Cybersicherheitsstrategie 2021 beschlossen

So will die Bundesregierung die Cybersicherheit verbessern

Von in IT-Support
11
Okt
'21

Staat, Wirtschaft und Gesellschaft sollen sicher sein. Das zumindest sieht die Cybersicherheitsstrategie 2021 vor, die die Bundesregierung jetzt beschlossen hat. Aber was genau ist geplant?

Wir fassen die wichtigsten Inhalte zusammen und erklären, was für Unternehmen wichtig ist.

Digitalisierung braucht Cybersicherheit

Die Entwicklungen der Jahre 2020/2021 dürften den meisten Unternehmen noch lebhaft vor Augen sein. Ganz plötzlich hat die Digitalisierung, bedingt durch die äußeren Umstände, den Turbo eingelegt. Was bis dato eher nebensächlich behandelt worden war, beispielsweise die Nutzung von Cloud-Diensten und die Arbeit aus dem Home Office, wurde in der ein oder anderen Hauruck-Aktion über die Bühne gebracht – wenn auch teilweise nur provisorisch.

Diese Entwicklung hat auf der anderen Seite aber auch vermehrt Cyberkriminelle auf den Plan gerufen. Sie haben vor allem die teilweise nur notdürftig eingerichteten Remote-Verbindungen als Spielwiese für sich entdeckt und auch die im Home Office oftmals geringere Security Awareness seitens der Mitarbeiter mit Phishing-Kampagnen für ihre Zwecke ausgenutzt.

Vor diesem Hintergrund ist es wenig verwunderlich, dass sich auch die Bundesregierung zu dieser ganzen Sachlage ihre Gedanken gemacht hat. Das Ergebnis: das Cybersicherheitsgesetz 2021.

Ein Mann arbeitet im Home Office am Laptop und telefoniert mit dem Smartphone. Die Digitalisierung schreitet voran und verlangt nach einer neuen Cybersicherheitsstrategie 2021. Bild: Pexels/Michael Burrows

Remote-Verbindungen vergrößern die Angriffsfläche von Unternehmen. Die neue Cybersicherheitsstrategie 2021 soll Voraussetzungen für die weitere Digitalisierung schaffen. Bild: Pexels/Michael Burrows

Was ist die Cybersicherheitsstrategie 2021?

Die Cybersicherheitsstrategie 2021 ist Nachfolger der Cybersicherheitsstrategien für Deutschland aus den Jahren 2011 und 2016 und soll den strategischen Rahmen für das Handeln der Bundesregierung im Bereich der Cybersicherheit in den kommenden fünf Jahren bilden. Zu dem Beschluss der IT-Sicherheitsstrategie für Deutschland 2021 sagt Horst Seehofer, Bundesminister des Innern, für Bau und Heimat: „Cybersicherheit ist kein notwendiges Übel, sondern Voraussetzung dafür, dass die Digitalisierung gelingt.“ Die nun beschlossene Strategie soll die Grundlage dafür schaffen, dass Cybersicherheit und Digitalisierung Hand in Hand gehen.

Ausgehend von der aktuellen Bedrohungslage werden in dem 142 Seiten starken Dokument zur IT-Sicherheitsstrategie 2021 zunächst vier Leitlinien definiert. Sie lauten wie folgt:

  1. Cybersicherheit als eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und
    Gesellschaft etablieren
  2. Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken
  3. Digitalisierung sicher gestalten
  4. Ziele messbar und transparent ausgestalten

Diese vier genannten Leitlinien wiederum stellen die Grundlage für die vier Handlungsfelder dar, die anschließend in der IT-Sicherheitsstrategie maßgeblich behandelt werden. Sie lauten folgendermaßen:

  1. Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung
  2. Gemeinsamer Auftrag für Staat und Wirtschaft
  3. Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur
  4. Aktive Positionierung Deutschlands in der europäischen und internationalen Cybersicherheitspolitik

Diese vier Handlungsfelder sind darauf ausgerichtet, dass sich alle Chancen, Vorteile und Notwendigkeiten der Digitalisierung vollumfänglich ausschöpfen lassen, gleichzeitig aber ein vollumfänglicher Schutz vor den (neuen) Risiken aus dem Cyberraum vorgehalten wird. Das Ziel ist also auf den Punkt gebracht: ein sicheres Deutschland im Cyberraum in den kommenden fünf Jahren.

 Cybersicherheitsstrategie 2021 & Gefahren

In der Cybersicherheitsstrategie heißt es, dass die deutsche Wirtschaft in Zukunft noch stärker darauf angewiesen sein wird, im Cyberraum zu agieren. Warum? Weil unter anderem wichtige Transformationen in Richtung Industrie 4.0 und Arbeiten 4.0 stattfinden. Das Ergebnis davon ist, dass die Wirtschaft in einem hohen Maß von funktionierenden, verlässlichen und integren IT-Infrastrukturen abhängig ist.

Dabei ist die Wirtschaft einem hohen Bedrohungspotenzial ausgesetzt. Denn: In der eng verzahnten Produktionswelt mit komplexen Lieferverbindungen beziehungsweise Lieferketten können Cyberangriffe enorme Domino-Effekte erzeugen, die massive wirtschaftliche Schäden mit sich bringen – ein Beispiel für einen Angriff auf eine solche Lieferkette hat im Juli 2021 die Hacker-Gruppe REvil geliefert. Hinzu kommt die Gefahr durch digitale Wirtschaftsspionage, die nicht nur den wirtschaftlichen Erfolg einzelner Unternehmen, sondern die Wettbewerbsfähigkeit der gesamten Volkswirtschaft negativ beeinflussen kann.

Es sind drei Kollegen in der Entwicklung zu sehen. Die Cybersicherheitsstrategie 2021 soll für Sicherheit in der Industrie sorgen. Bild: Pexels / ThisIsEngineering

Auch in der Wirtschaft greift die Vernetzung um sich. Die Cybersicherheitsstrategie 2021 soll für Sicherheit sorgen. Bild: Pexels / ThisIsEngineering

Was bedeutet die Cybersicherheitsstrategie 2021 für Unternehmen?

Die Strategie setzt grundsätzlich auf eine Fortsetzung der bewährten, engen Zusammenarbeit zwischen Staat und Wirtschaft. Diese soll sogar noch intensiviert werden. Zudem sollen stetige Aufmerksamkeit, eine situationsgerechte Anpassung der Cybersicherheitsmaßnahmen sowie die Entwicklung und der Einsatz von Technologien nach dem Security-by-Design-Ansatz die Cybersicherheit verbessern. Das sind aber nur einige wenige Punkte, die in dem umfangreichen Dokument genannt werden.

Für Unternehmen besonders relevant dürfte das bereits genannte Handlungsfeld Nr. 2 sein: „Gemeinsamer Auftrag von Staat und Wirtschaft“. Dieses unterteilt sich noch einmal in 13 verschiedene Ziele, mit denen die Cybersicherheit der Wirtschaft gestärkt werden soll.

Um viele dieser Ziele erreichen zu können, ist auch die Beteiligung von Unternehmen gefragt. In den folgenden Abschnitten fassen wir die wichtigsten Inhalte zu diesen 13 Zielen kurz zusammen.

Vom Nationalen Cyber-Sicherheitsrat bis zur digitalen Wirtschaft

In den ersten fünf Punkten ist der Einsatz von Unternehmen nicht immer gefragt, in manchen Fällen aber schon. Hier der Überblick:

  • 1. Koordinierungsfunktion des Nationalen Cyber-Sicherheitsrates (NCSR) stärken
    Der NCSR soll als Impulsgeber für Fragen der Cybersicherheit stärker in Erscheinung treten. Zudem soll eine tiefere Einbindung des NCSR in Wirtschaft, Wissenschaft und Zivilgesellschaft erfolgen.
  • 2. Zusammenarbeit von Staat, Wirtschaft, Wissenschaft und Zivilgesellschaft verbessern
    Hierbei geht es darum, dass sich Wirtschaft, Wissenschaft und Gesellschaft in Zukunft durch staatliche Stellen aktiv an der Gestaltung von Cybersicherheit beteiligen. Der Austausch im Rahmen von Kooperationsmodellen soll dazu führen, dass nachhaltige Handlungsoptionen und Lösungen entwickelt werden.
  • 3. Kooperative Kommunikationsplattform zu Cyberangriffen
    Informationen und technische Merkmale zur Detektion von Cyberangriffen sollen auf einer Plattform („Information Sharing Portal“) zusammengeführt werden, um dadurch Schäden durch Cyberangriffe zu verringern oder sogar zu verhindern. Alle an der Cyberabwehr beteiligten Organisationen sollen daher Informationen beisteuern, soweit Datenschutz und Geheimhaltungspflichten dies ermöglichen. Die bessere Vernetzung soll dann auch zu einer Sensibilisierung von Unternehmen und Wissenschaft führen.
  • 4. Unternehmen in Deutschland schützen
    Inzwischen existieren bereits einige Dialog- und Informationsaustauschplattformen zwischen Staat und Wirtschaft, die Interaktion der Unternehmen mit den zuständigen Stellen ist gestärkt. Dies soll weiter ausgebaut werden, unter anderem durch gezielte Unterstützung kleiner und mittelständischer Unternehmen bei der Umsetzung von IT-Sicherheitsmaßnahmen. Ziel dessen ist auch, die Wettbewerbsfähigkeit der deutschen Wirtschaft zu stärken.
  • 5. Deutsche digitale Wirtschaft stärken
    Vor dem Hintergrund, dass ausländische Firmen wichtige Digitalisierungsfelder dominieren, Deutschland und Europa aber in vielen Forschungsbereichen der Digitalisierung zur Weltspitze gehören, gilt es, Schlüsseltechnologien gezielt zu fördern und die deutsche Digitalwirtschaft zu stärken. Es sollen einerseits Produkte mit erhöhter IT-Sicherheit entstehen, andererseits auch innovative Produkte zur Verbesserung der IT-Sicherheit.

Das waren die ersten fünf der insgesamt 13 Ziele.

Die Digitalisierung schreitet immer weiter voran und bringt neue Herausforderungen für die Cybersicherheit mit sich. Bild: Pexels/ThisIsEngineering

Von einheitlichen Regulierungsrahmen bis zur Quantentechnologie

Weiter geht es mit den Punkten 6 bis 9:

  • 6. Einheitlicher europäischer Regulierungsrahmen für Unternehmen
    Vernetzbare Geräte sollen künftig in der EU einheitliche, gesetzliche Anforderungen erfüllen müssen, inklusive Marktzugangsregelungen sowie Normen und Standards für Unternehmen im Bereich der Cybersicherheit. Auch mit Blick auf Digitale Souveränität soll sich Deutschland in den europäischen und internationalen Normungsgremien engagieren. Zudem soll eine dringend erforderliche, strategisch ausgerichtete Standardisierungspolitik im Umfeld von Informations- und Kommunikationstechnik (IKT), Software und KI erfolgen.
  • 7. Forschung & Entwicklung resilienter, sicherer IT-Produkte, Dienstleistungen und Systeme
    Erkenntnisse aus der IT-Sicherheitsforschung sind in marktfähige Produkte zu überführen. Dazu sind Kooperationen zwischen Forschung, Wirtschaft und staatlichen Einrichtungen zu fördern und Anreize für Ausgründungen zu schaffen, sodass sich Synergien nutzen und zusätzliche Forschungserkenntnisse generieren lassen. Zugleich ist die Entwicklung und Einführung zukunftsweisender Technologien (zum Beispiel 5G und 6G) von strategischer Bedeutung für die Digitale Souveränität Deutschlands und der EU.
  • 8. Sicherheit von Zukunfts- und Schlüsseltechnologien durch Security-by-Design
    KI, IoT und Robotik gelten als Treiber für die fortschreitende Digitalisierung von Produkten, Dienstleistungen und Prozessen. Damit wichtige Innovationen nicht durch Sicherheitsrisiken behindert werden, ist die IT-Sicherheit schon im Entwicklungsprozess zu berücksichtigen – durch den Security-by-Design-Ansatz. Dadurch sollen sich Risiken schon in einem frühen Stadium der Entwicklung reduzieren lassen. Unternehmen sollen sich in einem Netzwerk zusammenschließen und sich zu Technologien, Entwicklungswerkzeugen und Geschäftsmodellen austauschen.
  • 9. IT-Sicherheit durch Quantentechnologie
    Die rapide Entwicklung der Quantentechnologie zeigt enormes Potenzial, bringt aber auch neue Herausforderungen für die Cybersicherheit mit sich. Die Auswirkungen von Quantencomputing auf die Cybersicherheit sind daher zu erforschen und für technologische Innovationen für mehr Cybersicherheit zu nutzen. Für den Einsatz von Quantentechnologie in hochsicheren Netzen sollen Sicherheitszertifizierungen entwickelt werden.

Damit wären auch die Punkte 6 bis 9 abgehandelt. Es fehlen aber noch weitere Punkte.

Von Prüf- und Abnahmeverfahren bis zu sicherer Telekommunikation

Abschließend folgt noch der Blick auf die Punkte 10 bis 13. Hier die Zusammenfassung:

  • 10. Prüf- und Abnahmeverfahren mit Innovationszyklen harmonisieren
    Bei neuen IT-Produkten und Dienstleistungen, vor allem aus dem Bereich von IoT-Anwendungen, kann es vorkommen, dass sicherheitsrelevante Aspekte noch nicht erkennbar sind. Genau das spornt Cyberkriminelle an, nach Schwachstellen zu suchen und diese auszunutzen. Hier müssen staatliche Stellen verlässliche Sicherheitsaussagen zu neuen Technologien treffen und regulatorische Vorgaben machen. Neue Prüf- und Abnahmeverfahren sollen künftig mit den beschleunigten Innovationszyklen der IT-Wirtschaft mithalten.
  • 11. Schutz kritischer Infrastrukturen weiter verbessern
    Kritische Infrastrukturen sind für das Gemeinwesen unverzichtbar und besonders zu schützen. Ein Rechtsrahmen für die Cybersicherheit in KRTIS existiert seit einigen Jahren. Dies soll weiter ausgebaut werden. Staat und Wirtschaft werden weiterhin eng zusammenarbeiten, um kritische Einrichtungen zu schützen und schnell auf Sicherheitsvorfälle zu reagieren. Reaktive Maßnahmen sind künftig durch proaktive Maßnahmen zu begleiten, zum Beispiel durch die frühzeitige Erkennung und Abwehr von Cyberangriffen. Freiwillig können sich KRITIS-Betreiber an einem nationalen Informationsaustausch beteiligen.
  • 12. Cybersicherheitszertifizierung
    Aktuell werden durch den Cybersecurity Act bereits neue Zertifizierungsschemata für IT-Produkte, Dienstleistungen und Prozesse entwickelt. Dies ist weiter auszubauen. Das BSI will daran aktiv mitwirken, seinen Ruf als Zertifizierungsstelle ausbauen und sich als Nationale Behörde für Cybersicherheitszertifizierung etablieren.
  • 13. Telekommunikationsinfrastrukturen der Zukunft sicher
    Sowohl das 5G-Netz als auch das zukünftige 6G-Netz stützen sich auf virtualisierte Netzkompetenten, wobei Software zentrale Funktionen realisiert. Durch die Virtualisierung entsteht allerdings eine neue Angriffsfläche, die zu schützen ist – vor allem weil Mobilfunknetze zu den kritischen Infrastrukturen zählen. Daher wird kontinuierlich und frühzeitig auf ein hohes Sicherheitsniveau hingearbeitet. Die Bundesregierung will Forschung und Entwicklung eines ganzheitlichen 6G-Systems fördern, sodass Akteure aus Deutschland die 6G-Standardisierung maßgeblich mitprägen.

Das gesamte Dokument ist noch viel umfassender, die wichtigsten Punkte für Unternehmen sind aber hiermit genannt.

Zu sehen ist ein Smartphone mit 5G. Bild: Unsplash/James Yarema

5G gilt als Schlüsseltechnologie für die Industrie. Bild: Unsplash/James Yarema

IT-Dienstleister unterstützen

Fakt ist: Mit der zunehmenden Digitalisierung werden in Sachen Cybersicherheit sicherlich noch zahlreiche neue Herausforderungen auf Unternehmen zukommen – und auch auf IT-Dienstleister. Denn: In vielen der zuvor genannten Punkten ist auch die Partizipation von IT-Dienstleistern gefragt.

Wir können Ihnen versichern, dass die IT-Systemhäuser, die sich  dem IT-SERVICE.NETWORK angeschlossen haben, alle Entwicklungen zu Digitalisierung und Sicherheit verfolgen, sich neue benötigte Fachkenntnisse aneignen und die notwendigen Sicherheitsmechanismen bei ihren Unternehmenskunden implementieren.

Sie benötigen Unterstützung dabei, IT-Sicherheit im Allgemeinen und Cybersicherheit im Besonderen in Ihrem Unternehmen umzusetzen? Dann finden Sie in unserer Dienstleistersuche einen unserer IT-Partner in Ihrer Nähe und nehmen Sie Kontakt zu ihm auf. Wir freuen uns auf Ihre Anfrage!


Weiterführende Links:
BMI, Bundesregierung, BMI

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.