Die Überarbeitung der deutschen Cybersicherheitsstrategie steht an

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 04.08.2020

Jüngst startete das BMI einen Aufruf zur Evaluierung und Fortschreibung der deutschen Cybersicherheitsstrategie, deren aktuelle Version auf 2016 datiert (https://www.bmi.bund.de/DE/themen/it-und-digitalpolitik/it-und-cybersich...). Im Rahmen der Verbändeanhörung, deren Frist bis zum 7. August 2020 läuft, wird aufgefordert, zur geltenden Strategie Stellung zu nehmen.

Eingegangen wird dabei vor allem auf folgende Fragestellungen:

  • Welche Schwerpunktthemen und Ziele der aktuellen Strategie haben sich bewährt? Welche Verabredungen, Strukturen und Maßnahmen wirken sich positiv auf die Zielerreichung aus?
  • Welche Schwerpunktthemen und Ziele der Strategie aus 2016 werden als erreicht bzw. für überholt angesehen und bedürfen deshalb zukünftig geringerer Beachtung?
  • Welche Schwerpunktthemen und Ziele sind seit der Fortschreibung der Cybersicherheitsstrategie aus 2016 hinzugekommen und bedürfen deshalb zusätzlicher Erwähnung? Welche Verabredungen, Strukturen und Maßnahmen können Staat, Gesellschaft und Wirtschaft festlegen und vereinbaren, um die notwendigen Ziele zu erreichen?

Die Cybersicherheitsstrategie aus 2016 untergliedert sich in folgende vier Handlungsfelder:

  • Handlungsfeld 1: Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung
  • Handlungsfeld 2: Gemeinsamer Auftrag von Staat und Wirtschaft
  • Handlungsfeld 3: Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur
  • Handlungsfeld 4: Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik

Zu den einzelnen Handlungsfeldern kann meiner Einschätzung nach wie folgt Stellung genommen werden:

Handlungsfeld 1:

  • Sichere elektronische Kommunikation, sichere Webangebote und elektronische Identitäten: Hier sollte zukünftig nicht nur ein Schwerpunkt auf die Schaffung solcher Angebote, sondern auch auf die verbrauchernahe Aufklärung und leichte Verwendung dieser gelegt werden.
  • Einführung eines Gütesiegels für IT-Sicherheit: In meinen Augen sollte dieser Punkt gestrichen werden, da zum einen nicht nachweisbar ist, ob ein solches Siegel wirklich einen Mehrwert bringt, und dies auch eine Doppelregulierung zum EU CSA darstellt. Da das Siegel mit dem IT-SiG 2.0 aber vermutlich ohnehin kommen wird, dürfte dieser Punkt von sich aus obsolet werden.
  • „Digitalisierung sicher gestalten“: In meinen Augen kein separater Punkt, sondern Oberbegriff für alle Maßnahmen.
  • IT-Sicherheitsforschung vorantreiben: Hier ist durchaus fraglich, warum dieser Punkt im ersten Handlungsfeld steht. In meinen Augen besteht hier eher eine Relevanz für die Handlungsfelder 2 und 3. Wo Forschung steht, sollte außerdem nicht das Studium/die Ausbildung dahin fehlen.
  • Zum Verbraucherschutz gehört meiner Meinung nach auch das Thema Updatability von Produkten (mehr und mehr auch IoT) und die aktive Verzahnung mit dem Datenschutz. Generell sollte deshalb das Thema IoT und Verbraucherschutz durch die neue Strategie aufgegriffen werden.

Handlungsfeld 2:

  • Ergänzt werden sollte, das nicht nur mit Providern und (KRITIS)-Anbietern zusammengearbeitet wird, sondern verstärkt mit den Herstellern und Lieferanten – das sowohl auf Hard- und Software-Ebene. Der Entwurf zum IT-SiG 2.0 aus Mai 2020 schießt inhaltlich insoweit über die aktuelle Strategie hinaus.
  • Die Rolle des BSI sollte überdies stärker als bisher in der neuen Strategie Berücksichtigung finden, da sich das ansonsten mit dem zunehmenden Befugnisausbau nicht rechtfertigen lässt.

Handlungsfeld 3:

  • Die Abschnitte zum NCAZ und zu ZITiS müssen in jedem Falle an den aktuellen und geänderten Stand angepasst werden. Die institutionelle Rolle von ZITiS muss überdies (rechtlich) verfestigt werden.
  • „Verteidigungsaspekte der Cyber-Sicherheit stärken“: Dieser Punkt sollte deutlich konkreter gefasst werden: Wer ist zuständig, wer darf handeln, wer hat die Fähigkeiten, wie weit sollten Verteidigungsaspekte gehen? Hier muss geprüft werden, was tatsächlich leistbar und möglich ist.
  • CERT-Strukturen in Deutschland stärken „und miteinander vernetzen“ sollte hier ergänzt werden.
  • Auch sollte ein neuer Punkt bzw. Gedanke eingeführt werden: „Klare und realisierbare regulatorische Rahmenbedingungen für eine zukunftsfeste IT-Sicherheit in Deutschland schaffen“.

Handlungsfeld 4:

  • Zu ergänzen wäre hier meiner Meinung nach ein neuer Punkt: „Verstärkung der Kooperation und Vernetzung mit europäischen Einrichtungen, insb. ENISA“, um auch das Thema „nationale Alleingänge“ in der IT-Sicherheit stärker zu adressieren.
  • Geprüft werden sollte außerdem, ob man das Thema Transparenz bei der Umsetzung regulatorischer Vorgaben auf EU-Ebene adressiert – hierbei ist vor allem an die gegenwärtige Implementierung des EU Cybersecurity Act (CSA) zu denken.
Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen