Souveränität als Leitlinie der Cybersicherheit Macht die neue Cyber­sicherheits­strategie digital souverän?

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Die neue Cybersicherheitsstrategie 2021 stärkt die Digitale Souveränität und damit die sichere Digitalisierung unseres Landes, so die Bundesregierung. Sicherheitsexperten sehen dies kritisch. Die geplante, gezielte Förderung von Schlüsseltechnologien und die Vernetzung mit relevanten Forschern ist wichtig, doch reicht sie auch aus, um digital souverän und sicherer zu werden?

Firmen zum Thema

Für die Bundesregierung hat die digitale Souveränität auch für die Cyber- und Informationssicherheit eine wesentliche Bedeutung.
Für die Bundesregierung hat die digitale Souveränität auch für die Cyber- und Informationssicherheit eine wesentliche Bedeutung.
(Bild: ©studio v-zwoelf - stock.adobe.com)

Die Bundesregierung hat eine neue Strategie für ihr cybersicherheitspolitisches Handeln in den nächsten fünf Jahren beschlossen. Dabei gliedert sich die Cybersicherheitsstrategie 2021 des Bundes in vier Leitlinien: Cybersicherheit als gemeinsame Aufgabe von Staat, Wirtschaft, Gesellschaft und Wissenschaft zu etablieren, die digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft zu stärken, die Digitalisierung sicher zu gestalten und Ziele messbar und transparent auszugestalten.

Das Thema der Digitalen Souveränität ist hierbei der Punkt, der heraussticht und der bereits in anderem Zusammenhang kontrovers diskutiert wird. Es lohnt sich deshalb, genauer anzuschauen, wie denn eine Souveränität in der Cybersicherheit erzielt werden soll.

Hierzu sagt die Cybersicherheitsstrategie 2021: Das Thema Digitale Souveränität hat seit 2016 deutlich an Relevanz und Aufmerksamkeit gewonnen. Digitale Souveränität wird aus Sicht der Bundesregierung verstanden als „die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“.

Digitale Souveränität hat somit auch für die Cyber- und Informationssicherheit eine wesentliche Bedeutung, so die Bundesregierung. Sichere Technologien und Lösungen sowie entsprechende Fähigkeiten, die Chancen und potenziellen Risiken digitaler Technologien erkennen und bewerten zu können, sei eine wesentliche Voraussetzung für die Digitale Souveränität. Ein hohes Cybersicherheitsniveau trage so zur Stärkung der Digitalen Souveränität von Bürgerinnen und Bürgern, Wirtschaft, Wissenschaft und Staat bei. Auf europäischer Ebene bedeute Digitale Souveränität eine stärkere wirtschaftliche und sicherheitspolitische Vernetzung mit strategisch wichtigen Partnern, um Abhängigkeiten zu mindern und die politische Handlungs- beziehungsweise Gestaltungsfähigkeit zu bewahren.

Der Weg zur souveränen Cybersicherheit

Die Bundesregierung skizziert dann, mit welchen Bausteinen eine Souveränität in der Cybersicherheit erzielt werden soll. Dazu gehören die anwendungsorientierte Forschung und Entwicklung sowie der Forschungstransfer, die Cybersicherheit als Qualitätsmerkmal „Made in Germany“, die staatlichen Fähigkeiten zur Beurteilung neuer Technologien und Beauftragung europäischer Anbieter und zur Eigensicherung der Verwaltung sowie eine gemeinsame Vision und Strategie der EU für Cybersicherheit und europäische Digitale Souveränität.

Doch ist die digitale Souveränität in der Cybersicherheit auf Basis der Strategie machbar oder welche Aspekte sollten stärker in den Fokus rücken? Was fordern zum Beispiel relevante Branchenverbände, was lehren die Erfahrungen aus anderen Bereichen?

Erfahrung aus dem Bereich Öffentliche Verwaltung

Das Bundesinnenministerium hatte Machbarkeitsnachweise zur Stärkung der Digitalen Souveränität in der öffentlichen Verwaltung durchführen lassen. Ausgangspunkte waren dabei:

  • Bestehende Abhängigkeiten führen zu Schmerzpunkten für die Bundesverwaltung und wirken sich negativ auf die Digitale Souveränität aus.
  • Kritisch sind vor allem die eingeschränkte Informationssicherheit und (datenschutz-) rechtliche Unsicherheit.
  • Daraus resultiert dringender Handlungsbedarf hinsichtlich einer grundlegenden Veränderung in der IT.

Die Ergebnisse der Machbarkeitsprüfung waren vielfältig, darunter auch Punkte, die sich auf die Cybersicherheit übertragen lassen:

  • Anforderungen an Lieferanten: Definition von Anforderungen zu Architekturprinzipien zur Berücksichtigung bei der Software-Entwicklung
  • Nutzung bestehender sowie Erarbeitung weiterer notwendiger Standards sowie Schnittstellen
  • Bewertung neuer Technologien und Produkt-Funktionen im Hinblick auf (potenzielle) Abhängigkeiten
  • Eigene Leistungsfähigkeit sicherstellen
  • Berücksichtigung von Anforderungen an Lieferanten, Standards und Schnittstellen als Vergabekriterien sowie bei der Entwicklung von IT-Lösungen
  • Stärkung eigener Kompetenzen in der Öffentlichen Verwaltung
  • Funktionierende Test- und Abnahmeprozesse
  • Systematischer Wissensaustausch innerhalb der Öffentlichen Verwaltung

Diese Anforderungen sollten ohne Zweifel auch berücksichtigt werden, wenn es um die konkrete Umsetzung der Cybersicherheitsstrategie geht. Aber auch von Seiten der Security-Anbieter und der Digitalbranche gibt es wertvolle Hinweise.

Forderungen an die Politik aus der Security-Branche

Deutschland und Europa müssen angemessen und souverän die digitale Zukunft gestalten können, so der Bundesverband IT-Sicherheit e.V. (TeleTrusT). Für die nächsten beiden Legislaturperioden des Deutschen Bundestages hat TeleTrusT eine IT-Sicherheitsagenda 2029 aufgestellt.

Darin finden sich Forderungen wie „Technologische Souveränität im Bereich IT-Sicherheit schaffen - für eine werteorientierte, sichere und vertrauenswürdige digitale Zukunft“ und „Mehr IT-Sicherheitstechnologie "Made in Germany" in der Praxis“, aber auch „Verbot der Kompromittierung von IT-Sicherheit, keine Backdoors, Staatstrojaner oder geschwächte Verschlüsselung“.

RA Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender, erklärte dazu: „Wenn wir eine technologische und digitale Souveränität Deutschlands und Europas wollen, muss die Politik in den nächsten zwei Legislaturperioden die IT-Sicherheit massiv stärken.“

Wie die Stärkung aussehen sollte und was in einer Cybersicherheitsstrategie nicht fehlen sollte, betont auch der Digitalverband Bitkom: Sowohl national als auch auf EU-Ebene werde viel in Cybersecurity-Forschung investiert. Dies allein sei jedoch nicht hinreichend, um dem Ziel digitaler Souveränität näher zu kommen: Hierfür brauche es neben einheitlichen rechtlichen Rahmenbedingungen in der EU auch einen berechenbaren Nachfragemarkt. Dieser sei Grundvoraussetzung dafür, dass die staatlichen Forschungsausgaben tatsächlich zu zielgerichteten Investitionen der Industrie und damit einer Stärkung der digitalen Souveränität Deutschlands und Europas führten.

Wer also eine souveräne Cybersicherheit in Deutschland und in der EU erreichen will, um die Sicherheit zu stärken, muss auch die betreffende Cybersicherheitsbranche in Deutschland und in der EU stärken, ein zweifellos wichtiger Aspekt für die neue Cybersicherheitsstrategie, nicht nur des Bundes, sondern auch auf den anderen staatlichen Ebenen.

Die Cybersicherheitsstrategie 2021 besagt: Durch die Förderung deutscher und europäischer Anbieter sowie die Weiterentwicklung eigener Kompetenzen in der Erforschung neuer Cybersicherheitsrisiken wird das souveräne Handeln Deutschlands im Cyberraum sichergestellt.

Dies gilt es nun in die Praxis umzusetzen, wenn die Cybersicherheit souverän werden soll.

(ID:47767371)