Letzte Woche hat die Bundesministerin des Innern und der Heimat, Nancy Faeser, die Cybersicherheitsagenda für Deutschland vorgestellt. Die Lektüre der 15 Seiten lohnt sich, werte Leserinnen und werte Leser. Denn Sie erfahren in groben Zügen wie und durch wen Deutschland als Wirtschaftsmacht, als Verwaltungsstruktur für Bürgerinnen, Bürger sowie Unternehmen und als Gemeinwesen aus dem Cyberraum, das heißt, aus dem Internet, angegriffen wird und bedroht ist.
Diese Agenda ist für mich auch ein Beleg dafür, dass die Politik nach vielen Jahren endlich verstanden hat, dass sie gegen die bösen Absichten von Staaten und der Organisierten Kriminalität handeln muss.
Die Agenda besteht aus acht Maßnahmen zur Stärkung der Cyber-Resilienz von Bundesbehörden, weiteren staatlichen und zivilen Infrastrukturen und insbesondere den Kritischen Infrastrukturen, zur Modernisierung der Cybersicherheitsarchitektur, zum Ausbau sicherer Infrastrukturen, des digitalen Verbraucherschutzes und die Sicherung der Verfügbarkeit von vertrauenswürdiger Technik.
Das ist eine gute Agenda und ein starkes Stück Arbeit, die da vor uns allen liegt. Ich will gar nicht rumnörgeln, das passiert viel zu viel in unserem Lande. Ich bin froh, dass der Staat das alles ins Werk setzen will. Natürlich werden Probleme auftreten, einiges wird zu spät oder gar nicht verwirklicht. Aber die Richtung und die Ambition stimmen. Meine Gedanken zur Cybersicherheitsagenda:
Nur mit einer Ende-zu-Ende-Verschlüsslung sind Daten sicher
Insgesamt liest sich die Agenda wie ein großes ISMS (Informationssicherheitsmanagementsystem) für den Staat. Wenn Sie meine Kolumne lesen, wissen Sie bereits, dass ein ISMS das zentrale Instrument zur Erhöhung der Sicherheit einer Organisation ist.
Es ist nur von Verschlüsselung die Rede, nicht von Ende-zu-Ende-Verschlüsselung. Nur mit der zweiten Art sind Bürgerinnen und Bürger sicher vor staatlichem Zugriff auf ihre Informationen. Hier bleibt abzuwarten, welche Maßnahmen in der Cybersicherheitsstrategie zur Umsetzung der Agenda stehen werden.
Endlich soll es einen Bundes-Ciso geben
Deutschland will sich von außereuropäischen Herstellern bei technischen Lösungen sowie Ermittlungs- und Analysefähigkeiten unabhängiger machen. Hierzu wird die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) als Dienstleister für Sicherheitsbehörden ausgebaut. Sie kennen bereits das BSI (Bundesamt für Sicherheit in der Informationstechnik) als Dienstleister für Bürger und Wirtschaft. Das ZITiS wird zum Pendant für die Sicherheitsdienste Deutschlands ausgebaut.
Für einen besonders wichtigen Schritt halte ich die Schaffung der Funktion des Chief Information Security Officer für den Bund (Bundes-Ciso). Zusätzlich wird ein Kompetenzzentrum zur operativen Sicherheitsberatung des Bundes geschaffen, sodass es mit BSI, ZITiS und Bundes-Ciso schon drei Strukturen zur Beratung der Bundesregierung in Sachen Cyber-Sicherheit gibt. Hier bleibt zu hoffen, dass drei nicht mindestens einer zu viel ist und die Mehrfachberatung die Dringlichkeit der umzusetzenden Aufgaben nicht abschwächt.
Die „Allianz für Cybersicherheit“ des BSI, ein etabliertes Angebot an die KMUs, soll durch gezielte Projekte in den Bereichen „Awareness“ (Schaffung von Bewusstsein für Sicherheitsthemen) und Resilienz (Widerstandsfähigkeit) die Sicherheitswirtschaft in Deutschland stimulieren. Dazu sollen auch Forschungsaufträge der bundeseigenen „Agentur für Innovation in der Cybersicherheit“ beitragen. Des Weiteren ist beim BSI von Erweiterung von Prüfmöglichkeiten zur Vertrauenswürdigkeit von Herstellern von „kritischen Komponenten“ die Rede. Daraus wird eine sehr interessante Diskussion um die Vertrauenswürdigkeit chinesischer Hersteller in deutschen Infrastrukturen entstehen. Der amerikanische Bann Chinas in diesem Bereich lässt grüßen.