KURZ-POSITION | DIGITALISIERUNG | CYBERSICHERHEIT
Cyber-Sicherheitsstrategie 2021 Kommentierung zum Eckpunktepapier des Bundesministeriums des Innern, für Bau und Heimat
14. April 2021 Executive Summary Die deutsche Wirtschaft erachtet einen wirksamen und effektiv umgesetzten strategischen Rahmen im Bereich Cybersicherheit von herausragender Bedeutung. Wir begrüßen daher ausdrücklich, dass die Bundesregierung frühzeitig und unter Einbeziehung der Expertise unterschiedlicher Stakeholder an der Fortschreibung der Nationalen Cyber-Sicherheitsstrategie (CSS) arbeitet. Gleichzeitig müssen wir festhalten, dass es uns in Deutschland nicht an Strategien mangelt. Vielmehr hapert es an deren Umsetzung. Deutschland belegt beim EU-Digitalindex DESI den zwölften Platz. Das ist keine Situation, mit der wir uns zufriedengeben dürfen. Deutschland muss endlich vom Strategiemodus in den Umsetzungsmodus schalten. Daher wird es entscheidend auf den noch zu entwickelnden Maßnahmenkatalog und dessen Umsetzung ankommen, um die Wirksamkeit der CSS 2021 sicherzustellen. Anmerkungen zum Eckpunktepapier ▪
Leitlinie Digitale Souveränität: Die Stärkung der Digitalen Souveränität ist ein wichtiges und richtiges Ziel. Allerdings darf dies nicht zu mehr Protektionismus oder Autarkiebestrebungen führen. Vielmehr muss durch konkrete Maßnahmen in den Bereichen Forschung und Entwicklung, Beschaffungsmarkt und Cybersicherheit die Resilienz des Standorts gestärkt werden.
▪
Kooperativer Ansatz von Staat und Wirtschaft: Die deutsche Industrie unterstützt ausdrücklich einen kooperativen Ansatz. Die Wahrung und Stärkung der Cybersicherheit kann nur als gemeinsame Anstrengung aller Akteure – von Herstellern, über Betreiber, staatliche Stellen und Privat- und gewerbliche Anwender – gelingen.
▪
Messbarkeit: Wir begrüßen die Einführung spezifischer, messbarer, aktiv beeinflussbarer und terminierter Maßnahmen. Zur effizienten Stärkung der Resilienz gegenüber Gefahren aus dem Cyberraum sollte die Bundesregierung sehr ambitionierte Ziele und Maßnahmen definieren.
▪
Steuerung der CSS 2021: Der Nationale Cyber-Sicherheitsrat sollte als strategischer Ratgeber der Bundesregierung, der Vertreter von Bund, Ländern sowie aus der Wirtschaft an einen Tisch bringt, als zentrales Steuerungsgremium des CSS 2021-Controlling fungieren.
▪
EU-weite Abstimmung zwischen den Strategien: Die EU-Mitgliedsstaaten sollten sicherstellen, dass die nationalen CSS ineinandergreifen und sich bestmöglich ergänzen. Nur mittels komplementärer Strategien kann Europas Cyberresilienz ganzheitlich gestärkt werden.
Steven Heckler | Digitalisierung und Innovation | T: +49 30 2028-1523 | s.heckler@bdi.eu | www.bdi.eu
Cyber-Sicherheitsstrategie 2021
Inhaltsverzeichnis Executive Summary ............................................................................................................................ 1 Detaillierte Anmerkungen zum Eckpunktepapier ............................................................................ 3 Leitlinie „Digitale Souveränität“.............................................................................................................. 3 Leitlinie „Sichere Gestaltung der Digitalisierung“ .................................................................................. 4 Leitlinie „Effektivität und Messbarkeit der CSS 2021“ ........................................................................... 5 Handlungsfeld 1 – Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung .......... 5 Handlungsfeld 2 – Gemeinsamer Auftrag von Staat und Wirtschaft .................................................... 6 Handlungsfeld 3 – Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur .. 7 Handlungsfeld 4 – Aktive Positionierung Deutschlands in der europäischen und internationalen CyberSicherheitspolitik ................................................................................................................................... 7 Definition, Umsetzung und Controlling der Cyber-Sicherheitsstrategie ................................................ 8 Strategische Ziele und Maßnahmen ............................................................................................. 8 Steuerung der CSS 2021 .............................................................................................................. 8 Impressum ......................................................................................................................................... 10
2
Cyber-Sicherheitsstrategie 2021
Detaillierte Anmerkungen zum Eckpunktepapier Die Bundesregierung hat in dieser Legislatur im Bereich Digitalisierung bereits eine Datenstrategie, eine Blockchain-Strategie sowie eine KI-Strategie vorgelegt. Die digitale Transformation Deutschlands wird nur langfristig erfolgreich sein, wenn sie innovationsfördernd, unbürokratisch und zugleich sicher erfolgt. Daher begrüßt die deutsche Industrie ausdrücklich das Vorhaben des Bundesministeriums des Innern, für Bau und Heimat ein Update für die 2016 veröffentlichte Cybersicherheitsstrategie vorzulegen. Gleichzeitig müssen wir festhalten, dass es uns in Deutschland nicht an Strategien mangelt. Vielmehr hapert es an der Umsetzung. Deutschland belegt beim EU Digitalindex DESI den zwölften Platz.1 Das ist keine Situation, mit der wir uns zufriedengeben dürfen. Deutschland muss endlich vom Strategiemodus in den Umsetzungsmodus schalten. Die Cybersicherheitsstrategie 2021 sollte für Staat, Wirtschaft, Wissenschaft sowie allen Bürgerinnen und Bürgern einen ambitionierten und ganzheitlichen strategischen Rahmen zur Stärkung der Cyberresilienz Deutschlands bieten. Gleichzeitig müssen konkrete Meilensteine und messbare Ziele die Implementierung sowie deren Überprüfbarkeit unterstützen. Die deutsche Industrie empfiehlt mit Blick auf das vorliegende Eckpunktepapier folgende Anpassungen: Leitlinie „Digitale Souveränität“ Digitale Souveränität verstanden als „die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“ (Entscheidung IT-PLR 32. Sitzung) soll als zentrales Konzept die CSS 2021 leiten. Die Stärkung der Digitalen Souveränität ist auch aus Sicht der Industrie ein zentrales Ziel. Allerdings muss sichergestellt werden, dass Bestrebungen zur Wahrung und Stärkung der Digitalen Souveränität nicht zu Protektionismus oder Autarkie führen. Eine zielgerichtete Förderung von Kompetenzen, Technologien sowie ein geeignetes Rahmenwerk wären notwendige Schritte. Dafür bedarf es jedoch einer stärkeren Operationalisierung des sehr weitgefassten Begriffs der „Digitalen Souveränität. Der BDI fordert in seinem Papier „Europas Digitale Souveränität nachhaltig stärken“ zum Beispiel: ▪
Das außerordentlich große Volumen der Beschaffungen der öffentlichen Hand in der EU sollte genutzt werden, um Mindeststandards im Sinne der Erreichung einer aus EU-Sicht angemessenen Datenhaltung und -verarbeitung bzw. Digitalen Souveränität zu erreichen, die auf dem europäischen Rechts- und Wertesystem basiert. Dies kann kein Auftraggeber allein leisten. Die öffentliche Hand muss eine Nachfrage an deutsche und europäischen Lösungen schaffen. Dann werden auch mehr deutsche und europäische Angebote digitaler Leistungen geschaffen werden. Hierfür bedarf es der Kooperation bzw. einer Ebenen-übergreifendenden Abstimmung öffentlicher Auftraggeber in der EU. Dazu könnten auf EU-Ebene Mindeststandards, die dem Ziel der Verwirklichung der Digitalen Souveränität in der EU dienen, in Zusammenarbeit aller Beteiligten der öffentlichen Seite und der Wirtschaft und unter Beteiligung von Fachleuten des IT- und Vergabesektors geschaffen werden. Solch ein EU-weiter Kriterienkatalog sollte mit
1
Europäische Kommission. 2020. The Digital Economy and Society Index (DESI). URL: https://ec.europa.eu/digital-single-market/en/digital-economy-and-society-index-desi
3
Cyber-Sicherheitsstrategie 2021
technischen Spezifizierungen auf Basis europäischer Normen von CEN, CENELEC und ETSI konkretisiert werden. ▪
Cyberangriffe auf Kritische Infrastrukturen haben weitreichende Auswirkungen auf Sicherheit und Ordnung sowie den Alltag aller Menschen und Unternehmen. Daher sollten Erkenntnisse über aktuelle Bedrohungsmuster, die z. B. aus Meldungen von KRITIS-Betreibern generiert werden, europaweit gesammelt und den Beteiligten tagesaktuell in anonymisierter Form zur Verfügung gestellt werden. Hierfür bedarf es eines engeren Austauschs zwischen den nationalen kompetenten Stellen. Das BMI sollte sich im Rahmen der CSS für eine Etablierung eines sicheren Austauschmechanismus zu Cybersicherheitsvorfällen und neuartigen Angriffsvektoren einsetzen und diesen gemeinsam mit den anderen 26 Mitgliedstaaten bis Ende 2023 aufbauen.
▪
Es bedarf der Förderung europäischer, digitaler Visionen, die in konkrete Forschungs-, Entwicklung-, Innovationsmissionen überführt werden. F&E-Investitionen müssen noch stärker als bisher zum Ziel haben, neue marktgängige Produkte und Prozesse zu realisieren, die der Gesellschaft zugutekommen und Europa digitaltechnologisch eine internationale Spitzenposition sichern. Es bedarf der Förderung digitaler, europäischer „Missionen“ mit dem Ziel Technologieinnovationen zu schaffen, die als Förderinstrumente und -systeme am Markt so erfolgreich und effektiv wie z. B. das US DARPA sind. Zudem sollten europäische F&E-Projekte gezielt Projekte am Standort Europa fördern, um europäische Digitale Souveränität auch in Zukunft sicherzustellen und die Erforschung von Schlüsseltechnologien in Europa voranzutreiben.
▪
Neben Forschung und Innovation ist es von elementarer Bedeutung, die Hürden für deutsche und europäische Unternehmen, in den Markt einzusteigen, zu senken. Nur wenn z.B. auch junge, innovative Unternehmen an Ausschreibungen der öffentlichen Hand partizipieren können, wird das volle Potenzial ausgeschöpft.
▪
Es ist notwendig, Schwachstellen zu detektieren und diese den Herstellern zu melden, damit sie zügig behoben werden können. Auch staatliche Stellen müssen sich verpflichten, Kenntnisse über Schwachstellen nicht zurückzuhalten. Dabei sollte stets das Responsible-Disclosure-Prinzip eingehalten werden. Nur so kann die Cyberresilienz gestärkt werden.
Leitlinie „Sichere Gestaltung der Digitalisierung“ Die stärkere Dynamik der digitalen Transformation fordert nach Ansicht des BMI einen Fokus auf Sicherheit. Der BDI unterstützt diese Forderung. Nur durch cyberresiliente Produkte (Hardware und Software) und Systeme, Kritische Infrastrukturen und Organisationen sowie ein hohes Maß an Cyberkompetenz kann das gesellschaftliche Vertrauen in die digitale Transformation langfristig erhöht werden. Gleichzeitig muss die Bundesregierung sicherstellen, dass Cybersicherheit nicht zukünftig als Bremse der Digitalisierung im öffentlichen Diskurs – analog zum Datenschutz – verwendet wird. Es braucht eine gute Balance zwischen pragmatischen und sicheren Lösungen. In diesem Zusammenhang fordert der BDI die Bundesregierung auf, vom neuen europäischen Diktum „Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung“ Abstand zu nehmen. Die Verschlüsselung von Daten ist essenziell, um private und geschäftliche Kommunikation im Digitalen zu schützen, die Arbeit von Journalisten zu ermöglichen und Know-how von Unternehmen vor dem unberechtigten Zugriff Dritter abzusichern. Die Bundesregierung muss sich in Europa für starke Endezu-Ende-Verschlüsselung ohne Hintertüren und „Generalschlüssel“ einsetzen, um sensible Daten sowohl im privaten wie gewerblichen Kontext vor dem unberechtigten Zugriff Dritter zu schützen. Dabei muss sie auch selbst Vorreiter in der eigenen Gesetzgebung sein. Zudem sollte die Bundesregierung
4
Cyber-Sicherheitsstrategie 2021
verstärkt die Entwicklung von Post-Quantum-Kryptographie-Verfahren fördern, um zukünftigen Anforderungen an vertrauliche und sichere Kommunikation frühzeitig Rechnung zu tragen. Leitlinie „Effektivität und Messbarkeit der CSS 2021“ Das Bundesinnenministerium erkennt an, dass zur Messbarmachung des Erfolgs der CSS 2021 auch messbare Ziele formuliert werden müssen. Die deutsche Industrie unterstützt dies mit Nachdruck. Eine enge, strukturierte Einbeziehung von Stakeholdergruppen bei der Umsetzung sowie kontinuierlichen Evaluation der CSS 2021 erachten wir als essenziell. Des Weiteren verweisen wir auf unsere untenstehenden Ausführungen zu „Strategische Ziele und Maßnahmen“. Handlungsfeld 1 – Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung Das BMI stellt fest, dass die CSS 2021 alle – vom Großkonzern über KMU bis hin zu Verbraucherinnen und Verbrauchern – sicher und selbstbestimmt im Digitalen handeln können müssen und hierfür gewisse Kompetenzen brauchen. Für die Teilhabe an der digitalen Transformation sind ein fundiertes Wissen über gängige IT-Anwendungen sowie der sichere Umgang mit digitalen Anwendungen und Geräten eine Grundvoraussetzung. Damit die Digitale Souveränität Deutschlands nachhaltig gestärkt werden kann, bedarf es souveräner und digital kompetenter Anwender. Von der schulischen Bildung über die berufliche und hochschulische Bildung bis hin zu Weiterbildungsangeboten, müssen zumindest anwendungsbezogene Digitalkompetenzen zukünftig flächendeckend gestärkt werden. Andernfalls wird das Ziel, die Digitale Souveränität Deutschlands und Europas wiederzuerlangen, zum Scheitern verurteilt sein. Mit Blick auf den Verbraucherschutz erachten wir es jedoch als unabdingbare Notwendigkeit, Informationsangebote, wie z.B. ein IT-Sicherheitskennzeichen, europaweit einheitlich einzuführen. Nationale Insellösungen helfen im europäischen Kontext wenig. Der Cybersecurity Act liefert mit dem „elektronischen Beipackzettel“ bereits eine gute Grundlage, die es zu implementieren gilt. Dieser Punkt sollte daher ins Handlungsfeld 4 überführt werden. Es braucht somit keine Einbettung eines nationalen ITSicherheitskennzeichens in eine europäische Lösung, sondern vielmehr die direkte Etablierung des europäischen Ansatzes. Das BMI forciert weiterhin die Umsetzung einer deutschen Krypto-Strategie. Dem BDI ist in diesem Zusammenhang unklar, von welcher Strategie hier die Rede ist. Im Koalitionsvertrag strebt die Bundesregierung an, „Ende-zu-Ende-Verschlüsselung für jedermann verfügbar machen“ (Zeile 1980). Kryptographische Verfahren sind jedoch nur dann erfolgreich, wenn der Staat von jedweder Aufweichung von Kryptographie absieht. Die Bundesregierung sollte sich daher in ihrer CSS 2021 für starke Verschlüsselung ohne Hintertüren und ohne Generalschlüssel aussprechen. In diesem Zusammenhang wäre eine Abkehr vom europäischen Diktum „Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung“ notwendig. Europa darf hier kein falsches Signal an autokratische Staaten senden. Darüber hinaus ist es wichtig, klare Forschungs- und Förderschwerpunkte zu definieren: Mikro- und Nanoelektronik, Rechenzentren und Cloud-Infrastrukturen, Hochleistungsrechner und Quantencomputer sowie Kommunikationssysteme und Netze stellen die Infrastruktur- und Hardwaregrundlagen der Digitalisierung dar. Kompetenzen und Kapazitäten in Forschung, Entwicklung und Herstellung dieser Komponenten sind Garanten für Wachstum und Souveränität. Die deutsche Industrie begrüßt daher ausdrücklich das Vorhaben, quantentechnologische Verfahren, Mikro- und Nanoelektronik sowie die Fortentwicklung von Netzwerkkomponenten im Sinne der Stärkung der Digitalen Souveränität des Standorts zu fördern. Dabei muss jedoch stets ein technologieunabhängiger Ansatz forciert werden. Darüber hinaus gilt es, Cybersicherheit als digitale Schlüsseltechnologie und Grundvoraussetzung für
5
Cyber-Sicherheitsstrategie 2021
Digitalisierung zu begreifen. Dabei darf Cybersicherheit nicht bloß als Add-on der (End-)Produktentwicklung verstanden werden. Vielmehr muss Cybersicherheit als wichtiger Enabler für die erfolgreiche digitale Transformation wahrgenommen werden. Zudem sollte die Bundesregierung eine stärkere Präsenz deutscher staatlicher Behörden sowie der Wirtschaft in internationalen Standardisierungsgremien avisieren, damit Deutschland mit die Regeln im Digitalen setzt. Neben der technologisch wichtigen Grundlagenforschung sollte eine engere Vernetzung mit der Industrie verfolgt werden, sodass aus guter Forschungsarbeit auch marktfähige Produkte und Lösungen resultieren. Dies gilt sowohl auf nationaler als auch auf europäischer Ebene. Die Bundesregierung sollte ein festes Minimum an Förderung in anwendungsorientierte Forschung investieren und zudem darauf hinwirken, dass zeitnah die Ergebnisse der geförderten Forschung hiesigen Unternehmen in geeigneter Form zur Verfügung gestellt werden. Im Sinne einer klugen Standortpolitik darf es nicht dazu kommen, dass durch Steuergelder geförderte Forschungsergebnisse in Drittstaaten zur Marktreife geführt werden. Im Gegensatz: Deutschland muss seine Fähigkeit auf allen Ebenen stärken, potenzielle Sprunginnovationen frühzeitig zu erkennen, sie mit geeigneten Förderinstrumenten zur Marktreife zu bringen und am Weltmarkt zu etablieren. Im Digitalzeitalter ist Industriepolitik gleichbedeutend mit Innovations- und Digitalpolitik. Existierende Instrumente, wie etwa die wichtigen Vorhaben von gemeinsamem europäischem Interesse (IPCEI), müssen verstärkt für digitale Technologien erschlossen werden. Durch die kurzen Innovationszyklen gilt es darüber hinaus, diese Instrumente sachgerecht weiterzuentwickeln und inhaltlich den besonderen Bedingungen der digitalen Wirtschaft anzupassen. Handlungsfeld 2 – Gemeinsamer Auftrag von Staat und Wirtschaft Das BMI stellt heraus, dass zur Wahrung der Cybersicherheit Deutschlands ein enger Austausch von Staat und Wirtschaft unabdingbar sei. Die deutsche Industrie unterstützt dies. Hierfür muss die Kooperation von staatlichen Stellen und privatwirtschaftlichen Organisationen, z.B. durch eine Weiterentwicklung des Nationalen Cyber-Sicherheitsrats, gestärkt und durch Beteiligung weiterer Akteure, u. a. in der Allianz für Cybersicherheit, ausgebaut werden. Gemeinsam sollten sich Staat und Wirtschaft zudem für internationale Normen und für ein verantwortungsbewusstes Handeln aller Akteure im Cyberraum einsetzen sowie bei Bedarf den europäischen Rechtsrahmen weiterentwickeln. Die Bundesregierung sollte sich im Rahmen des Maßnahmenkatalogs verpflichten, bis Ende 2022 eine einheitliche digitale Meldestruktur mit Anbindung an alle zuständigen Landes- und Bundeseinrichtungen sowie den Akteuren der Wirtschaft zur Meldung von Cybersicherheitsvorfällen zu implementieren. Großbritannien kann hier als Vorbild dienen. Dort werden heute sieben Mal mehr Fälle durch die Wirtschaft gemeldet, als dies in Deutschland der Fall ist. Die deutsche Industrie begrüßt in diesem Zusammenhang die enge Zusammenarbeit mit dem Bundesministerium des Innern, für Bau und Heimat zur Einführung horizontaler Cybersicherheitsanforderungen auf Basis des NLF. Wir fordern die Bundesregierung auf, als ein konkretes strategisches Ziel im Rahmen der CSS 2021 die Umsetzung der Ratsschlussfolgerungen vom 2. Dezember 2020 zu forcieren. Staat und Wirtschaft sollten sich in der Europäischen Union gemeinsam für die Einführung horizontaler Cybersicherheitsanforderungen für vernetzbare Produkte auf Basis des New Legislative Frameworks einsetzen. Die deutsche Industrie unterstützt das Vorhaben zur Einführung eines
6
Cyber-Sicherheitsstrategie 2021
entsprechenden europäischen Rechtsrahmens. 2 Wir begrüßen die Bestrebungen, Doppelregulierung zu vermeiden. Handlungsfeld 3 – Leistungsfähige und nachhaltige gesamtstaatliche CyberSicherheitsarchitektur Die CSS 2021 strebt eine Evaluation der bisherigen nationalen Cybersicherheitsarchitektur an und forciert die Zentralstellenfunktion des BSI. Die deutsche Industrie erachtet eine Überprüfung der Kompetenzverteilung zu Cybersicherheitsthemen als essenziell. Die Bundesregierung muss dringend eine schlanke und effizient ausgestaltete Cybersicherheitsarchitektur entwickeln, die möglichst ohne Überschneidungen und Doppelzuständigkeiten auskommt. Unternehmen brauchen klare Ansprechpartnerinnen und -partner in den Behörden. Die aktuelle Kakophonie in der Zuständigkeitsverteilung sehen wir als Hindernis für eine effiziente Cybersicherheitspolitik. Zudem sollte in die CSS 2021 eine enge Verknüpfung mit den Bestrebungen einer Wirtschaftsschutzstrategie aufgenommen werden. Zum Schutz vor Spionage und Sabotage bedarf es eines ganzheitlichen Ansatzes über etablierte Referats- und Abteilungsstrukturen innerhalb von Behörden hinweg. Zudem fordern wir die Bundesregierung auf, im Rahmen der CSS 2021 vorzusehen, spätestens in der 20. Legislaturperiode einen geeigneten Strafrahmen zu etablieren, der nicht die Opfer von Cybersicherheitsvorfällen in den Fokus nimmt – wie dies im aktuellen IT-Sicherheitsgesetz 2.0 mit den dortigen Bußgeldvorschriften der Fall ist – sondern vielmehr die Täter. Dies sollte als konkrete Maßnahme eingefügt werden. Die Bundesregierung sollte besser die Potenziale des Nationalen Cyber-Sicherheitsrats (NCSR) ausschöpfen. Die im NCSR vertretenen Wirtschaftsverbände erachten den Nationalen Cyber-Sicherheitsrat als wichtiges Gremium, das unbedingt in seiner jetzigen Zusammensetzung bestehen bleiben sollte. Der NCSR sollte jedoch zukünftig stärker als bisher das Gremium der Bundesregierung sein, welches den strukturierten Austausch zwischen den Bundesbehörden untereinander sowie den Bundesbehörden mit Vertreterinnen und Vertretern der Wirtschaft zu strategischen Aspekten der Cybersicherheit ermöglicht. Daher bedarf es einer sowohl institutionellen als auch inhaltlichen Aufwertung des Gremiums. Die Wirtschaftsverbände begrüßen in diesem Zusammenhang das Vorhaben, dem NCSR eine Geschäftsordnung zu geben. Diese sollte Minderheitsvoten ermöglichen und für jede Organisation – einschließlich jedes Verbands – eine Stimme vorsehen. Handlungsfeld 4 – Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik Das Eckpunktepapier stellt mit Handlungsfeld 4 heraus, dass die internationale Dimension in allen Handlungsfeldern mitgedacht wird. Dies begrüßen wir ausdrücklich, insbesondere mit Blick auf die Schaffung internationaler Normen zu staatlichem Verhalten im Cyberraum. Die Bundesregierung sollte verstärkt auf die Erarbeitung und weltweite Umsetzung von Regeln für verantwortungsvolles staatliches Handeln im Cyberraum im Rahmen der „United Nations Group of Governmental Experts (UN GGE) on Developments in the field of information and telecommunications in the context of international security“ hinwirken. Grundlegende verbindliche Anforderungen der internationalen
2
Vgl. hierzu BDI-DIN-DKE-Stellungnahme: https://bdi.eu/publikation/news/europaweite-cyberregulierung.
7
Cyber-Sicherheitsstrategie 2021
Staatengemeinschaft müssen die Basis für jedwede Form staatlichen Handelns im Cyberraum werden. Zu deren Ausarbeitung erachtet die deutsche Industrie die UN GGE als das geeignete Forum. Definition, Umsetzung und Controlling der Cyber-Sicherheitsstrategie Die CSS 2021 soll strategische Ziele, die spezifisch, messbar, aktiv beeinflussbar, realistisch und terminiert sind, direkt im Strategiedokument enthalten sowie durch konkrete Maßnahmen, die in einem Annex aufgelistet sind und fortlaufend weiterentwickelt werden, unterfüttert werden. Das Eckpunktepapier sieht vor, dass das BMI die CSS 2021 koordiniert, die Definition und Umsetzung der einzelnen Maßnahmen jedoch den Ressorts obliegt. Vor dem Hintergrund der Relevanz des Themas und seiner vielschichtigen Auswirkungen auf Staat, Wirtschaft und Bevölkerung stellt sich die Frage, ob die Gesamtverantwortung der Entwicklung der CSS 21 bei nur einem Ressort, dem BMI, liegen soll oder ob diese Gesamtverantwortung als Chefsache in die Hände des Bundeskanzleramtes zu legen ist. Aus unserer Sicht ist es zwingend erforderlich, dass Belange der Wirtschaft, Bildung, der Bevölkerung (sichere Nutzung digitaler Dienste), staatliche Sicherheitsinteressen (bspw. Prävention und Verfolgung von Straftaten) in einem ausgewogenen Verhältnis berücksichtigt werden. Dieses ausgewogene Verhältnis lässt sich besser erreichen, wenn alle Ressorts der Bundesregierung gleichberechtigt an der CSS 21 mitwirken, ohne dass einem Ressort die Federführung bei der Entwicklung obliegt. Strategische Ziele und Maßnahmen Eine gemeinsame, nicht repräsentative Umfrage von Bitkom, DIHK und BDI hat im September 2020 verdeutlicht, dass trotz des umfangreichen Aufbaus von Stellen in BSI und BMI sowie der zahlreichen initiierten Maßnahmen (u.a. Nationaler Pakt für Cybersicherheit, Initiative IT-Sicherheit in der Wirtschaft) vielfach Unternehmen die Ziele der CSS 2016 als nicht umgesetzt erachten. Dies liegt gewiss darin begründet, dass beim Verfassen der CSS 2016 auf die Nennung konkreter Meilensteine sowie eines klaren Zeitplans verzichtet wurde. Daher begrüßt die deutsche Industrie, dass die CSS 2021 messbare und eindeutig terminierte strategische Ziele enthalten soll. Allerdings sollten die strategischen Ziele nicht SMART, sondern SMAAT sein, also spezifisch, messbar, aktiv beeinflussbar, ambitioniert und terminiert. Bei der Erarbeitung eines ambitionierten Maßnahmenkatalogs sollte zudem der Grundsatz gelten: Jedes Ziel, das man verfehlt und jeden Meilenstein, den man nicht fristgerecht erreicht, mögen erklärungsbedürftig sein. Aber nur durch konkrete und quantifizierbare ambitionierte Ziele und Meilensteine wird Deutschland die eigene Cyberresilienz wirksam und umfangreich stärken können. Andernfalls fehlt der politische und gesellschaftliche Druck zur Investition von finanziellen und personellen Ressourcen in die Cybersicherheit. Ohne ein ausreichend hohes Maß an Cyberresilienz wird die Bereitschaft zur Nutzung digitaler Lösungen weiter auf einem unzureichenden Niveau verharren und Deutschland im europäischen und internationalen Vergleich nicht in die digitale Avantgarde aufschließen. Steuerung der CSS 2021 Das Eckpunktepapier sieht vor, dass die Steuerung der CSS 2021 mittels eines strategischen Controllings durch das BMI sowie durch eine Begleitung der operativen Umsetzung durch die Ressorts erfolgen soll. Als Mitglied des Nationalen Cyber-Sicherheitsrats (NCSR) vermisst der BDI eine Einbeziehung des NCSR in die Steuerung und Evaluierung der CSS 2021. Wie eingangs aufgezeigt, bedarf es einer klaren Umsetzung von Strategien, damit diese Deutschland bei der digitalen Transformation
8
Cyber-Sicherheitsstrategie 2021
entschieden voranbringen. Der NCSR soll laut Bekundung des BMI „die für Deutschland im Bereich Cyber-Sicherheit wesentlichen strategischen Themen übergreifend“3 vorantreiben. Es ist uns daher völlig unklar, warum der NCSR nicht auch in die Evaluierung des NCSR eng eingebunden wird. Gemeinsam mit den Verbänden Bitkom und DIHK hat der BDI unlängst in einem gemeinsamen Strategiedokument zur Weiterentwicklung des NCSR dem BMI folgenden Vorschlag unterbreitet: Regelmäßiges Monitoring der CSS 2021: Der NCSR sollte jeweils in seiner Sommersitzung den aktuellen Umsetzungsstand der Nationalen Cyber-Sicherheitsstrategie 2021 beraten. Hierfür sollten die Bundesministerien rechtzeitig vor der Sitzung einen Umsetzungsreport erstellen und dem NCSR vorlegen. Die Wirtschaftsverbände BDI, Bitkom und DIHK bieten wiederum an, jährlich in ihrer Mitgliedschaft eine Umfrage zum aktuellen Umsetzungsstand (analog zur Umfrage zur CSS 2016) durchzuführen und die Ergebnisse in der Sommersitzung vorzustellen. Anschließend sollten die Mitglieder des NCSR dem Bundeskabinett einen Kurzbericht zum Umsetzungsstand der CSS 2021 auf Basis der vordefinierten Meilensteine vorlegen und darauf basierend Handlungsempfehlungen der Bundesregierung vorschlagen. Die wesentlichen Inhalte des Berichts sollten zudem in veröffentlichungsgerechter Form mit den Verbänden geteilt werden. Der BDI fordert die Umsetzung dieses Vorschlags nachdrücklich ein, damit in den jährlichen Evaluierungsberichten zum Umsetzungsstand der CSS 2021 auch die Perspektive der Wirtschaft als entscheidenden Akteur der deutschen Cybersicherheitsarchitektur einfließt.
3
CIO Bund. Cyber-Sicherheitsrat. URL: https://www.cio.bund.de/Web/DE/Politische-Aufgaben/Cyber-Sicherheitsrat/cyber_sicherheitsrat_node.html
9
Cyber-Sicherheitsstrategie 2021
Impressum Bundesverband der Deutschen Industrie e.V. (BDI) Breite Straße 29, 10178 Berlin www.bdi.eu T: +49 30 2028-0 Redaktion Steven Heckler Referent Digitalisierung und Innovation T: +49 30 2028-1523 s.heckler@bdi.eu
BDI Dokumentennummer: D 1358
10