Gemeinsam sicher
Industrieimpulse für eine zeitgemäße innere Sicherheitsarchitektur.
März 2025
Zehn Handlungsempfehlungen der deutschen Industrie zur Schaffung integrierter Sicherheit
Der russische Angriffskrieg auf die Ukraine stellt Deutschland vor tiefgreifende sicherheitspolitische Herausforderungen. Durch ihn ist ins öffentliche Bewusstsein gerückt, dass Sicherheit nicht allein durch die Bundeswehr und Sicherheitsbehörden gewährleistet werden kann. Vielmehr umfasst Sicherheit die gesamte Resilienz von Staat, Wirtschaft und Gesellschaft. Dazu gehört auch die Sicherung der Grundversorgung mit kritischen Dienstleistungen, von Wertschöpfungs- und Lieferketten – und somit auch der Schutz von Unternehmen vor Angriffen, ob digital oder analog
Zudem verdeutlicht der Krieg, dass ein gesellschaftlicher Konsens notwendig ist, um unsere Werte und Interessen gegen äußere und innere Bedrohungen zu verteidigen. Die derzeitige Sicherheitsarchitektur Deutschlands basiert jedoch auf einem veralteten dualen Konzept: innere und äußere Sicherheit, Krieg und Frieden. Dieses Modell bildet nicht die hybride Bedrohungslage ab, in der wir uns heute befinden – und die eine gesamtgesellschaftliche Kooperation zwischen Bund und Ländern und auch zwischen Staat und Wirtschaft erfordert. Deutschland – als NATO-Partner und EU-Mitglied – ist tägliches Ziel von Angriffen – sowohl von kriminellen als auch von staatlichen Akteuren – ohne dass wir uns offiziell in einem Krieg befinden. Die im Grundgesetz vorgesehenen Dimensionen von Krieg, Frieden und Spannungsfall bilden diese Bedrohungen der Sabotage, der Cyberangriffe und Desinformation nicht ab, um ihnen wirksam begegnen zu können
Kompetenzgerangel um Federführungen, Zuständigkeitsdiffusionen, innerhalb und zwischen den Ministerien sowie zwischen Bund und Ländern, und unzureichende Mittelzuweisungen verschärfen unsere Verwundbarkeit. Die wirtschaftlichen Folgen sind enorm: 2023 entstand der deutschen Wirtschaft ein Schaden von 267 Milliarden Euro durch Sabotage, Spionage und Datendiebstahl. Neun von zehn Unternehmen wurden Opfer von analoger oder digitaler Wirtschaftskriminalität.
Es ist daher dringend erforderlich, grundlegende Reformen der inneren Sicherheitsarchitektur einzuleiten, eine konsequente Umsetzung der strategischen Maßnahmen sicherzustellen und die Zusammenarbeit zwischen Staat und Wirtschaft im Kampf gegen analoge, digitale und hybride Bedrohungen zu intensivieren. Ohne diese Reformen drohen unsere demokratischen Grundlagen weiter zu erodieren, wertvolles Know-how und Geschäftsgeheimnisse ins Ausland abzufließen, und wir bleiben verwundbar gegenüber Angriffen auf unsere kritischen Infrastrukturen und die Gesellschaft. Es ist höchste Zeit, die Sicherheitsstruktur Deutschlands neu zu denken und zu gestalten: gemeinschaftlich, in enger
Bundesverband der Deutschen Industrie e.V.
Kerstin Petretto | Sicherheit und Verteidigung | T: +49 30 2028-1710 | k.petretto@bdi.eu
Steven Heckler | Digitalisierung und Innovation | T: +49 30 2028-1523 | s.heckler@bdi.eu
Kooperation zwischen allen relevanten Akteuren. Nur so können wir die Resilienz schaffen, die auch die Nationale Sicherheitsstrategie fordert.
Daher empfiehlt der BDI:
1. Sicherheitsarchitektur im Inneren neu aufstellen: Die sicherheitspolitische „Zeitenwende“ erfordert eine umfassende Überprüfung und Neuausrichtung der deutschen Sicherheitsarchitektur. Es braucht einen Greenfield-Ansatz, der Kompetenzen und Zuständigkeiten zwischen Behörden, auf Bundes- und Landesebene unter Berücksichtigung hybrider Bedrohungsszenarien neu sortiert
2. NIS-2- und CER-Richtlinien national umsetzen: Die neue Bundesregierung muss rasch – in enger Abstimmung mit der Industrie – praxisnah die EU-Richtlinien in nationales Recht überführen.
3. Strategien und Gesetze umsetzen: Strategien und Gesetze sind nur so gut wie ihre Umsetzung. Eine erfolgreiche Umsetzung von Strategien und Gesetzen erfordert insbesondere die enge systematische Zusammenarbeit zwischen Staat, Wirtschaft und Gesellschaft sowie ausreichend allokierte Ressourcen
4. Echten bidirektionalen Informationsaustausch institutionalisieren: Zum Aufbau eines tagesaktuellen Lagebilds sowie zur Institutionalisierung des Austauschs über die aktuelle Lage sollte ein Single Point of Contact auf Behördenseite für alle Vorfallsmeldungen errichtet, die Behörden zum Austausch mit der Wirtschaft gesetzlich ermächtigt und ein gemeinsames Lagezentrum von Behörden und Wirtschaft geschaffen werden
5. Kohärenz für mehr Effizienz – Doppelregulierung vermeiden: Die zunehmende Komplexität der Cybersicherheitsregulierungen auf nationaler und europäischer Ebene stellt Unternehmen vor erhebliche Herausforderungen. Viele Unternehmen investieren bereits erheblich in ihre Cybersicherheitsmaßnahmen, doch ein Übermaß an Meldepflichten und Doppelregulierungen behindert den Fortschritt und bindet unnötige Ressourcen. Die Bundesregierung sollte sich daher auf eine Harmonisierung der Regularien konzentrieren.
6. Ganzheitliche Schutzkonzepte aufsetzen: Der Schutz von Unternehmen vor Spionage, Sabotage, Wirtschafts- sowie Cyberkriminalität setzt ein ganzheitliches Schutzkonzept voraus. Neben organisatorischen und technischen Maßnahmen müssen auch die Mitarbeitenden integraler Bestandteil ganzheitlicher Sicherheitsansätze sein. Stetige Schulungs- und Sensibilisierungsmaßnahmen sind hier die zentralen Bausteine. Die Bundesregierung sollte die Möglichkeit einer freiwilligen Vertrauenswürdigkeitsüberprüfung von Mitarbeitenden einführen
7. Investitionen in Sicherheit erhöhen: Um die Investitionsbereitschaft zu erhöhen, sollte die Bundesregierung steuerliche Anreize schaffen, die es Unternehmen erleichtern, in Cybersicherheitsprodukte, -lösungen und -schulungen zu investieren. Abschreibungsmöglichkeiten können einen wesentlichen Beitrag dazu leisten, das Schutzniveau in der gesamten Wirtschaft zu erhöhen. Zudem sollte der Staat als Ankerkunde für Security-Lösungen „made in Germany“ auftreten.
8. Fachkräftemangel bekämpfen: Neben der Schaffung neuer Studiengänge im Bereich Cybersicherheit sollten spezifische Ausbildungsberufe und Umschulungsprogramme entwickelt werden, die auf die Anforderungen der deutschen Industrie abgestimmt sind.
9. Deutschlands Resilienz auf allen Ebenen des Föderalstaats stärken: Die Verwaltungen auf allen Ebenen des Föderalstaats sollten zwingend die an „besonders wichtige Einrichtungen“ gestellten Anforderungen des NIS-2-Umsetzungsgesetzes erfüllen müssen. Die Industrie ist auf eine leistungsfähige Verwaltung angewiesen.
10. Sicherheit als Teil der Industriepolitik begreifen: Cybersicherheit muss als strategisch elementarer Bestandteil der deutschen Industriepolitik begriffen werden, um den erfolgreichen Cybersecurity-Wirtschaftsstandort Deutschland zu stärken.
Inhaltsverzeichnis
1. Sicherheitsarchitektur neu aufstellen: Greenfield-Ansatz forcieren .....................................4
2. NIS-2- und CER-Richtlinie rasch in Deutschland umsetzen...................................................5
3. Strategien und Gesetze umsetzen: Kooperativ, mit ausreichend allokierten Ressourcen.5
4. Echten bidirektionalen Informationsaustausch institutionalisieren: Ganzheitliches Sicherheitslagebild kooperativ implementieren ..............................................................................6
1. Einrichtung eines Single Point of Contact für Vorfallsmeldungen: 7
2. Ermächtigung der Behörden zum Austausch mit der Wirtschaft 7
3. Etablierung eines gemeinsamen Lagezentrums: Kollaboration zwischen Behörden und Wirtschaft stärken 7
5. Kohärenz für mehr Effizienz: Doppelregulierung vermeiden .................................................8
6. Ganzheitliche Schutzkonzepte aufsetzen: Vertrauenswürdigkeitsüberprüfung von Mitarbeitenden einführen .................................................................................................................10
7. Investitionen in Sicherheit erhöhen: Steuerliche Anreize schaffen und Auftragsvergabe durch öffentliche Hand stärken 11
8. Fachkräftemangel bekämpfen: Neue Ausbildungswege schaffen 11
9. Deutschlands Resilienz auf allen Ebenen des Föderalstaats stärken.................................12
10. Sicherheit als Teil der Industriepolitik begreifen................................................................13 Impressum .........................................................................................................................................15
1. Sicherheitsarchitektur neu aufstellen: Greenfield-Ansatz forcieren
Die sicherheitspolitische „Zeitenwende“ erfordert eine umfassende Überprüfung und Neuausrichtung der deutschen Sicherheitsarchitektur. Die digitale Transformation sowie die zunehmenden Bedrohungen durch Cyberangriffe, Desinformation, Spionagetätigkeiten, Sabotageakte – insbesondere im Kontext hybrider Kriegsführung – haben die Anforderungen an den Staat dramatisch verändert. Einzelne Anpassungen oder das Beheben von Schwachstellen reichen nicht mehr aus – sie kaschieren lediglich das Grundproblem.
Die Nationale Sicherheitsstrategie verfolgt den Ansatz der integrierten Sicherheit. Es ist dringend angezeigt, diesen endlich durch konkrete Maßnahmen zu implementieren – denn Strategien tragen nur zur Stärkung der Resilienz bei, wenn sie konsequent umgesetzt werden Reale und digitale Bedrohungen verschmelzen zunehmend, was einen ganzheitlichen Ansatz erfordert, der nicht nur rhetorisch, sondern auch strukturell verankert ist. Eine engere Verzahnung der Ressorts und Bundesbehörden im Bereich der Außen-, Sicherheits-, Verteidigungs- und Wirtschaftspolitik ist somit dringend geboten. Ohne grundlegende Reformen werden hybride Bedrohungslagen, Spionage, Sabotage und Cyberangriffe nicht effektiv bekämpft, geostrategische Risiken und Verwundbarkeiten nicht vorausschauend bewältigt werden. Mut zur Veränderung ist notwendig, um die föderale Sicherheitsarchitektur von Bund und Ländern sowie die Zusammenarbeit der Behörden – und deren Kooperation mit nicht-staatlichen Akteuren, wie Unternehmen – kritisch zu überprüfen. Moderne Technologien, wie Künstliche Intelligenz (KI) und Automatisierung, müssen stärker genutzt werden, um die Effizienz der Sicherheitsbehörden zu steigern. Prozesse sollten verschlankt und kostengünstiger gestaltet werden. Gleichzeitig sollte die Wirtschaft intensiver in die nationale Sicherheitsarchitektur eingebunden werden, um den Schutz von Wertschöpfungs- und Lieferketten sowie kritischen Infrastrukturen zu gewährleisten. Dies erfordert eine engere Zusammenarbeit zwischen staatlichen Stellen und der Privatwirtschaft.
Ein Greenfield-Ansatz, der bestehende Institutionen und Prozesse grundlegend modernisiert, ist unverzichtbar. Das bedeutet nicht, dass alle vorhandenen Strukturen obsolet sind. Vielmehr sollten bewährte Elemente in ein schlankeres und effizienteres Gesamtsystem integriert werden. So gilt es beispielsweise, die landes- und bundesbehördlichen zivilen Zuständigkeiten für Cybersicherheit (Prävention, Detektion, Beratung und Lage) zusammenzuführen, Synergien zu heben und Doppelstrukturen abzubauen. Nur so werden angesichts der aktuellen Haushaltsbeschränkungen die vorhandenen finanziellen und personellen Ressourcen effizient eingesetzt und die Resilienz des Standorts erhöht werden können. Auch innerhalb von Ministerien müssen die für den Schutz kritischer Infrastrukturen, hybrider Bedrohungslagen, Wirtschaftsschutz und Cybersicherheit zuständigen Stellen stärker als bisher verschränkt arbeiten – oder sogar miteinander vereint werden
Um die verschiedenen Enden der Zuständigkeit an einem Knotenpunkt zusammenzuführen und systematisch gemeinsam Antworten zu erarbeiten, gilt es, den Bundessicherheitsrat zu einem echten Nationalen Sicherheitsrat (NSR) weiterzuentwickeln. Dieser könnte auf Ministerebene für eine gemeinsame strategische außen-, sicherheits- und verteidigungspolitische Linie Sorge tragen, die Wirtschaft als Teil der nationalen Sicherheit begreift und mitdenkt. In akuten Krisenzeiten kann so ein schnelles und zielgerichtetes Handeln sichergestellt werden. Ein ihm nachgeordnetes ständiges, ressort- und behördenübergreifendes Lage- und Analysezentrum sollte die Arbeit des NSR unterstützen.
Der BDI fordert die Entwicklung und Umsetzung eines neuen Zielbildes, das die aktuellen Bedrohungslagen berücksichtigt und Deutschlands Resilienz nachhaltig stärkt – unter Einbeziehung von Wirtschaft und Gesellschaft.
2. NIS-2- und CER-Richtlinie rasch in Deutschland umsetzen
Um die Resilienz des Standorts vollumfänglich zu stärken, muss die neue Bundesregierung rasch die NIS-2-Richtlinie sowie die Critical-Entities-Resilience-(CER)-Richtlinie in nationales Recht umsetzen. Die neue Bundesregierung muss rasch Entwürfe für Umsetzungsgesetze vorlegen. Dabei sollte die Möglichkeit eines gemeinsamen Umsetzungsgesetzes für beide Richtlinien geprüft werden, um den ganzheitlichen Sicherheitsansatz zu realisieren Die neue Bundesregierung sollte die regulatorischen Anforderungen in enger Abstimmung mit den betroffenen Betreibern Kritischer Infrastrukturen sowie weiterer Unternehmen entwickeln Die Unternehmen brauchen endlich Planungssicherheit über die umzusetzenden Maßnahmen Bei der Umsetzung der Anforderungen in nationales Recht sollte primär eine 1:1-Umsetzung erfolgen und auf nationale Sonderwege zwingend verzichtet werden. Es bedarf einer engen Einbeziehung aller relevanter Wirtschaftsvertreter, um praxisnahe und wirksame Anforderungen zu beschließen. Ein Vorgang wie die mit der Wirtschaft nicht konsultierte Anpassung der Anforderungen an „Kritische Komponenten“ darf sich nicht wiederholen. Andernfalls droht die künftige Umsetzung der NIS-2-Richtlinie ihre intendierte Wirkung zu verfehlen.
3. Strategien und Gesetze umsetzen: Kooperativ, mit ausreichend allokierten Ressourcen
Den sicherheitspolitischen Herausforderungen muss strukturell und nachhaltig begegnet werden. Eine erfolgreiche Umsetzung von Strategien und Gesetzen erfordert insbesondere die enge systematische Zusammenarbeit zwischen Staat, Wirtschaft und Gesellschaft. Nur durch dieses Zusammenspiel lassen sich abstrakte Konzepte in konkrete Maßnahmen umsetzen.
In der Vergangenheit wurde diese Kooperation oft vernachlässigt, was zu Ineffizienzen in der Umsetzung führte. Künftig müssen bei der Entwicklung, Umsetzung und Weiterentwicklung von Strategien und Maßnahmen die relevanten Akteure aus der Wirtschaft frühzeitig und strukturiert einbezogen werden. Bestehende Formate, wie die Allianz für Cybersicherheit (ACS), der Nationale Cyber-Sicherheitsrat und die Initiative Wirtschaftsschutz, sollten gestärkt und gezielt genutzt werden. So sollten diese Initiativen strukturiert in die Erarbeitung und Weiterentwicklung der Nationalen Cyber-Sicherheitsstrategie, der Nationalen Wirtschaftsschutzstrategie und der Nationalen Sicherheitsstrategie einbezogen werden. Die aktuelle Praxis der Etablierung von ad hoc Gruppen ohne festes Mandat lehnen wir ab, da sie die Breite der Interessenslandschaft nicht hinreichend abbilden Die Wirtschaft sollte als gleichwertiger Partner verstanden werden, der wesentliche Beiträge zur Sicherheitsarchitektur leisten kann. Sicherheit wird nur im Team erhöht.
Zudem müssen ausreichende Ressourcen bereitgestellt werden – sowohl von staatlicher Seite als auch aus der Wirtschaft. Eine adäquate finanzielle Unterlegung der neu zu gestaltenden kooperativen – integrierten – Sicherheitsarchitektur ist unerlässlich. Die Nationale Sicherheitsstrategie sowie die Umsetzung der NIS-2-Richtlinie und der CER-Richtlinie schaffen neue Anforderungen – sowohl für staatliche Behörden als auch für die Wirtschaft. Der Bundeshaushalt muss diese Strategien mit realistischen Mitteln unterlegen, um deren Zielsetzungen zu erreichen.
Die Umsetzung der NIS-2-Richtlinie und der CER-Richtlinie wird erhebliche Mittel erfordern Das Bundesamt für Sicherheit in der Informationstechnik (BSI) muss in der Lage sein, Unternehmen bei der Umsetzung von Cybersicherheitsmaßnahmen effektiv zu unterstützen, während das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eine zentrale Funktion im Bereich des physischen Schutzes übernehmen soll. Eine angemessene Finanzierung ist notwendig, um die effektive Implementierung der erforderlichen Maßnahmen sicherzustellen und die Cybersicherheit sowie die staatliche Gefahrenabwehr auf einem hohen Niveau zu halten. Nur durch eine substanzielle finanzielle
Unterfütterung kann Deutschland die Herausforderungen der digitalen Bedrohungslandschaft erfolgreich meistern. Aktuell sind jedoch weder neue finanzielle Mittel noch zusätzliche Stellen im BSI oder im BBK für die Umsetzung der beiden Richtlinien vorgesehen. Dies ist besonders kritisch, da laut der bereits erstellten Berechnungen für das in der letzten Legislaturperiode erarbeiteten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) künftig statt der bisherigen 4.000 fast 30.000 Unternehmen gesetzlich verpflichtet sein werden, Anforderungen, wie Registrierung, Meldung und Sicherheitsmaßnahmen, umzusetzen.
Für die Umsetzung der CER-Richtlinie wurden bisher noch keine detaillierten Berechnungen erstellt, um den Finanzbedarf zu ermitteln. Ohne ausreichende finanzielle Ressourcen droht jedoch auch hier, dass die gesetzlich vorgesehenen Sicherheitsmaßnahmen ins Leere laufen.
Das gilt auch für die zuständigen Stellen der Sicherheitsbehörden (insbesondere das Bundesamt für Verfassungsschutz, der Bundesnachrichtendienst und das Bundeskriminalamt), die die Wirtschaft unterstützen sollen, sich gegenüber hybriden Bedrohungen präventiv zu wappnen. Nicht nur müssen die behördlichen Aufträge stärker den Schutz der Wirtschaft integrieren. Die personellen Ressourcen in den Bundessicherheitsbehörden müssen in den für die Wirtschaft verantwortlichen Stellen genauso an die Bedrohungslage angepasst werden, wie die zuständigen Dienstaufsichtsbehörden im Innenministerium und im Bundeskanzleramt.
Ferner muss die nächste Bundesregierung im Kontext des Cyber Resilience Acts die Erarbeitung der harmonisierten europäischen Normen unterstützen und Unternehmen Umsetzungshilfen geben, um eine rechtssichere Produktion vor der Umsetzungsfrist bis 2027 zu sichern.
4. Echten bidirektionalen Informationsaustausch institutionalisieren: Ganzheitliches Sicherheitslagebild kooperativ implementieren
Ein effektiver Schutz vor Bedrohungen im analogen und digitalen Raum erfordert einen systematischen, kontinuierlichen und vertraulichen Informationsaustausch zwischen Unternehmen und staatlichen Stellen. Unternehmen sind auf die Informationen der Sicherheitsbehörden von Bund und Ländern angewiesen, um Risiken besser einschätzen und Bedrohungen abwehren zu können. In Deutschland gibt es jedoch noch immer Hindernisse: Einerseits in der strukturellen Ausrichtung, die einen solchen Austausch nicht vorsieht, andererseits im Mindset, das eine enge Zusammenarbeit erschwert. Obwohl in den letzten zwei Jahren viel in Bewegung gekommen ist, müssen wir weiter daran arbeiten, Sicherheit als gemeinsame Aufgabe zu verstehen und entsprechend zu handeln.
Ein klares Ziel sollte es sein, mit den künftig betroffenen Unternehmen einen systematischen Informationsaustausch in beide Richtungen über Risikolagen zu etablieren. Nur so lässt sich ein tagesaktuelles, kostenfreies Lagebild zu digitalen und physischen Bedrohungen schaffen, das auch im Sinne des Operationsplan Deutschland (OPLAN DEU) genutzt werden kann. Noch besser wäre es, auch Unternehmen aus der zweiten und dritten Ebene der Zulieferer einzubeziehen, um eine umfassende Prävention sicherzustellen.
Der BDI schlägt zum Aufbau eines tagesaktuellen Lagebilds sowie zur Institutionalisierung des Austauschs über die aktuelle Lage drei Maßnahmen vor: 1.) Einrichtung eines Single Point of Contacts auf Behördenseiten für alle Vorfallsmeldungen, 2.) Ermächtigung der Behörden zum Austausch mit der Wirtschaft und 3.) Etablierung eines gemeinsamen Lagezentrums von Behörden und Wirtschaft.
1. Einrichtung eines Single Point of Contact für Vorfallsmeldungen:
Bund und Länder sollten gemeinsam einen zentralen Single Point Of Contact (SPOC) auf Behördenseite einrichten, bei dem alle Meldungen zu Vorfällen (digital und physisch) aus der Wirtschaft eingehen. Das in der Nationalen Cyber-Sicherheitsstrategie angelegte BSI Information Sharing Portal sollte endlich eingeführt und zu einem Portal weiterentwickelt werden, das digitale, hybride und physische Bedrohungslagen gleichermaßen berücksichtigt. Der SPOC muss die Behörden institutionalisiert einbinden, die für den Schutz von kritischen Infrastrukturen und deutscher Unternehmen im Allgemeinen (digital und physisch) verantwortlich sind. Er fungiert als Schnittstelle (Dispatcher Hub) zwischen Unternehmen sowie Bundes- und Landessicherheitsbehörden, verteilt eingehende Meldungen entsprechend der Zuständigkeit und stellt sicher, dass das Prinzip des „Need-to-know-Ansatzes“ umgesetzt wird. Die in den Gesetzesentwürfen für das NIS2UmsuCG und KRITIS-Dachgesetz der letzten Legislatur vorgesehene Meldestelle des BBK und BSI könnte, je nach Umsetzung, diesen Anspruch erfüllen.
Auf unterschiedlichen Zugriffsebenen sollte eine durch den Bund bereitgestellte sichere virtuelle Plattform geschaffen werden, um Betreibern kritischer Infrastrukturen und Sicherheitsbehörden des Bundes und der Länder Zugriff zu gewähren. Nicht-KRITIS- sowie KRITIS-nahe Unternehmen sollten nach dem „Kann-Prinzip“ eingebunden werden, während KRITIS-Unternehmen verpflichtet werden sollten. Dadurch können Doppelstrukturen sowie zusätzlicher Bürokratie- und Ressourcenaufwand im Wirtschaftsschutz und im KRITIS-Bereich vermieden werden. Angesichts der bereits begrenzten Ressourcen auf staatlicher und wirtschaftlicher Seite – Stichwort Fachkräftemangel und Haushaltsengpässe –wäre es kontraproduktiv, für den Wirtschaftsschutz ein völlig neues System des Meldewesens oder Informationsaustausches aufzubauen. Zwei getrennte Meldewege für KRITIS und Nicht-KRITIS würden unnötig Ressourcen in Unternehmen und Behörden binden, den Flickenteppich des Meldewesens ausweiten und die für den Informationsaustausch zuständigen Behörden noch mehr belasten.
2. Ermächtigung der Behörden zum Austausch mit der Wirtschaft
Es muss ein gesetzlicher Rahmen geschaffen werden, der die Verantwortung und Rechte beider Seiten klar regelt. Der Schutz von Wirtschaft und Wissenschaft vor Spionage und Sabotage sollte explizit Teil des sicherheitsbehördlichen Auftrags werden. Ein direkter und zeitnaher Informationsaustausch zwischen den Behörden (BfV, BND, BKA, BSI, BBK, Bundespolizei, Länderpolizeien etc.) sowie zwischen Behörden und Unternehmen muss ermöglicht werden. Bestehende Möglichkeiten für strukturierten Informationsaustausch sollten effizienter gestaltet und konsequenter genutzt werden. Zusätzlich muss der Gesetzgeber die Einführung weiterer Formate und Prozesse prüfen, die durch klare gesetzliche Regelungen abgesichert sind. Eine Überarbeitung der Geheimhaltungsvorschriften ist ebenfalls notwendig. Geheimhaltung, Gewaltenteilung und Föderalismus dürfen dem erforderlichen Informationsaustausch und einem einheitlichen Lagebild nicht entgegenstehen. Gegenstand dieser Überprüfung sollte auch sein, den Informationsaustausch zwischen den Sicherheitsbehörden zu stärken und entsprechende Hürden zu prüfen.
3. Etablierung eines gemeinsamen Lagezentrums: Kollaboration zwischen Behörden und Wirtschaft stärken
Neben dem bidirektionalen Informationsaustausch sollten auch die unmittelbare Zusammenarbeit und der direkte Austausch zwischen den Sicherheitsbehörden und der Wirtschaft gestärkt werden.
So könnte basierend auf behördlichen Kooperationsplattformen, wie z. B. dem Nationalen Cyber-Abwehrzentrum (NCAZ) oder dem Gemeinsamem Extremismus- und Terrorismusabwehrzentrum (GETZ), auch die Kollaboration und Kooperation mit der betroffenen Wirtschaft ausgebaut werden. Es sollten institutionalisierte Kooperationsräume geschaffen werden, in denen ein vertraulicher operativer
Informationsaustausch gewährleistet werden kann und aktuelle Problemstellungen- und lagen in gemeinsamen Arbeitsgruppen vertieft werden können. Wünschenswert wäre, dass Vertreterinnen und Vertreter aus Behörden und Unternehmen in so einem „Kooperationsraum“ auch gemeinsam an aktuellen Sicherheitsthemen zusammenarbeiten, um das wechselseitige Verständnis zu erhöhen und die Resilienz Deutschlands zu stärken. Zu prüfen wäre in diesem Zusammenhang auch, Hospitationen und Praktika von Mitarbeitenden aus Unternehmen und Verwaltung zu intensivieren, um ein möglichst hohes Verständnis für die wechselseitigen Perspektiven und Bedarfe zu erlangen.
Hierfür sollte ein Rahmen geschaffen werden, der es erlaubt, dass in den entsprechenden Kreisen unter Gewährleistung des Geheim- und Datenschutzes auch sensible Informationen ausgetauscht werden können. Im praktischen Vorgehen sollte dabei analog zur Struktur von UP-KRITIS zunächst entlang der Betreiber Kritischer Anlagen und den entsprechenden Sektoren mit hoher Kritikalität vorgegangen werden. Jede Branche sollte Plätze in einem entsprechenden physischen Lagezentrum erhalten, in welchem gemeinsam mit Mitarbeitenden der Sicherheitsbehörden aktuelle Lageinformationen ausgewertet und zielgruppengerecht aufbereitet (Aggregation und Kommunikation – idealerweise inkl. Handlungsempfehlungen für Präventions- und Mitigationsmaßnahmen) werden Vorbild für solch ein Sicherheits-Lagezentrum könnte die National Cyber-Forensics and Training Alliance sein
Für die zu schaffenden „Trusted Circle“ sollten Leitlinien des vertrauenswürdigen Informationsaustausches erarbeitet werden, dabei sollte auch abgewogen bzw. weiterentwickelt werden, wo eine Informationsweitergabe entsprechend der Grundüberlegung des „Need-to-know-Ansatzes“ zu erfolgen hat und wo ein Grundsatz des „Need-to-share“ besteht. Außerdem müssten die Voraussetzungen zur Aufnahme in die Austauschformate festgelegt werden, z. B. Sicherheitsüberprüfungen der Teilnehmenden.
Entlang der Trusted Circle sollten dann verschiedene Formen der Kollaboration etabliert werden: Regelmäßige Austauschrunden zu prinzipiellen Problemlagen und der Sicherheitslage, kurzfristige Informationsrunden zu akuten Bedrohungslagen und unmittelbaren Vorfällen sowie regelmäßige aktuelle Informationen der Sicherheitsbehörden. Für den letztgenannten Punkte könnte dabei auf bereits bestehende (interne) Produkte der Sicherheitsbehörden zurückgegriffen werden.
Ziel ist es, dass Unternehmen bei physischen Angriffen und Cybervorfällen auf verlässliche, gebündelte Informationen staatlicher Stellen zugreifen können, während sie gleichzeitig gehalten oder, je nach Einstufung als KRITIS, verpflichtet sind, relevante Vorfälle zu melden. Dies schafft ein umfassendes Lagebild und fördert proaktive Sicherheitsmaßnahmen. Wichtig dabei ist, dass Meldungen von beiden Seiten nicht als lästige regulatorische Pflicht verstanden werden, sondern als Chance, Deutschland bestmöglich vor neuen Gefahren zu schützen. Das Mindset aller Beteiligten muss sich ändern, um den proaktiven Austausch sicherheitsrelevanter Erkenntnisse – einschließlich Informationen über (erfolgreiche) Angriffe und deren TTPs (Tactics, Techniques, and Procedures) – zwischen Staat und Wirtschaft zu intensivieren.
5. Kohärenz für mehr Effizienz: Doppelregulierung vermeiden
Die zunehmende Komplexität der Cybersicherheitsregulierungen und -strategien auf nationaler, europäischer und internationaler Ebene stellt Unternehmen vor erhebliche Herausforderungen. Viele Unternehmen investieren bereits erheblich in ihre Cybersicherheitsmaßnahmen, doch ein Übermaß an Meldepflichten, Doppelregulierungen sowie nicht harmonisierter Begriffe und Definitionen behindern den Fortschritt und binden unnötig Ressourcen. Die Bundesregierung sollte sich national und europäisch auf eine Harmonisierung der Regularien konzentrieren, um Unternehmen von unnötigem bürokratischem Aufwand zu entlasten und gleichzeitig die Wirksamkeit der Maßnahmen zu erhöhen. Auch in
Global-Governance-Foren, wie G7, G20, OECD und dem Internet Governance Forum, sollte sich die Bundesregierung für eine Harmonisierung der regulatorischen Anforderungen in Europa und anderen Schlüsselmärkten aussprechen. International harmonisierte Cybersicherheitsanforderungen haben das Potenzial, den Umsetzungsaufwand zu reduzieren und gleichzeitig die Cyberresilienz zu stärken.
Die deutsche Industrie unterstützt ausdrücklich das Ziel, durch zielgerichtete Regulierung die Cyberresilienz von Organisationen und Produkten zu stärken. Jedoch müssen Cybersicherheitsgesetze eine praxisnahe, europaweit einheitliche und wenig bürokratische Umsetzung ermöglichen, damit Unternehmen ihre Ressourcen auf den Aufbau und die Verbesserung ihrer Cybersicherheitsmaßnahmen konzentrieren können, anstatt sich mit administrativen Pflichten aufzuhalten.
Angesichts des eklatanten Fachkräftemangels, der allein im Bereich IT-Sicherheit derzeit etwa 105.000 offene Stellen in Deutschland betrifft, ist es von entscheidender Bedeutung, dass der Gesetzgeber vermeidet, dass Unternehmen durch überlappende gesetzliche Anforderungen belastet werden.
Die aktuellen Regelungen führen häufig dazu, dass inhaltsgleiche Nachweise erbracht, aufwändige Audits durchlaufen und redundante Meldewege beschritten werden müssen, was den Fortschritt bremst. Auch widersprüchliche Risikominimierungsmaßnahmen, die auf verschiedenen rechtlichen Anforderungen beruhen, erschweren eine effiziente Umsetzung von Cybersicherheitsmaßnahmen.
Die Bundesregierung sollte deshalb die prozessualen und inhaltlichen Anforderungen des Umsetzungsgesetzes der NIS-2-Richtlinie mit denen aus anderen relevanten nationalen Regulierungen wie dem Bundes-Immissionsschutzgesetz (BImSchG), dem Gesetz über überwachungsbedürftige Anlagen (ÜAnlG), der Durchführungsverordnung (EU) 2019/1583 für die Luftsicherheit, den Verordnungen (EU) 2023/203 und (EU) 2022/1645 für die Flugsicherheit sowie den Sicherheitskatalogen des Energiewirtschaftsgesetzes (EnWG) bestmöglich harmonisieren. Audit-, Prüf- und Nachweispflichten aus diesen unterschiedlichen Regelwerken müssen gebündelt und abgestimmt werden, um Doppelstrukturen und unnötige Aufwände zu vermeiden.
Gleiches gilt für das Zusammenspiel zwischen dem deutschen Ordnungsrahmen und europäischen Regulierungen. Mit dem kürzlich verabschiedeten Cyber Resilience Act (CRA) wird für Hersteller von Produkten mit digitalen Elementen die Pflicht zu Meldung von Schwachstellen und schwerwiegenden Sicherheitsvorfällen eingeführt. Das BSI empfängt als Computer Security Incident Response Team (CSIRT) in Deutschland zunächst alle diesbezüglichen Meldungen und leitet sie dann an die ENISA weiter. Gleichzeitig soll unter dem Umsetzungsgesetz der NIS-2-Richtlinie eine gemeinsame Meldestelle zwischen BSI und BBK eingerichtet werden, um die Meldungen erheblicher Sicherheitsvorfälle von betroffenen Einrichtungen aufzunehmen. Hinzu kommt, dass die regulierten Sachverhalte nicht überschneidungsfrei sind. So unterliegen Managed (Security) Service Provider den Anforderungen des Umsetzungsgesetzes der NIS-2-Richtlinie, während gleichzeitig Software-as-a-Service über den CRA als Produkt reguliert sind. Es ist darauf zu achten, dass die regulierten Unternehmen – Hersteller und Betreiber Kritischer Infrastrukturen – unter den verschiedenen Melderegimen Sachverhalte nur einmal und nur an eine zentrale Stelle in Deutschland melden müssen.
Nur durch eine stärkere Bündelung und Harmonisierung der Pflichten zur Erhöhung der Cyberresilienz können Unternehmen sich wirksam schützen und ihre Cybersicherheitsmaßnahmen effizient umsetzen. Regulierung sollte dabei mehr als Leitplanke dienen, während die konkrete Umsetzung den Unternehmen überlassen bleibt. So können Maßnahmen flexibel an individuelle Bedarfe angepasst werden, was nicht nur die Effizienz erhöht, sondern auch die Innovationskraft der Unternehmen im Bereich Cybersicherheit stärkt
6. Ganzheitliche Schutzkonzepte aufsetzen: Vertrauenswürdigkeitsüberprüfung von Mitarbeitenden einführen
Der Schutz von Unternehmen vor Spionage, Sabotage, Wirtschafts- sowie Cyberkriminalität setzt ein ganzheitliches Schutzkonzept voraus. Neben organisatorischen und technischen Maßnahmen müssen auch die Mitarbeitenden integraler Bestandteil ganzheitlicher Sicherheitsansätze sein. Stetige Schulungs- und Sensibilisierungsmaßnahmen sind hier die zentralen Bausteine. Daneben kann die Überprüfung der Vertrauenswürdigkeit von aktuellen und künftigen Mitarbeitenden, die in sicherheitsrelevanten Unternehmensbereichen tätig sind, im Sinne des vorbeugenden personellen Sabotageschutzes einen Beitrag zur Resilienz von Unternehmen leisten. Bislang fehlt eine gesetzliche Grundlage, die definiert, wie Unternehmen rechtssicher überprüfen lassen können, ob Bewerbende, Mitarbeitende sowie Dienstleistende, die für die Entwicklung und Umsetzung von physischen und digitalen Schutzkonzepten zuständig sind, zuverlässig und vertrauenswürdig sind.
Die deutsche Industrie fordert die Bundesregierung im Rahmen der Gesetzgebungsverfahren zur Umsetzung der beiden EU-Richtlinien auf, die in Artikel 14 der Resilience-of-Critical-Entities-Richtlinie ((EU) 2022/2557) angelegte Möglichkeit zur Schaffung einer freiwilligen Zuverlässigkeits- / Vertrauenswürdigkeitsüberprüfung von Mitarbeitenden bei der Umsetzung der europarechtlichen Anforderungen in Deutschland zu implementieren. Die freiwillige Vertrauenswürdigkeitsüberprüfung sollte – analog zur Sicherheitsüberprüfung und zur Zuverlässigkeitsüberprüfung – durch staatliche Stellen erfolgen. Ein geeigneter rechtlicher Rahmen ist hierfür zu schaffen. Von der Vertrauenswürdigkeitsüberprüfung (VWÜ) soll explizit die Luftverkehrswirtschaft, für die bereits die Zuverlässigkeitsüberprüfung (ZÜP) nach § 7 Luftfahrtsicherheitsgesetz (LuftSiG) geschaffen wurde, ausgenommen werden, um Doppelprüfungen auszuschließen. Gleiches gilt für die bestehenden verpflichtenden Zuverlässigkeitsüberprüfungen für das Sicherheitsgewerbe gemäß dem Bewacherregister (zukünftig: Sicherheitsgewerberegister). Die VWÜ ist ferner in Ergänzung zur bestehenden staatlichen Sicherheitsüberprüfung im Geheim- und vorbeugendem personellen Sabotageschutz angelegt Außerdem muss gewährleistet werden, dass sich die VWÜ in das Zusammenspiel mit bestehenden Überprüfungsmöglichkeiten einfügt, ohne diese zu beeinträchtigen. Die VWÜ sollte auf drei Prämissen fußen:
▪ Freiwilligkeit: Unternehmen, die künftig den Umsetzungsgesetzen unterliegen, sollten die Möglichkeit erhalten, für einen eng umrissenen Personenkreis bei staatlichen Stellen eine Vertrauenswürdigkeitsüberprüfungen beantragen zu können, wenn sie dies im Rahmen ganzheitlicher Schutzkonzepte für angezeigt erachten.
▪ Enger Personenkreis: Unternehmen sollten ausschließlich für Mitarbeitende, Bewerbende sowie Dienstleistende, die gemäß rechtlicher Grundlage Risikominimierungsmaßnahmen entwickeln, umsetzen und überprüfen, eine Vertrauenswürdigkeitsüberprüfung beantragen können. Hierbei handelt es sich üblicherweise um Mitarbeitende, Bewerbende und Dienstleistende in den Bereichen der Konzernsicherheit, IT-Administration und Informationssicherheit eines Unternehmens.
▪ Prinzipien & Verfahrensweisen der Sicherheitsüberprüfung: Die Vertrauenswürdigkeitsüberprüfung sollte auf den Prinzipien und Verfahrensweisen der Sicherheitsüberprüfung nach Sicherheitsüberprüfungsgesetz aufbauen und diese an die aktuellen Gegebenheiten – wie die zunehmende Relevanz von Anbahnungen über Social Media – anpassen.
7. Investitionen in Sicherheit erhöhen: Steuerliche Anreize schaffen und Auftragsvergabe durch öffentliche Hand stärken
Die zunehmenden Schäden durch Cyberangriffe erfordern dringend mehr Investitionen in Cybersicherheitstechnologien: Viele Unternehmen, insbesondere kleine und mittelständische Unternehmen (KMU), sehen sich aufgrund begrenzter finanzieller Ressourcen vor großen Herausforderungen bei der Umsetzung von Sicherheitsmaßnahmen im analogen, aber vor allem im Cybersicherheitsbereich.
Um die Investitionsbereitschaft zu erhöhen, sollte die Bundesregierung steuerliche Anreize schaffen, die es Unternehmen erleichtert, in Cybersicherheitsprodukte, -lösungen und -schulungen zu investieren. Abschreibungsmöglichkeiten können einen wesentlichen Beitrag dazu leisten, das Schutzniveau in der gesamten Wirtschaft zu erhöhen. Solche Anreize würden nicht nur die Bereitschaft zur Investition in notwendige Sicherheitsmaßnahmen erhöhen, sondern auch die Gesamtstabilität und Sicherheit der nationalen Infrastruktur stärken. Steuerliche Erleichterungen könnten ein wirksames Mittel sein, um die privaten Investitionen in diesem essenziellen Bereich zu fördern und somit die Resilienz gegen Cyberbedrohungen zu verbessern. Durch diese Maßnahmen wird der Wirtschaftsstandort Deutschland gestärkt und die Wettbewerbsfähigkeit im internationalen Kontext erhöht.
Staatliche Stellen sollten als vertrauenswürdige und verlässliche Partner der deutschen Sicherheitsund Verteidigungsindustrie auftreten und dem Mantra der digitalen Souveränität in ihrem Handeln konsequent Rechnung tragen. Dies erfordert nicht nur transparente und langfristige Ausschreibungsverfahren, sondern auch eine verstärkte Zusammenarbeit zwischen Bund, Ländern und Kommunen. Durch eine klare Bedarfsplanung und die Einbindung der Industrie in die Entwicklung sicherheitstechnologischer Lösungen können die Kapazitäten deutscher Unternehmen optimal genutzt werden, um die digitale Souveränität des Landes und eine verlässliche Ausstattung der Sicherheitsorgane zu stärken. Wichtig ist auch hier eine Überwindung der Hindernisse, die der Föderalismus im Bereich Innere Sicherheit setzt: Es braucht klarere, transparente Regelungen im Sinne eines bundeseinheitlichen Vorgehens.
8. Fachkräftemangel bekämpfen: Neue Ausbildungswege schaffen
Der Fachkräftemangel, insbesondere im Bereich der IT-Sicherheit, gefährdet sowohl die Sicherheit als auch die Wettbewerbsfähigkeit deutscher Unternehmen. Weder Staat noch Wirtschaft haben ein Erkenntnis- oder Regulierungs-, sondern ein Umsetzungsdefizit. Ein Mehr an Investitionsbereitschaft wird dies angesichts des massiven Fachkräftemangels nicht lösen. Es braucht neben zusätzlichen Fachkräften – durch Fachkräftemigration und Ausbildung – dringend eine Kompetenzförderung im Vorfallsmanagement sowie berufsbegleitende universitäre Weiterbildungsmodelle.
Um diesem Problem entgegenzuwirken, sind aus Sicht des BDI mehrere Maßnahmen erforderlich: Neben der Schaffung neuer Studiengänge im Bereich Cybersicherheit sollten spezifische Ausbildungsberufe und Umschulungsprogramme entwickelt werden, die auf die Anforderungen der deutschen Industrie abgestimmt sind. Ein Beispiel könnte der „Fachinformatiker Cybersecurity“ sein. Diese Berufe müssen schnellstmöglich etabliert werden, um kurzfristig mehr kompetente Fachkräfte zu gewinnen. Neben klassischen Informatik- und Cybersecurityinhalten müssen entsprechende Studiengänge zwingend Soft Skills, wie Kommunikation, Empathie und Managementfähigkeit enthalten, damit Absolventinnen und Absolventen der herausfordernden Situation eines Cybersicherheitsvorfalls erfolgreich begegnen können. Eine gezielte Unterstützung von Frauen in der IT-Sicherheit ist notwendig, um das Fachkräfteangebot zu diversifizieren und zu erweitern. Zudem gilt es, den Zuzug von Fachkräften aus Drittstaaten durch Bürokratieabbau zu erleichtern, um den Markt für Cybersecurity-Experten zu beleben.
Viel langfristiger in der Wirkung und somit noch entscheidender ist, dass wir schon heute die Fachkräfte von morgen und übermorgen ausbilden: Digitalisierung und mit ihr die Cybersicherheit müssen umgehend als fester Bestandteil der Lehrpläne in Schulen verankert werden, um ein breites Verständnis für die Herausforderungen der digitalen Welt zu schaffen. Medienkompetenz und Grundlagen der Cybersicherheit sollten bereits ab der Grundschule gefördert werden. Innovative Lösungen wie interaktive Onlineangebote („Classroom as a Service“) sind erforderlich, um Schulen den nötigen Zugang zu entsprechenden Kompetenzen und schnelle Skalierungsmöglichkeiten zu bieten. Hier kann und muss auch die Wirtschaft im ureigensten Interesse aktiv ihren Beitrag leisten.
Insgesamt ist es entscheidend, die Resilienz der Gesamtbevölkerung zu steigern. Das Bewusstsein für die Gefahren in der digitalen Welt muss durch eine Awareness-Offensive des Staates in Zusammenarbeit mit Wirtschaft und Gesellschaft geschärft werden. Anknüpfend an erfolgreiche Programme der Vergangenheit, wie die Verkehrssicherheitskampagnen der 1970er oder die Anti-AIDS-Kampagnen der 1980er Jahre, sollten gezielte Maßnahmen ergriffen werden, um die Gesellschaft besser auf die Herausforderungen der Cybersicherheit, nicht nur im Sinne von IT-Sicherheit, sondern auch in Bezug auf Desinformation, Deep Fakes, Spionage und Sabotage vorzubereiten.
Auch hier gilt in Zeiten knapper Kassen: Kooperation über föderale Ebenen hinweg ermöglicht Skaleneffekte und senkt damit Kosten, sodass sowohl Unternehmen als auch die Gesellschaft von einem verbesserten Schutz gegen hybride Bedrohungen profitieren.
9. Deutschlands Resilienz auf allen Ebenen des Föderalstaats stärken
Die Schaffung effektiver Regelungen für den Schutz von Unternehmen vor digitalen und analogen Angriffen wird durch das föderale Grundgerüst erschwert. Im Bereich des physischen Schutzes macht die lokale Zuständigkeitszuweisung oft Sinn: Landesbehörden sind näher an den Unternehmen und können schneller reagieren. In der digitalen Welt, wo Angriffe jedoch keine geografischen Grenzen kennen, sind Veränderungen dieser Struktur dringend erforderlich. Cyberangriffe betreffen das gesamte Bundesgebiet unabhängig von Länder- oder Gemeindegrenzen. Daher muss die föderale Zuständigkeitsstruktur effizienter aufgestellt und um zentrale Elemente ergänzt werden, um eine effektive Abwehr zu gewährleisten.
Ein Beispiel dafür ist die seit Jahren geführte Diskussion um die Zentralstellenfunktion des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese würde dem BSI mehr Unabhängigkeit und erweiterte Kompetenzen verschaffen, um Cyberbedrohungen übergreifend zu begegnen. Dies erfordert jedoch einen Interessenausgleich zwischen Bund und Ländern, um Kompetenzkonflikte zu vermeiden und die Effizienz im Krisenfall zu erhöhen.
Die nächste Bundesregierung muss die Cybersicherheit der Verwaltung gezielt stärken, um als Vorbild zu dienen. Hier müssen mindestens die gleichen Sicherheitsstandards gelten, die auch für Unternehmen angesetzt werden. Die deutsche Industrie erachtet es als dem Ziel der NIS-2-Richtlinie nicht angemessen, dass in Deutschland lediglich Einrichtungen der Bundesverwaltung in den Anwendungsbereich des Umsetzungsgesetzes der NIS-2-Richtlinie fallen. Hier bedarf es dringender Nachbesserungen, denn die deutsche Industrie ist auf eine stets funktionierende öffentliche Verwaltung auf allen Ebenen des Föderalstaats angewiesen, die nicht durch Cybersicherheitsvorfälle über Monate hinweg lahmgelegt ist. Anhalt-Bitterfeld, Schwerin, Potsdam – zahlreiche Städte und Landkreise sind in den letzten Jahren Opfer von weitreichenden Cybersicherheitsvorfällen geworden. Bürgerinnen und Bürgern sowie Unternehmen standen infolgedessen – teils über Monate – wichtige Verwaltungsdienstleistungen nicht zur Verfügung. Die deutsche Industrie ist auf eine stets gut funktionierende öffentliche Verwaltung, beispielsweise bei Planungs- und Genehmigungsverfahren, angewiesen. Angesichts der
weitreichenden Ausweitung des Anwendungsbereichs auch auf mittlere Unternehmen mit mehr als 50 Mitarbeiterinnen und Mitarbeitern, respektive einem Jahresumsatz größer zehn Millionen Euro, müssen auch Kommunen, Landkreise und Städte zur Umsetzung von risikoadäquaten Cybersicherheitsmaßnahmen verpflichtet werden.
Es ist notwendig, dass die Bundesregierung, der Bundestag, der Bundesrat und alle 16 Landesregierungen, die öffentliche Verwaltung aller Ebenen des Föderalstaats in den Anwendungsbereich des Umsetzungsgesetzes der NIS-2-Richtlinie respektive Umsetzungsgesetze auf Landesebene aufnehmen. Alle Behörden müssen risikoadäquate Cybersicherheitsmaßnahmen implementieren und so sensible Daten besser vor Cyberkriminellen schützen. Es ist zwingend sicherzustellen, dass bei Umsetzung in Landesrecht die Anforderungen gleichwertig umgesetzt werden. Nur so kann die Integrität und Verfügbarkeit wichtiger Verwaltungsverfahren angesichts stetig steigender Cyberbedrohungen sichergestellt werden. Bund, Länder und Kommunen müssen zwingend sicherstellen, dass Verwaltungseinheiten auf allen Ebenen des Föderalstaats die an besonders wichtige Einrichtungen gestellten Anforderungen konsequent umsetzen. Andernfalls werden insbesondere Kommunen auch zukünftig vielfach durch Cyberangriffe lahmgelegt. Dadurch würden die digitale und ökologische Transformation ausgebremst und das Vertrauen in die Wehrhaftigkeit des Staates massiv beschädigt. Der Staat sollte seiner Vorbildfunktion gerecht werden: Daher sollten die sicherheitskritischen Infrastrukturen des Bundes ein Schutzniveau erhalten, das über NIS-2 hinausgeht.
Eine funktionierende Verwaltung ist die Grundlage für die wirtschaftliche und gesellschaftliche Stabilität. Langwierige Ausfälle durch Cyberangriffe behindern die digitale und grüne Transformation. Zugleich untergraben sie das Vertrauen in die Funktionsfähigkeit des Staates. Dies könnte mittel- bis langfristig negative Auswirkungen auf unsere Demokratie haben.
10.Sicherheit als Teil der Industriepolitik begreifen
Die Sicherheit unserer Wirtschaft ist nicht zum Nulltarif zu haben, weder für Unternehmen noch für den Staat. Dies erscheint angesichts der aktuellen sicherheitspolitischen Risikolage, im Kontext der von Bundeskanzler Olaf Scholz bereits im Jahr 2022 proklamierten Zeitenwende einmal mehr geboten. „Ohne Sicherheit ist alles andere nichts“, dies gilt nicht nur in Bezug auf die Verteidigung von Freiheit, Demokratie und Menschenrechten, sondern auch für den Schutz des Wirtschaftsstandorts Deutschland, der global vernetzt und damit unwiderruflich verflochten ist mit geopolitischen Entwicklungen, mit Kriegen und Konflikten.
Hier ist ein „Zeitenwende-Deutschlandtempo“ erforderlich, das den Schutz der Wirtschaft als einen entscheidenden Baustein innerer und äußerer Sicherheit mitdenkt – und ihn gleichermaßen als wichtigen Grundstein unseres Industriestandorts verankert. Nur resiliente, sichere Unternehmen können Dienstleistungen für Staat und Gesellschaft bereitstellen und können gleichzeitig als Innovationsmotor wirken, der Wirtschaftswachstum und Arbeitsplätze schafft. Dies gilt insbesondere im Bereich der Produktentwicklung im Cyberbereich, der enormes Wachstumspotenzial bietet: Wir klagen über mangelnde digitale Souveränität und fehlende deutsche Anbieter, lassen aber die vorhandene Kompetenz, Innovationskraft und Gründungsbereitschaft verkümmern. Wir investieren als Staat erhebliche Summen in die Forschung, versäumen aber die Unterstützung hin zur Marktreife und den Support, z. B. bei der Internationalisierung. Dies gilt für viele Branchen, aber eben auch in der (Cyber-)Sicherheitsbranche. Ein Siegel „IT-Security made in Germany“ allein ist noch keine aktive Industriepolitik!
Es gilt, Cybersicherheit als strategisch elementaren Bestandteil der deutschen Industriepolitik zu begreifen, um den erfolgreichen Cybersecurity-Wirtschaftsstandort Deutschland zu stärken Es geht nicht um mehr Geld; es geht primär um intelligentere Mittel-Allokation, strategische Schwerpunktsetzung,
zielgerichtete Förderung, Modernisierung von Beschaffungsvorgaben des Staates, um etwa deutschen Start-ups überhaupt die Chance zur Berücksichtigung zu geben und den Abbau von Hemmnissen, nicht nur beim Transfer von Forschungsergebnissen in Produkte. Es geht um die Ermöglichung einer besseren Zusammenarbeit von Wissenschaft und Wirtschaft, um Grundlagen für den sinnvollen Einsatz innovativer Technologien wie Cloud, Quantencomputing und KI zu schaffen.
Dies stärkt nicht nur die digitale Souveränität Deutschlands, sondern schafft auch neue Arbeitsplätze und stärkt langfristig die Wettbewerbsfähigkeit. Zur langfristigen Stärkung des Industriestandorts sollten Start-ups im Bereich Cybersicherheit mit Steuererleichterungen, Mietzuschüssen und einfachem Zugang zu Technologien gefördert werden. Der Staat sollte zudem als Ankerkunde für Technologien „made in Germany“ auftreten und dadurch über die initiale Förderung hinaus, langfristig Unternehmen stärken.
Impressum
Bundesverband der Deutschen Industrie e.V. (BDI)
Breite Straße 29, 10178 Berlin www.bdi.eu
T: +49 30 2028-0
Lobbyregisternummer: R000534
Redaktion
Kerstin Petretto
Senior Managerin Sicherheit und Verteidigung
T: +49 30 2028-1710 k.petretto@bdi.eu
Steven Heckler
Stellvertretender Abteilungsleiter, Digitalisierung und Innovation
T: +49 30 2028-1523 s.heckler@bdi.eu
BDI Dokumentennummer: D 2014