Cybersicherheitsstrategie 2021: Neuer Schwung für die Digitalisierung?
Wir arbeiten im Home-Office, shoppen im Web, wo wir auch gleich unsere Bankgeschäfte erledigen und Freunde oder Kollegen treffen: Die Digitalisierung erstreckt sich in alle erdenklichen Lebensbereiche und schreitet unaufhaltsam voran. Das hat viele Vorteile: Kurze Wege lassen uns flexibel werden, unsere Effizienz steigt. Doch wo Licht ist, ist Schatten nicht fern – denn die Gefahr von Cyberangriffen steigt weltweit.
Das ist auch bei der Politik angekommen, die als Reaktion auf immer raffiniertere und auch zahlenmäßig ansteigende Angriffe ihre Cybersicherheitsstrategie (CSS) aus 2016 durch die Cybersicherheitsstrategie 2021 ersetzt hat. Am 08. September 2021 beschloss die Bundesregierung diese Cybersicherheitsstrategie 2021 final. Im heutigen Beitrag lernen Sie die CSS einschließlich ihrer Leitlinien und Ziele kennen und Sie erfahren, welche Aspekte kritisiert werden.
Die Lage der IT-Sicherheit in Deutschland bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Cyber-Sicherheitsbehörde des Bundes in seinem Bericht für 2021.
Cybersicherheitsstrategie: Was ist das?
Die vom Bundesinnenminister Horst Seehofer vorgelegte „Cybersicherheitsstrategie für Deutschland 2021“ (PDF) legt den strategischen Rahmen fest, in dem die Bundesregierung im Cybersicherheitsbereich in den kommenden fünf Jahren agieren möchte. Zwischen Juni 2020 und August 2021 evaluierten mehr als 70 Akteure aus Staat, Wirtschaft, Gesellschaft und Wissenschaft, wie man die CSS aus 2016 fortschreiben kann; am 08. September 2021 beschloss die Bundesregierung die daraus entstandene Cybersicherheitsstrategie 2021.
Seehofer erklärte nach der Kabinettssitzung im Bundeskanzleramt: „Cybersicherheit ist kein notwendiges Übel, sondern Voraussetzung dafür, dass die Digitalisierung gelingt.“ Bei hoher Gefährdungslage im Cyberraum seien Wirtschaft, Staat und Gesellschaft gefragt, um sich gemeinsam um das sichere Nutzen neuer Technologien zu kümmern. „Dazu gehören gut ausgestattete Sicherheitsbehörden, ein effektiver Schutz von kritischen Infrastrukturen und Wirtschaftsunternehmen und mehr Sicherheit für die Bürgerinnen und Bürger im digitalen Raum“, betonte der Minister.
Die Cybersicherheitsstrategie 2021 bildet den Nachfolger der CSS aus den Jahren 2011 und 2016. Um die nächsten fünf Jahre cyberpolitisches Handeln der Bundesregierung planen zu können, baute man auf Bestehendem auf, entwickelte jedoch auch neue Lösungen für Herausforderungen unserer Zeit.
Welches Ziel verfolgt die Bundesregierung mit der CSS 2021?
Die Cybersicherheitsstrategie 2021 wurde mit aktiv gestaltendem Charakter verfasst. So soll ein zielgerichtetes, abgestimmtes Zusammenwirken sämtlicher Akteure ermöglicht und gefördert werden. Dieses Ziel soll auf vier übergreifende Leitlinien gestützt sein:
- Cybersicherheit soll als gemeinsame Herausforderung von Staat, Wissenschaft, Wirtschaft sowie Gesellschaft verstanden werden.
- Die Cybersicherheitsstrategie 2021 soll die digitale Souveränität dieser Akteure stärken.
- Man möchte die Digitalisierung sicher gestalten und
- erreichte Ziele messbar darstellen und transparent ausgestalten.
Diese vier Leitlinien bilden die Basis für vier Handlungsfelder, die die Cybersicherheitsstrategie 2021 im Folgenden behandelt. Sie sollen die Grundlage für die Gratwanderung bilden, sämtliche Chancen der Digitalisierung auszuschöpfen, gleichzeitig aber vollumfänglich vor Cyberrisiken zu schützen:
- Ein sicheres sowie selbstbestimmtes Handeln soll in einer digitalisierten Umgebung möglich sein.
- Staat und Wirtschaft sehen die Leitlinien als gemeinsamen Auftrag an.
- Die gesamtstaatliche Cybersicherheitsarchitektur soll leistungsfähig und nachhaltig sein.
- Deutschland positioniert sich aktiv in der europäischen sowie internationalen Cybersicherheitspolitik.
CSS 2021: “Gemeinsamer Auftrag von Staat und Wirtschaft“
Lesen Geschäftsführer etwas davon, dass Staat und Wirtschaft die Erfüllung der Cybersicherheitsstrategie 2021 als gemeinsamen Auftrag ansehen sollten, dürften sie hellhörig werden. Tatsächlich enthält dieses zweite Handlungsfeld 13 Ziele, die die Cybersicherheit der Wirtschaft stärken sollen – und zu deren Erreichung auch der Einsatz von Unternehmen gefordert sein dürfte. Schauen wir auf diese 13 Ziele:
- NCSR stärken: Der Nationale Cyber-Sicherheitsrat (NCSR) soll stärker in Erscheinung treten und umfangreicher in Wissenschaft, Wirtschaft sowie Zivilgesellschaft eingebunden werden.
- Optimierte Zusammenarbeit von Staat, Wissenschaft, Wirtschaft und Zivilgesellschaft: Diese vier Gruppen sollen sich künftig aktiver am Gestalten von Cybersicherheit beteiligen. Kooperationsmodelle sind eine Idee, mit der sich Handlungsoptionen sowie Lösungen nachhaltig entwickeln lassen.
- Plattform zu Cyberangriffen: Ein „Information Sharing Portal“ soll dazu dienen, Informationen wie technische Merkmale von Cyberangriffen zusammenzuführen, um die Detektion zu vereinfachen und in der Folge Schäden durch Cyberangriffe zu reduzieren. Sämtliche Organisationen, die mit der Cyberabwehr zu tun haben, sollen Informationen unter Beachtung von Datenschutz und Geheimhaltungspflichten beisteuern. Mit dieser optimierten Vernetzung erhofft man sich zusätzlich eine Sensibilisierung von Unternehmen und der Wissenschaft.
- Deutsche Unternehmen schützen: Dialog- und Informationsaustauschplattformen, in denen Staat und Wirtschaft kooperieren, existieren bereits. Interaktionen dieser Art sollen ausgebaut werden, wozu mitunter KMU beim Umsetzen von IT-Sicherheitsmaßnahmen unterstützt werden sollen. Dies soll zu einer erhöhten Wettbewerbsfähigkeit deutscher Unternehmen führen.
- Deutsche Digitalwirtschaft stärken: Einerseits dominieren ausländische Firmen viele Bereiche in der Digitalisierung. Andererseits zeigen sich Deutschland und Europa in der Digitalisierungsforschung als Spitzenreiter. Ersteres möchte man umkehren, wozu die Förderung von Schlüsseltechnologien und das Stärken der deutschen Digitalwirtschaft beitragen sollen. Im Zuge dessen sollen Produkte mit erhöhter IT-Sicherheit und innovative Produkte zum Optimieren der Cybersicherheit entstehen.
- Einheitlicher Regulierungsrahmen: Auf europäischer Ebene möchte man einheitliche Gesetzesanforderungen für vernetzbare Geräte. Das schließt Marktzugangsregeln genauso ein wie Normen sowie Standards im Cybersicherheitssektor. Die strategisch ausgerichtete Standardisierungspolitik soll Informations- nebst Kommunikationstechnik, Software und KI einschließen.
- Resiliente IT in Forschung & Entwicklung: Erkenntnisse aus der IT-Sicherheitsforschung sollen in Produkte überführt werden, was Kooperationen zwischen Forschung, Staat und Wirtschaft voraussetzt. Um Synergien nutzen und weitere Forschungserkenntisse generieren zu können, möchte der Gesetzgeber zusätzliche Anreize für Ausgründungen schaffen. Das Entwickeln und Einführen zukunftsweisender Technologien anerkennt die Bundesregierung als unabdingbar für die digitale Souveränität Deutschlands.
- Security-by-Design: Nicht selten werden innovative Technologien von Sicherheitsrisiken begleitet oder gar behindert. Um derartiges zu verhindern, soll die IT-Sicherheit bereits beim Entwickeln berücksichtigt werden (Security-by-Design). Der Austausch zu Entwicklungstools, Technologien oder Geschäftsmodellen soll zwischen Unternehmen durch Netzwerke ermöglicht werden.
- Quantentechnologie: Mit der Quantentechnologie kommen ein riesiges Potenzial, aber auch neue cybersicherheitstechnische Herausforderungen auf alle zu. Deshalb gilt es, die Auswirkungen des Quantencomputings auf die Cybersicherheit zu erforschen und mit technologischen Innovationen für Sicherheit zu sorgen. Um Quantentechnologie in hochsicheren Netzen einzusetzen, möchte man Sicherheitszertifizierungen entwickeln.
- Prüf- & Abnahmeverfahren: Zuweilen lassen sich sicherheitsrelevante Aspekte bei Neuentwicklungen nicht sofort erkennen – ein gutes Beispiel dafür sind IoT-Anwendungen. Genau das machen sich Cyberkriminelle zunutze, die nach Schwachstellen suchen und diese dann ausnutzen. Staatliche Stellen sollen künftig verlässliche Aussagen zu neuen Technologien treffen können, außerdem sollen Vorgaben regulatorischer Natur eingehalten werden. Prüf- und Abnahmeverfahren könnten so umgestaltet werden, dass sie mit Innovationszyklen harmonisiert werden und dadurch mit beschleunigten Innovationszyklen mithalten können.
- KRITIS-Schutz optimieren: Da kritische Infrastrukturen für das Gemeinwesen unverzichtbar sind, gelten sie als besonders schützenswert. Bereits seit einigen Jahren existiert ein Rechtsrahmen für die Cybersicherheit in KRITIS, jedoch ist dieser ausbaufähig – und genau das soll geschehen. Dafür sollen Wirtschaft und Staat weiterhin eng zusammenarbeiten. Um Einrichtungen zu schützen und zügig auf etwaige Sicherheitsvorfälle zu reagieren, sollen derzeit reaktive Maßnahmen mit proaktiven kombiniert werden. So kann beispielsweise durch frühzeitiges Erkennen die Abwehr von Cyberangriffen gelingen. An einem nationalen Informationsaustausch können sich KRITIS freiwillig beteiligen.
- Cybersicherheitszertifizierungen: Die durch den Cybersecurity Act neu entwickelten Zertifizierungen für Dienstleistungen, IT-Produkte sowie Prozesse sollen weiter ausgebaut werden. Das BSI wird seine Funktion als Zertifizierungsstelle ausbauen, um sich als nationale Cybersicherheitsbehörde zu etablieren.
- TK-Infrastrukturen sichern: Das 5G-Netz, aber auch der Nachfolger 6G basieren auf virtualisierten Netzkomponenten; zentrale Funktionen sind softwaregesteuert. Diese Virtualisierung bietet neue Angriffsflächen, die es zu schützen gilt – auch Mobilfunknetze zählen zu den KRITIS. Ziel der Bundesregierung ist es, die 6G-Standardisierung durch deutsche Akteure maßgeblich mitprägen zu lassen, wofür Forschung und Entwicklung in diesem Bereich gefördert werden sollen.
Kritiken an der Cybersicherheitsstrategie 2021
Nicht alle zeigen sich begeistert von der Cybersicherheitsstrategie 2021 – sowohl inhaltliche Kritik als auch solche zum Zeitpunkt des Beschlusses kommen von FDP-Technologiepolitiker Mario Brandenburg: Nach langem Schleifenlassen beschließe die Regierung kurz vor der Bundestagswahl „eine überhastete Cybersicherheitsstrategie“. Die CSS 2021 werde „diesem komplexen und wichtigen Digitalthema nicht gerecht“, ist Brandenburg überzeugt.
Dass sich über den Zeitpunkt streiten ließe, kann man auch im Bundesinnenministerium eingestehen. Jedoch seien Bedrohungen durch Ransomware oder Staatshacker jetzt aktuell, sodass die Cybersicherheitspolitik nicht stillstehen könne.
Inhaltlich wird ausgerechnet ein Punkt, mit dem das Ministerium die Cybersicherheit erhöhen möchte, hitzig diskutiert: In einem offenen Brief forderten Sicherheitsexperten, „die Verabschiedung der Cybersicherheitsstrategie auf die nächste Legislatur zu vertagen oder zumindest die Ausweitung der Befugnisse für die Sicherheitsbehörden ersatzlos zu streichen.“ Vertreter „der deutschen Industrie, Wissenschaft und der Zivilgesellschaft“ halten „Teile der Strategie“ für „hochumstritten“. Da es „keinen ausreichenden Rückhalt in Wirtschaft und Gesellschaft gibt“, haben die „Maßnahmen wenig Aussicht darauf […], die IT- und Cybersicherheit zu verbessern.“
In „der Cybersicherheitsstrategie finden sich eine Reihe an Maßnahmen, die auf Kosten der IT-Sicherheit die Überwachung durch deutsche Sicherheitsbehörden vorantreiben“ – mitunter eben die erweiterten Befugnisse der Sicherheitsbehörden. Nutzen etwa Sicherheitsbehörden wie der Verfassungsschutz eine Schwachstelle im Betriebssystem, um die Kommunikation von Terrorverdächtigen abzuhören, ist eine Cybergang über dieselbe Lücke in der Lage, einen Energieversorger lahmzulegen.
Eine weitere beschlossene Maßnahme ist heftiger Kritik ausgesetzt: Der Staat möchte künftig zurückhacken, Hackbacks nennt sich das. Hat sich der Staat bislang ausschließlich vor Cyberangriffen geschützt, möchte man nun „gegen die Ursachen schwerer Cyberangriffe aktiv“ vorgehen. Heißt: Der Staat erlaubt sich, selbst Cyberangriffe zu starten – wofür jedoch noch das Grundgesetz geändert werden muss.
Cybersicherheitsstrategie 2021: Richtiger Ansatz, falsche Richtung
Eine effiziente, klare und transparente Cybersicherheitsstrategie ist in Zeiten steigender Digitalisierung, Angriffsflächen und Angriffsmethoden wichtiger denn je – der Ansatz, die im Jahre 2011 gestartete Cybersicherheitsstrategie auch im Jahre 2021 weiterzudenken, ist absolut richtig. Dabei kommt es jedoch auf die Inhalte an – und die sind stellenweise mehr als bedenklich.
Wünschenswert wäre im Ergebnis eine Cybersicherheitsstrategie gewesen, die eine praxisnahe Unterstützung für ein einheitliches Vorgehen in der Cybersicherheit darstellt. Die Überschneidung mit anderen IT-Gesetzen macht es unabdingbar, für eine effektive Handhabung zu sorgen. Herausgekommen ist jedoch – allen Kritiken und Vorschlägen zu Trotz – der Auftakt zu einem digitalen Wettrüsten. Experten, Forschende, auch der wissenschaftliche Dienst des Bundestags sprachen sich vehement gegen die umstrittenen Passagen aus.
Da sich jedoch die neue Bundesregierung nicht zwangsläufig an die in der Cybersicherheitsstrategie 2021 festgeschriebenen Ziele halten muss und sich außer der Union alle im Bundestag vertretenen Parteien gegen die Hackbacks ausgesprochen haben, besteht noch Hoffnung, dass die falsch eingeschlagene Richtung korrigiert werden kann.