BREMISCHE BÜRGERSCHAFT Drs. 19/1864 Landtag 19. Wahlperiode 16.10.18 Antwort des Senats auf die Kleine Anfrage der Fraktion Bündnis 90/DIE GRÜNEN vom 04.09.2018 IT- und Datensicherheit im Mittelstand Die Fraktion Bündnis 90/DIE GRÜNEN hat folgende Kleine Anfrage an den Senat gerichtet : Die Zukunft des Mittelstands ist digital: Produktions- und Arbeitsprozesse werden digitalisiert . Kunden und Kundinnen wünschen sich individualisierbare Produkte, schnellere Lieferungen und frühzeitige Aussagen über Kosten und Wartezeiten. Neue Möglichkeiten bei der Entwicklung von Produkten und Geschäftsmodellen, die Erschließung neuer Märkte und die Steigerung der Effizienz in den Geschäftsabläufen bieten große Potenziale. Die Chancen der Digitalisierung für die Zukunftsfähigkeit der einzelnen Unternehmen und Betriebe können aber – gerade in einer wissensbasierten Ökonomie wie der Bundesrepublik – nur dann genutzt werden, wenn die einzelnen Betriebe ihr Know-how schützen und das Vertrauen ihrer Kunden und Kundinnen und Geschäftspartner und -partnerinnen durch ein hohes Maß an IT- und Datensicherheit erhalten. Wir fragen den Senat: 1. Welche – sowohl allgemeine als auch einzelbetriebliche – Beratungsangebote bzw. Beratungsstrukturen in Fragen der IT- und Datensicherheit stehen den kleinen und mittleren Unternehmen im Land Bremen zur Verfügung (bitte nach Branchen , Trägern und Zielgruppen aufgliedern)? 2. Wie viele Unternehmen wurden durch die unter Frage 1 abgefragten Angebote in den vergangenen fünf Jahren erreicht (bitte nach Jahren, Branchen und Betriebsgrößen aufgliedern)? 3. Wie bewertet der Senat das Verhältnis zwischen Beratungsbedarf von kleinen und mittleren Unternehmen in Bezug auf IT- und Datensicherheit und dem existierenden Beratungsangebot (bitte hinsichtlich der einzelnen Branchen und nach Betriebsgröße differenzieren)? 4. Welche konkreten Maßnahmen unternimmt der Senat zur Förderung der IT-Sicherheit in kleinen und mittleren Unternehmen (bitte geplante Maßnahmen einzeln auflisten , an wen sie sich richten und angeben, mit welchem finanziellen und personellen Aufwand jeweils geplant wird)? 5. Wie bewertet der Senat die Rolle von Start-ups mit Blick auf die Erhöhung der ITund Datensicherheit bei kleinen und mittleren Unternehmen? Vorlä ufige, unredigierte Fassung – Parlamentsdokumentation der Bremischen Bü rgerschaft 2 Der Senat beantwortet die Kleine Anfrage wie folgt: 1. Welche – sowohl allgemeine als auch einzelbetriebliche – Beratungsangebote bzw. Beratungsstrukturen in Fragen der IT- und Datensicherheit stehen den kleinen und mittleren Unternehmen im Land Bremen zur Verfügung (bitte nach Branchen, Trägern und Zielgruppen aufgliedern)? In den letzten Jahren hat sich die Digitalisierung der Unternehmen in Bremen zu einem starken Schwerpunkt als wirtschaftlicher Wettbewerbsvorteil entwickelt. So sind in Bremen für die Unternehmen und insbesondere für kleine und mittlere Unternehmen die Angebote zur Unterstützung bei Digitalisierungsmaßnahmen stark ausgebaut worden. Die IT- und Datensicherheit spielt in dem Prozess des digitalen Wandels eine wichtige Rolle. Zum einen sieht sich der Mittelsand ebenso wie Großunternehmen von Cyberkriminalität bedroht. Attacken mit Viren oder konkretem „Datendiebstahl“ können verheerende Folgen für die Unternehmen haben. In diesem Bereich bedarf es entsprechender Information aber auch konkreter Unterstützung beim Schutz der IT-Systeme. Des Weiteren wird in einer Industrie, die mehr und mehr aus vernetzten digitalen Prozessen besteht, die Abhängigkeit vom Funktionieren dieser Systeme immer größer. Wenn nur ein Teil in der Kette ausfällt können ganze betriebliche Prozesse lahmgelegt werden. Mit zunehmenden Digitalisierungsgrad wächst daher proportional die Notwendigkeit, dass die Unternehmen im Themenfeld IT- und Datensicherheit dem Schutz vor Cyberkriminalität auf der einen und der Betriebssicherheit auf der anderen Seite gut aufgestellt sind. Im Folgenden wird die Angebotsvielfalt zur Unterstützung für Bremer und Bremerhavener Unternehmen aufgezeigt. Viele der Angebote sind für die Unternehmen kostenfrei. Alle aufgeführten Institutionen bieten nicht nur Angebote zur IT- und Datensicherheit, sondern weitere umfangreiche Angebote rund um die digitale Transformation an: • Mittelstand 4.0-Kompetenzzentrum Bremen o Innovationsforen und Innovationwerkstätten, branchenübergreifend, KMU • Maritimes Cluster Norddeutschland o Innovationsforen und Innovationwerkstätten, maritime Branche, KMU • DigiLab o Dialogplattform, Innovationswerkstätten, branchenübergreifend, KMU • Metropolregion Nordwest o Information, Veranstaltungen, Logistik, KMU • Freies Institut für IT-Sicherheit (ifit) Vorlä ufige, unredigierte Fassung – Parlamentsdokumentation der Bremischen Bü rgerschaft 3 o Dialogforen, Workshops, Beratungen, Notfalltelefon, branchenübergreifend , KMU o • TZ o Live Hackings und Sicherheit mobiler Anwendungen, Informationsveranstaltungen • Handelskammer Bremen o Innovationswerkstätten, Dialogforen, Beratung, branchenübergreifend, KMU • Handwerkskammer Bremen o Workshops, Beratung, Informationsveranstaltungen • Webseite Digitalisierung in Bremen (www.digitalisierung-bremen.de) o Unter der Rubrik „Beratungsförderung“ sind 10 Unternehmen zur einzelbetrieblichen Förderung für IT Sicherheitskonzepte aufgelistet. • Bundesprogramm „go digital“ vom BMWI - Hier können KMU Förderung zur Beratung beantragen • Datenschutz Nord o Auf der Webseite Datenschutz Nord gibt es diverse Informationen zur IT- Sicherheit. Seminare für IT-Sicherheit, branchenübergreifend, KMU • Bremen digitalmedia o Veranstaltungen, Workshops, branchenübergreifend, KMU • I2B o Meetups rund um das Thema Digitalisierung • Wirtschaftsförderung Bremen WFB (bis Juli 2017) o Schulungen, Beratung, Förderung, branchenübergreifend, KMU Vorlä ufige, unredigierte Fassung – Parlamentsdokumentation der Bremischen Bü rgerschaft 4 • BIS Bremerhavener Gesellschaft für Investitionsförderung und Stadtentwicklung mbH o Innovationswerkstätten, Veranstaltungen, Beratung, Förderung, branchenübergreifend KMU 2. Wie viele Unternehmen wurden durch die unter Frage 1 abgefragten Angebote in den vergangenen fünf Jahren erreicht (bitte nach Jahren, Branchen und Betriebsgrößen aufgliedern)? Genaue Daten dazu liegen dem Senat nicht vor, da die Veranstaltungen durch die oben genannten öffentlichen und privaten Institutionen durchgeführt werden und keine Institutionenübergreifende Datenerfassung erfolgt. In den früher von der WFB durchgeführten Veranstaltungen wurden lediglich die Gesamtteilnehmerzahl erfasst, nicht jedoch explizit für das Thema Datensicherheit. Das IFIT bietet zum Beispiel 3-4 Veranstaltungen (Brem- Sec Forum und SecurityDay) p.a. an. In Summe werden damit jährlich 200 - 300 Besucher verzeichnet (hier sind Mehrfachbesuche inkludiert). Der Senator für Wirtschaft, Arbeit und Häfen hat in Kooperation mit dem MCN in 2017 eine Veranstaltung mit ca. 50 Teilnehmern zum Thema IT-Sicherheit durchgeführt, Für den Standort Bremen ergeben sich über alle Bremischen Angebote geschätzt ca. 300 auf Veranstaltungen erreichte Unternehmen pro Jahr. Über den Umsetzungsgrad von IT-Sicherheitsmaßnahmen in den Unternehmen liegen dem Senat keine Kenntnisse vor. In der Regel werden bei den durchgeführten Angeboten Betriebsgrößen nicht erfasst. In den letzten Jahren wurden die Angebote den steigenden Anforderungen an Information zum Thema IT- und Datensicherheit angepasst. Das Angebot in Bremen ist als qualitativ hochwertig zu bezeichnen. 3. Wie bewertet der Senat das Verhältnis zwischen Beratungsbedarf von kleinen und mittleren Unternehmen in Bezug auf IT- und Datensicherheit und dem existierenden Beratungsangebot (bitte hinsichtlich der einzelnen Branchen und nach Betriebsgröße differenzieren)? Das Angebot an Beratung für kleine und mittleren Unternehmen in Bremen für IT- und Datensicherheit ist vielfältig und wird kontinuierlich weiter ausgebaut. Der Beratungsbedarf zum Thema IT Sicherheit ist bei allen Unternehmenskategorien vorhanden. Grundsätzlich kann man feststellen, dass größere Unternehmen hier besser aufgestellt sind als kleine, da hier neben Know-how auch mehr Ressourcen vorhanden sind. Grundsätzliche Schutzmaßnahmen wie Virenscanner sind fast flächendeckend vorhanden. Gegenüber komplexeren Hackerangriffen besteht vielfach kein ausreichender Schutz und in vielen Fällen auch noch nicht das nötige Bewusstsein. Hier helfen insbesondere Live Hackings, das entsprechende Bewusstsein zu erzeugen. Die zunehmende Nutzung mobiler Endgeräte erhöht die Anfälligkeit für Hackerangriffe, da Mobiltelefone und Tablets oft unzureichend gesichert sind und so Einfallstore für Angriffe bieten. Vorlä ufige, unredigierte Fassung – Parlamentsdokumentation der Bremischen Bü rgerschaft 5 Grundsätzlich kann man davon ausgehen, dass je kleiner die Unternehmen sind, desto größer ihr Beratungsbedarf. Hier setzen die Angebote des Mittelstand 4.0 Kompetenzzentrum Bremen an. Der Bedarf ist branchenübergreifend festzustellen. Es ist in Bremen keine Branche dadurch auffällig geworden, besonders im Fokus von Hackerangriffen zu stehen. Neben Hackerangriffen ist natürlich das Thema Betriebssicherheit für Unternehmen besonders relevant, die einen hohen internen und externen Vernetzungsgrad haben. Diese findet man aber in Produktion, Handel, Industrie und Dienstlistungen gelichermaßen. Mit dem Digitalisierungsberaterpool besteht seit 2017 ein Angebot zur Förderung von Beratungsdienstleistungen rund um Digitalisierung und Arbeit 4.0. Die Förderung beträgt 50% bis zu 5.000 €. Die Förderung erfolgt über die BIS Bremerhavener Gesellschaft für Investitionsförderung und Stadtentwicklung mbH für Bremerhavener Unternehmen und die Bremer Aufbaubank GmbH für Bermer Unternehmen. Der Verein „Impulsgeber Zukunft“ berät über das Programm „Unternehmenswert Mensch“ beim Thema Arbeit 4.0. Gefördert werden Beratungen bis max. 10 Tage zu Tagesätzen bis 1.000,- €, der nicht rückzahlbare Zuschuss beträgt 80% bei Kleinstunternehmen bis 9 MA und bei Betrieben 10-249 Beschäftigen 50%. Im Bundesprogramm Go Digital gibt es einen Fördersatz von 50 Prozent auf einen maximalen Beratertagesatz von 1.100 Euro (akkreditierte Berater). Der Förderumfang beträgt maximal 30 Tage in einem Zeitraum von einem halben Jahr. 4. Welche konkreten Maßnahmen unternimmt der Senat zur Förderung der IT-Sicherheit in kleinen und mittleren Unternehmen (bitte geplante Maßnahmen einzeln auflisten, an wen sie sich richten und angeben, mit welchem finanziellen und personellen Aufwand jeweils geplant wird)? In Kürze wird der Senator für Wirtschaft, Arbeit und Häfen der Deputation für Wirtschaft, Arbeit und Häfen das Maßnahmenpaket „Bremen Digital 2019-2021“ zur Beschlussfassung vorlegen. Unter Punkt 8 „Cybersicherheit in der Wirtschaft“ wird dargelegt wie der Senator für Wirtschaft, Arbeit und Häfen das Know-how von Instituten und Unternehmen in Bremen und Bremerhaven zur IT- und Datensicherheit der Wirtschaft zugänglich machen wird. Dazu sollen geeignete Informationsformate und Demonstrationsmöglichkeiten entwickelt sowie Förderangebote zur Verfügung gestellt werden. Konkret sind folgende Maßnahmen geplant: a) Innovationswerkstätten zur Qualifizierung des Mittelstandes b) Innovationsforen inkl. Live Hackings zur Information über neue Trends und Technologien in der IT Security SWAH unterstützt (wie in allen anderen Clustern auch) zum Beispiel im Cluster Maritime Wirtschaft mit personellem Aufwand die Bildung von Projektkonsortien im Bereich der „zivilen maritimen Sicherheitsforschung und Entwicklung innovativer Sicherheitstechnologien und neuen Dienstleistungen“. Eingebettet ist dies im Nationalen Masterplan Maritime Technologien- NMMT der Bundesregierung. Vorlä ufige, unredigierte Fassung – Parlamentsdokumentation der Bremischen Bü rgerschaft 6 In zahlreichen Projekten wurde und wird das Thema IT Sicherheit bei der Entwicklung der jeweiligen Anwendung berührt, auch wenn es nicht direkt im Mittelpunkt der jeweiligen Entwicklung bzw. Anwendung steht. Hier einige relevante Projektbeispiele die mit oder durch SWAH Begleitung eingeworben bzw. umgesetzt werden: LOMA - Lagebildoptimierung für Maritime Awareness Inhaltlicher Schwerpunkt des von einem bremischen Konsortium (u. a. ATLAS ELEKTRONIK, bremenports) umgesetzten Projekts ist die Entwicklung von elektronischen Lagebildes sicherheitsrelevanten Bereiche im Bereich Hafen und Schifffahrt. Dieses, durch das Land inhaltlich unterstützte und begleitete Verbundprojekt, wurde erfolgreich in eine Förderung des BMWi überführt. ACTRESS- Architecture and Testbed for Realtime Safe and Security Systems Dieses durch das BMWi finanzierte Projekt ist ebenfalls Ergebnis der aktiven Begleitung und Zusammenarbeit (WFB/SWAH) und wird maßgeblich von Bremer Unternehmen koordiniert. Das Projekt beschäftigt sich mit der Entwicklung von maritimen Testfeldern im Bereich maritime Sicherheit. Diese Systemtestarchitektur steht nach Projektabschluss allen KMU´s und Institutionen offen um die IT-Sicherheit und Systemschnittstellen ihrer neuen Produkte zu testen . Im Kontext der Hafensicherheit war und ist Bremen an nationalen und internationalen Forschungsvorhaben , wie beispielsweise ECSIT, CASSANDRA und CORE beteiligt. Ziel des EU- Projektes CASSANDRA (Common Assessment and Analysis of Risk in Global Supply Chains) war eine Erhöhung der Sicherheit internationaler Containertransportbewegungen durch Optimierung der Sichtbarkeit vorhandener Informationen. Dazu wurde im Zeitraum Juni 2011 bis Mai 2014 ein Data-Sharing-Konzept entwickelt, das sowohl Wirtschaft als auch Behörden eine erweiterte Bewertung der Risiken erlaubt. Aktuell ist Bremen als Partner an dem EU-Projekt CORE (CONSISTENTLY OPTIMISED RESILIENT SECURE GLOBAL SUPPLY CHAINS) beteiligt . CORE ist eines der bislang größten europäischen Forschungs- und Demonstrationsvorhaben . Rund 70 Partner wollen demonstrieren, dass Innovationen zur Sicherheit und Transparenz in der Supply Chain, die in früheren Projekten wie z.B. CASSANDRA erforscht und entwickelt wurden, auch in der Praxis funktionieren. In CORE kooperieren Wirtschaftsvertreter, Grenzkontrollbehörden, Regierungen und Wissenschaftler bei der Suche nach praktischen Lösungen . Das Projekt läuft bis Mitte 2018. PortSec-2 - IT-Risikomanagement in der Hafentelematik - Ziel des Verbundprojekts PortSec-2 ist die Erforschung eines systematischen und umfassenden IT-Risikomanagements in der Hafentelematik. Die Heterogenität der Software in den verschiedenen Systemen der beteiligten Unternehmen und Behörden und deren Interaktionen bergen spezifische IT-Sicherheitsrisiken , die es zu identifizieren gilt. Verbundkoordination ISL, Partner sind dbh Logistics IT AG, datenschutz cert GmbH und Universität Bremen. (01.09.2016 – 01.08.2018, Volumen 1,68 Mio. €, davon 76 % Förderanteil, KMU-innovativ, BMBF) Zur IT- Sicherheit in Häfen ist weiter das Projekt MITIGATE zu nennen, worin es um die Untersuchung kritischer IT-Schnittstellen geht. Dieses Projekt dient direkt der Erhöhung der IT- Sicherheit. Bremen ist hier aktiv durch die dbh vertreten. Durch das Clustermanagement wurden im Bereich maritime Sicherheit u.a. die Umsetzung der 1. internationalen Maritimen Sicherheitskonferenz am 13.06.-14.06.2017 in Bremen inhaltlich begleitet und gemeinsam mit dem BMWi durchgeführt. Aufgrund der positiven Reso- Vorlä ufige, unredigierte Fassung – Parlamentsdokumentation der Bremischen Bü rgerschaft 7 nanz der Teilnehmer und des BMWi wird an einer Verstetigung des Veranstaltungsformats gearbeitet. Die 2. Maritime Sicherheitskonferenz ist für Oktober 2019 in Planung und wird bereits um einen zusätzlichen Ausstellungsbereich/Messe ergänzt. Das Thema Cyber Security und IT Sicherheit ist hier ein wichtiges Thema. Eine weitere wichtige Aktivität war die Begleitung des Aufbaus weiterer Forschungskompetenzen im Bereich der zivilen maritimen Sicherheitsforschung im Land Bremen, die durch die Gründung eines neuen DLR Instituts für den Schutz maritimer Infrastrukturen in Bremerhaven erreicht worden ist (Einweihungsfeier am 29.10.2018). Aus den Fachabteilungen des neuen Instituts sollen zukünftig zahlreiche Drittmittelprojekte die „Resillienz maritimer Systeme “ erhöhen, sowie neue maritime Sicherheitstechnologien in Kooperation mit den Unternehmen , insbesondere den KMU´s entwickelt werden. In Bremerhaven wurde von der BIS eine Veranstaltung zur neuen DSVGO durchgeführt. Datenschutz ist kein neues Thema, aber mit dem Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 und einem zeitgleich neuen Bundesdatenschutzgesetz (BDSG) ergeben sich neue Herausforderungen für Unternehmen aller Rechtsformen und aller Branchen. Im Rahmen des Seminars wurde praxisnah über die Anforderungen an den Datenschutz in Unternehmen und Vereinen informiert. Dabei wurde schwerpunktmäßig über die Grundsätze der Verarbeitung personenbezogener Daten , deren Schutzbedarf und den gesetzlich vorgesehenen risikobasierten Ansatz diskutiert , sowie auf die innerbetriebliche Organisation, die Dokumentations- und Nachweispflichten eingegangen. Weiter wurde von der BIS für den Bremerhavener Einzelhandel eine Workshopreihe zum Thema „Webseite-Check und Online-Handel“ gestartet. Die unter Punkt 1 aufgeführten Institutionen haben noch in 2018 und bereits für 2019 folgende Veranstaltungen zur IT- und Datensicherheit konkret geplant: Im November 2018 ist im Rahmen einer Veranstaltung der Handelskammer mit dem Mittelstand 4.0-Kompetenzzentrum und dem Senator für Wirtschaft, Arbeit und Häfen zum Thema Digitalisierung ein Schwerpunkt der Veranstaltung „Cybersicherheit“. Das Angebot richtet sich an die Mitglieder der Handelskammer insbesondere KMU. Eine gleiche Veranstaltung ist noch in 2018 mit der Handwerkskammer geplant. Dieses Veranstaltungskonzept sollte dann auch für Bremerhaven in 2019 angeboten werden. Das IFIT veranstaltet jährlich 3 sogenannte BremSecForum und bietet Informationen und Erfahrungsaustausch zu aktuellen Themen der Informations- und IT-Sicherheit. Am 06.11.2018 bietet die Handelskammer zusammen mit dem IFIT im Rahmen des 5. SecurityDay die Veranstaltung „Cybersicherheit@Industrie4.0“ an. Die BIS Bremerhaven hat für 2018 noch folgende Veranstaltungen geplant: • 25.10.2018: Innovationswerkstatt „Data Intelligence – was muss ich tun?“ Hier erfahren Unternehmen was Data Intelligence für das eigene Unternehmen bedeutet, was die relevanten Daten und Informationen sind und wie lassen sie sich gewinnbringend im eigenen Unternehmen einbringen, ohne gegen die neue DSGVO zu verstoßen. • 07.11.2018 Seminar zum Thema DSGVO – Datenschutzgrundverordnung Vorlä ufige, unredigierte Fassung – Parlamentsdokumentation der Bremischen Bü rgerschaft 8 Das Mittelstand 4.0-Kompetenzzentrum bietet zusammen mit dem Kompetenzzentrum mitunsdigital aus Hannover noch in diesem Jahr zwei Veranstaltungen an: • 29.11.2018 Schulung zur „IT-Sicherheit“ In diesem Seminar erhalten KMU´s eine Übersicht über die Auswirkungen der Digitalisierung auf die IT-Sicherheit von Unternehmen im Unternehmens- und Produktionsbereich. Weiterhin bekommen sie Leitfragen für die Entwicklung einer Strategie. • November 2018 eine weitere Schulung zum Thema „Schutz von Datenbeständen, Information und Know-how“. Aus der Veranstaltungsreihe „Das digitale Jetzt – spannende Beispiele aus der Praxis“ die in Kooperation mit bremen digitalmedia und SWAH im monatlichen Rhythmus angeboten wird ist für 2019 die Veranstaltung „Cyberkriminalität- Aktuelle Bedrohungen und Live Hacking“ in Bremerhaven geplant. Oktober 2019 findet die 2. Maritime Sicherheitskonferenz statt. Das Thema IT Sicherheit wird ein Schwerpunkt der Konferenz sein. 5. Wie bewertet der Senat die Rolle von Start-ups mit Blick auf die Erhöhung der IT- und Datensicherheit bei kleinen und mittleren Unternehmen? Grundsätzlich sind Startups Innovationstreiber und enorm wichtig für die Wettbewerbsfähigkeit eines Standortes. In den Bereichen der IT- und Datensicherheit können Startups als Dienstleister für kleinere und mittlere Unternehmen auftreten. Insbesondere gilt das für den Bereich der Beratung und der Entwicklung von spezifischen Lösungen . Allerdings schmälern sich die Chancen von jungen Unternehmen dort, wo die Kunden den Dienstleister zu Schadensersatz im Falle von Fehlfunktionen verpflichten. Gerade große Unternehmen tun dies aufgrund der Abhängigkeit und der drohenden Verluste im Fehlerfall immer häufiger, so dass die Wahl der Dienstleister eher auf große Dienstleister, wie z.B. die Telekom (T-Systems) oder Microsoft fällt. Diese sind in der Lage entsprechende Versicherungen vorzuhalten oder bieten Plattformlösungen an, die ebenfalls Sicherheit garantieren. Sicherheit verbindet sich hier mit dem Produkt und wird im Bundle angeboten. Auch größere regionale Systemhäuser bieten entsprechende Sicherheitslösungen an. Tendenziell entwickelt sich der Markt der IT Sicherheit nach Einschätzung des Senats eher in Richtung größere und globale Anbieter. Vorlä ufige, unredigierte Fassung – Parlamentsdokumentation der Bremischen Bü rgerschaft Antwort des Senats auf die Kleine Anfrage der Fraktion Bündnis 90/DIE GRÜNEN vom 04.09.2018