IT-Sicherheit für NRW 4.0 – Gemeinsam ins digitale Zeitalter. Aber sicher.“ (aktuelle Version zum Download unter
www.it-sicherheit-nrw.de). An dieser ersten Version des Strategiepapiers haben VertreterInnen vom Institut für Internet-Sicherheit - if(is),
dem Horst-Görtz Institut für IT-Sicherheit, secunet Security Networks AG, Sirrix AG security technologies, RWE AG, ThyssenKrupp AG, CPS.
HUB NRW, networker NRW e. V. und nrw.unITS mitgewirkt. Geplant ist eine kontinuierliche Weiterführung der Strategie unter Einbeziehung
weiterer Stakeholder.
01.
Durchführung von mehreren „Leuchtturm-Projekten“ zur IT-Sicherheit
Um die Stärken von NRW zu demonstrieren sollen initial einige Leuchtturmprojekte mit einer hohen Erfolgsaussicht gefördert und durchgeführt werden. Diese Projekte demonstrieren die vorhandenen Kompetenzen und
sollten inter- und transdisziplinär durchgeführt werden. Hierfür werden exemplarisch die folgenden Projekte vorgeschlagen:
• Gründung einer Task Force IT-Sicherheit NRW 4.0 zur aktiven Umsetzung der hier genannten Ziele
• Gründung eines Cyber-Lagezentrums zur Erstellung und Interpretation von Kommunikationslagebilder
• Gründung einer Lernfabrik als Demonstrator und Forschungsobjekt für sichere Industrie 4.0-Anwendungen
02.
Medienkampagne zur Sensibilisierung der Nutzer zum Thema IT-Sicherheit
Zur zielgerichteten Sensibilisierung der Bürgerinnen und Bürger aller Altersgruppen wird die Produktion von
Beiträgen für Fernsehen, Internet, Radio und Print angestrebt. Die Zielrichtung und Abgrenzung zu den jeweiligen Nutzergruppen kann sehr verschieden sein und sollte den Anforderungen und Lebenslagen der Menschen entsprechen.
Hier sollte ein gestuftes Vorgehen geplant und umgesetzt werden. Auch ist z. B. im Unternehmensbereich dabei die gesamte
Akteurskette, vom Entscheidungsträger bis zum Anwender, zu berücksichtigen. Eine solche Kampagne soll das Bewusstsein
für IT-Sicherheit erhöhen, gleichzeitig darf sie jedoch nicht den Eindruck von „komplexer Wissenschaft“ vermitteln (angelehnt an die Sendereihe der „7. Sinn“ zur Verkehrssicherheit). Experten v. a. aus wissenschaftlichen Einrichtungen, Firmen,
Initiativen wie Deutschland sicher im Netz, dem Landeskriminalamt (LKA), Landespräventionsrat NRW, Verbraucherschutz,
sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sollen involviert werden.
03.
„Digitalkompetenz“ (inklusive IT-Sicherheit) in den Schulen und Hochschulen stärken
Der allgegenwärtige Umgang mit IT ist für die meisten Schülerinnen und Schüler selbstverständlich; der
Ausbau der digitalen Kompetenz im Lehrplan wird helfen, vorhandenes Wissen auszubauen und den Umgang
mit Gefahren und Risiken zu trainieren. Das Bewusstsein für Möglichkeiten und Risiken im Internet wird auf diese Weise
beim Nachwuchs geschärft. Wichtig ist ebenso die Einbeziehung von klassischen Lehrberufen und die Verankerung dieser
Themen in Berufsschulen. Aber auch Studierende kommen in beinahe allen Berufsgruppen unvermeidlich mit der Digitalisierung in Kontakt und deshalb sollte auch in den Hochschulen das Thema Digitalkompetenz (inklusive IT-Sicherheit) in
allen Studiengängen verankert werden.
04.
Ausbau von Professuren mit Schwerpunkt IT-Sicherheit für jeden IT-Ausbildungsgang
Um dem stark wachsenden Bedarf an Fachkräften im Bereich IT-Sicherheit Rechnung zu tragen, muss die Lehre
und Forschung gestärkt werden. Die verstärkte Nachfrage an Studienplätzen in dem Bereich kann mit der
bisherigen Ausstattung der Universitäten und Hochschulen nicht gedeckt werden. Um die Qualität der Lehre und Forschung
zu verbessern und die Anzahl der Absolventen zu erhöhen, sollten die Schaffung von neuen Professuren geprüft werden.
05.
Entwicklung einer Weiterbildungsplattform im Bereich IT-Sicherheit
Um die Anzahl der verfügbaren Fachkräfte im Bereich IT-Sicherheit sukzessiv zu erhöhen, sollte auch Arbeitnehmerinnen und Arbeitnehmern sowie interessierten Bürgerinnen und Bürgern die Möglichkeit gegeben
werden, sich im Bereich IT-Sicherheit zu qualifizieren, ohne hierfür ein Vollzeitstudium absolvieren zu müssen. Bisherige
Systeme zur Weiterbildung sind oft unflexibel und halten selten Schritt mit der technischen Entwicklung, deshalb sollten neue
Formate und Möglichkeiten geschaffen werden. Zur Umsetzung dieses Aspekts wird eine Online-Weiterbildungsplattform
und die sukzessive Weiterentwicklung von Lehrmaterialien vorgeschlagen. Bereits bestehende Angebote zur Weiterbildung
im Bereich der IT-Sicherheit sollten ebenso ausgebaut werden.
Weitere Informationen sowie die neuste Version zum Download erhalten Sie unter:
www.it-sicherheit-nrw.de
06.
Gründung eines IT-Sicherheit-Start-Up-Zentrums gemeinsam mit DWNRW
Bereits in der Gründungsphase eines Unternehmens existieren zahlreiche Hürden, die zum Scheitern innovativer Ideen führen können. Zur Bündelung vorhandener Kompetenzen und Schaffung von Synergien sollte eine
zentrale Anlaufstelle für Neugründungen im Bereich IT-Sicherheit in NRW geschaffen werden. Es sollten erfahrene Akteure
aus dem Bereich Wissenschaft und Wirtschaft gewonnen werden, welche mit ihrem Know-how in beratender Tätigkeit zur
Verfügung stehen. Zudem sollen nicht nur Gründungen in der Region unterstützt werden, sondern auch die Ansiedlung von
Unternehmen aus anderen Bundesländern in NRW gefördert werden. Eine Zusammenarbeit mit der Initiative zur Digitalen
Wirtschaft in NRW (DWNRW) ist hierbei erstrebenswert.
07.
Ausbau der Förderung von Forschung zu sicheren und zuverlässigen IT-Systemen als prospektive Maßnahme
In der Produktentwicklung und Forschung wird der Bereich der Sicherheit und Privatsphäre häufig nur
wenig oder nicht beachtet. Das Prinzip „security by design“ – sprich die Berücksichtigung von Sicherheitsanforderungen im Entwicklungsprozess – sollte verstärkt berücksichtigt werden. In NRW ist eine besondere Stärke die
Entwicklung von sicheren und zuverlässigen IT-Systemen und die Forschung in diesem Bereich sollte weiter ausgebaut
werden. Des Weiteren ist für einen besseren Austausch und eine höhere Effizienz im Bereich der Forschung ein regionales
Forschungsnetzwerk wünschenswert.
08.
„Europäische Mindeststandards bei Beschaffungen durch Behörden und öffentliche Institutionen
Bei der Beschaffung von IT-Sicherheitsprodukten sollte die Compliance von europäischen Mindeststandards
von öffentlichen Auftraggebern eingefordert und als Vergabekriterien berücksichtigt werden, wie sie beispielsweise vom Bundesverband IT-Sicherheit TeleTrusT definiert werden. So können potentielle Gefahren durch Hintertüren (sog.
Backdoors) vermindert und die Vertrauenswürdigkeit der Systeme gesteigert werden. Dies hilft, das Sicherheitslevel in den
Institutionen zu verbessern als auch die Wettbewerbsfähigkeit der heimischen IT-Sicherheitsindustrie zu stärken, die sich
durch hohe Sicherheitsstandards auszeichnet. Darüber hinaus sollten Maßnahmen entwickelt werden, um IT-Sicherheit
als eigenständige Exportbranche zu entwickeln und die Marke „IT-Security made in Germany“ am Weltmarkt zu etablieren.
09.
Erhöhung der Nutzerakzeptanz von IT-Sicherheit
IT-Sicherheit in Form von Produkten und Diensten muss sicher, preiswert und vor allem einfach nutzbar sein.
Insbesondere Usability in vielen Bereichen und bei vielen Produkten nicht gegeben, in diesem Bereich fehlt
es an Innovationen und an Bestrebungen, die Situation zu ändern. Es sollte jedoch nicht nur die Forschung und Entwicklung
von IT-Sicherheitsprodukten und -Dienstleistungen gestärkt werden, sondern insbesondere die IT-Sicherheit im jeweiligen
Anwendungskontext. Die eigentliche Herausforderung (neben der Entwickelung von innovativen Sicherheitsmechanismen)
ist es, diese Funktion erfolgreich in bestehende IT-Infrastrukturen und die zu unterstützenden Verwaltungs- und Geschäftsprozesse zu integrieren. Hier gibt es große Defizite, die Nutzer heute von einer einfachen Anwendung abhalten. Im Rahmen
einer inter- und transdisziplinären Kooperation soll untersucht werden, wie die Akzeptanz von IT-Sicherheitslösungen erhöht werden kann, indem Produkte leichter nutzbar werden. Insbesondere spielen hier Aspekte wie sicheres kollaboratives
Arbeiten oder leicht integrierbare Ansätze eine große Rolle. IT-Sicherheit soll als Enabler für neue Dienste und Produkte
dienen. Hierbei wäre eine Art „Gütesiegel“ für die Benutzer hilfreich.
10.
Sicherheitsinitiative: „Mehr Verschlüsselung für alle!“
Für das Erreichen eines höheren Sicherheitsniveaus im Internet in Verbindung mit mehr Privatsphäre und
Vertrauenswürdigkeit ist ein vermehrter Einsatz von Verschlüsselung (wie z. B. bei der täglichen Kommunikation, durch E-Mail oder Instant Messaging) notwendig. Das Internet ist auch ein Wirtschaftsraum und Verschlüsselung ist
ein wichtiges Werkzeug zum Schutz vor Kriminellen und vor Wirtschaftsspionage. Gleichzeitig existiert ein Spannungsfeld
zwischen dem Anspruch der Bürgerinnen und Bürger auf Schutz ihrer Daten einerseits und den Sicherheitsbedürfnissen der
Gesellschaft andererseits: Bei Verschlüsselung werden von Sicherheitsbehörden stets Bedenken bezüglich Verschlüsselung
laut. Die Arbeit der Strafverfolgungsbehörden ist wichtig und darf nicht behindert werden, allerdings dürfen die durch eine
starke Verschlüsselung entstehenden Herausforderungen hierbei niemals als Grund dienen, eben jene zu schwächen oder
abzulehnen. Hier kann und muss die Forschung behilflich sein, sowohl eine starke Verschlüsselung für Unternehmen und
Bürger in Zukunft flächendeckend einzuführen als auch trotzdem dafür zu sorgen, dass für die Detektion und forensische
Arbeit Lösungen gefunden werden. In diesem Bereich sollten die vorhandenen Kompetenzen ausgebaut werden, um NRW
zu einem Vorreiter in diesem Bereich zu machen. Die Ziele sind im Detail:
• Interdisziplinäre Forschungskooperation für mehr Verschlüsselung unter Berücksichtigung der Bedürfnisse von Individuen
und der Gesellschaft.
• E-Mail-Server der Firmen in NRW sollten untereinander SSL/TLS Verschlüsselung nutzen.
• Webseiten aus NRW sollten Verbindungen mittels SSL/TLS verschlüsseln.
• E-Mail-Verschlüsselung soll eine breitere Anwendung finden, insbesondere bei Behörden.
Weitere Informationen sowie die neuste Version zum Download erhalten Sie unter:
www.it-sicherheit-nrw.de

Download Report