Bund aktualisiert Strategie für Cyber-Sicherheit

0
1645
Das Bundesinnenministerium arbeitet an einem Update der Cyber-Sicherheitsstrategie für Deutschland. (Foto: Ralf Kalytta, stock.adobe.com)

Das Bundesinnenministerium will sich für die Gestaltung der Cyber-Sicherheit in Deutschland in den nächsten Jahren neu positionieren. Leitend soll eine aktualisierte Cyber-Sicherheitsstrategie für Deutschland 2021 sein. Zum jetzt vorgelegten Entwurf werden noch bis 16. Juni 2021 Stellungnahmen eingeholt.

Der Entwurf ist eine Fortschreibung der zuerst 2011 veröffentlichten und 2016 überarbeiteten Cyber-Sicherheitsstrategie. Das BMI steckt darin den Rahmen in vier Handlungsfeldern ab.

Digitalen Alltag sicherer machen

Unter der Überschrift “Sicheres und selbstbestimmtes Handeln in einer digitalen Welt” sind Maßnahmen zur Erhöhung der digitalen Kompetenz der Bürger/innen und kleiner Organisationen sowie zum sicheren Umgang mit digitalen Technologien beschrieben. So sollen Bildungsangebote, anwenderfreundliche sicherheitstechnische Lösungen und Verschlüsselung gefördert werden. Das BMI beharrt aber weiterhin auf dem paradoxen Credo “Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung”. Behörden sollen in Abstimmung mit Diensteanbietern technische Zugänge zu verschlüsselter Kommunikation erhalten

Gleichzeitig sollen aber die Voraussetzungen für eine sichere elektronische Kommunikation in sensiblen Bereichen wie Gesundheitswesen, Mobilität und E-Government geschaffen werden. Für KI-Systeme sollen klare IT-Sicherheitsanforderungen definiert werden. Im Umgang mit Schwachstellen in IT-Produkten soll ein weitgehend standardisierter Prozess eingeführt werden. Unternehmen sollen zur Behebung verpflichtet werden. Die in den letzten Jahren häufig geforderte Pflicht zur Offenlegung entdeckter Lücken durch Behörden wird es nicht geben. Stattdessen soll eine behördenübergreifende Strategie zum Umgang mit 0-day-Schwachstellen und Exploits erarbeitet werden. Damit soll auch ein verbindliches Vorgehen zur Risikoabwägung eingeführt werden, wenn Sicherheitsbehörden Schwachstellen für die Strafverfolgung, Gefahrenabwehr und nachrichtendienstliche Aufklärung nutzen wollen.

Wirtschaft stärken und vernetzen

Als Handlungsfeld zwei nennt das BMI den “Gemeinsamen Auftrag von Staat und Wirtschaft”. Der Nationale Cyber-Sicherheitsrat soll als Koordinierungsgremium gestärkt werden und zukünftig als Impulsgeber auch stärker in die Wirtschaft, Wissenschaft und Zivilgesellschaft wirken. Künftig sollen zudem Interessengruppen frühzeitig bei Regulierungs- und anderen Vorhaben einbezogen werden. Um einen vertrauensvollen Austausch in Bezug auf Cyber-Angriffe zu ermöglichen, soll eine gesamtgesellschaftliche Informationsbasis mit technischen Plattformen geschaffen werden. Mit Mitteln aus einem IT-Sicherheitsfonds sollen sicherheitsrelevante Soft- und Hardwareproduzenten erworben werden können, die sonst an Investoren aus Drittstaaten verkauft würden. Forschung und Entwicklung in Schlüsseltechnologien wie Quantencomputing sollen stärker gefördert werden. Die Zertifizierung und Prüfung von Diensten und Produkten will das BMI beschleunigen und effizienter gestalten.

Staatliche Cyber-Abwehr verbessern

Das BMI strebt eine leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur an. Zur Gefahrenabwehr soll im Grundgesetz eine erweiterte Gesetzgebungs- und Verwaltungskompetenz des Bundes geschaffen werden. Gemeint sind Befugnisse zur aktiven Cyber-Abwehr bis hin zum Abschalten von IT-Systemen, von denen gravierende Angriffe ausgehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll stärker mit technisch-operativen Einheiten agieren und zum Beispiel bei Sicherheitsvorfällen in Kritischen Infrastrukturen vor Ort unterstützen können. Zudem soll das BSI durch Grundgesetzänderung vergleichbar mit dem BKA im Polizeiwesen und dem BfV im Verfassungsschutzverbund eine Zentralstellenfunktion im Bund-Länder-Verhältnis erhalten. In dem Rahmen sollen Informationsaustausch und Unterstützungsmöglichkeiten ausgeweitet und institutionalisiert werden. Das Nationale Cyber-Abwehrzentrum (NCAZ) soll weiterentwickelt werden. Die schon lange geforderte Einbindung der Länder in das Gremium bleibt unerwähnt.

Im BSI soll ein Kompetenzzentrum zur operativen Sicherheitsberatung von Bundesbehörden eingerichtet werden. Zur Stärkung von Informationssicherheitsbeauftragten in der Bundesverwaltung will das BMI eine gesetzliche Grundlage schaffen. Zudem soll die Rolle des Chief Information Security Officer (CISO) Bund eingeführt werden. Welchen Rang dieser einnehmen wird, wird nicht spezifiziert. Der IT-Beauftragte (CIO) des Bundes Markus Richter hatte sich zuvor für einen CISO auf Staatssekretärs-Ebene ausgesprochen. Zur Erhöhung der Cyber-Sicherheit im Umfeld von Wahlen soll unter anderem ein eigenständiges Cyber-Lagebild erstellt werden, das schädliche Akteure sowie deren Motive und Vorgehensweisen darstellt.

Die Sicherheits- und Strafverfolgungsbehörden sollen neue Befugnisse zur Überwachung und Informationsgewinnung im digitalen Raum erhalten. Die Zentrale Stelle für die Informationstechnik im Sicherheitsbereich (ZITiS) soll gestärkt werden, um die Sicherheitsbehörden des Bundes mit eigenen Dienstleistungen und Produkten zu versorgen.

Thema auf europäischer Ebene voranbringen

In der EU soll die Bundesregierung nach Willen des BMI aktiv die Weiterentwicklung der Cyber-Sicherheitspolitik gestalten. Auf Cyber-Angriffe soll in Zukunft angemessen reagiert werden. Dazu soll die vorliegende Cyber Diplomacy Toolbox der EU zur Anwendung kommen. Auch im NATO-Kontext spricht sich das BMI für mehr Handlungsfähigkeit in der Cyber-Abwehr und -Verteidigung aus. Im Kampf gegen Cyber-Kriminalität soll die internationale Strafverfolgung gestärkt werden. Deutschland soll sich stärker an internationalen Ermittlungsverfahren beteiligen und polizeiliche Aufbauhilfemaßnahmen für ausländische Sicherheitsbehörden anbieten. Gleichzeitig sollen vertrauensbildende Maßnahmen gefördert werden.

Benchmark vorgesehen

Neu ist, dass die Bundesregierung sich an den Zielen der Cyber-Sicherheitsstrategien messen lassen will. So sind für alle Vorhaben mal mehr, mal weniger konkrete Kriterien formuliert, anhand derer ein Controlling stattfinden soll. Messlatte ist mal die Umsetzung eines Gesetzesvorhabens, mal die Erhöhung von Kennzahlen wie Ermittlungsverfahren oder ausgestellte Sicherheits-Zertifikate. Wie das Controlling konkret durchgeführt wird, ist im Entwurf noch nicht ausgearbeitet. Die Strategie wird derzeit noch zwischen den Ressorts abgestimmt.

Noch bis 16. Juni sammelt das BMI zudem Stellungnahmen von Interessenträgern. Der ausgefüllte Fragebogen ist an CSS2021@bmi.bund.de zu richten.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here