Die „Cyber-Sicherheitsstrategie für Deutschland 2016“ der ­Bundesregierung wird derzeit fortgeschrieben – bis Mitte 2021
soll die aktualisierte Cyber-­­Sicherheits­strategie beschlossen werden. Bis dahin läuft ein ­Evaluierungsprozess in Form eines ­Fragebogens. Darin werden Stakeholder aus den ­Bereichen Wissenschaft, ­Wirtschaft, Staat und Zivilgesellschaft eingebunden – ­darunter auch der Bundesverband IT-Sicherheit (Teletrust), dessen Kommentierung wir im Folgenden ausschnittsweise wiedergeben.

Was hat sich bewährt?
Alle vier Handlungsfelder waren in der Vergangenheit und sind in der Zukunft im Prinzip wichtig: Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung; Gemeinsamer Auftrag Cyber-Sicherheit von Staat und Wirtschaft; Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur; Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik.

Dennoch müssen wir feststellen, dass der Level an Cyber-Sicherheit und die notwendige Robustheit unserer IT-Infrastrukturen noch nicht hoch genug ist. Die Handlungsfelder und deren Maßnahmen müssen mit deutlich mehr Energie bearbeitet werden. Ein Ziel zu definieren, reicht nicht aus, es muss auch mit konkreten, nachhaltigen Maßnahmen und einer geeigneten Struktur umgesetzt werden.

Aus diesem Grund sollte mit Hilfe einer sehr gut ausgestatteten Task Force eine geeignete Struktur aufgebaut werden, bei der mit allen Stakeholdern gemeinsam die Fortschreibung der Cyber-Sicherheitsstrategie durchgeführt und auch getragen wird. Durch die gemeinsame Verantwortung werden die notwendigen Maßnahmen auch konkreter, wirkungsvoller und nachhaltiger umgesetzt.

Technisch und rechtlich sind wir sehr weit. Es fehlt an der tatsächlichen Umsetzung. Die öffentliche Hand könnte hier viel bewirken, u. a. durch breite Nutzung des digitalen Personalausweises oder Technologien wir die Smartphone Bürger-ID bei behördlichen Angeboten im Netz (Bürgerportale).

Das ITSiG hat vieles bewegt und zum Positivem verbessert. Eine Ausweitung des Geltungsbereichs von ITSiG auf weitere Branchen, weitere Dienste und auch kleinere Betreiber (mehr in die Breite) ist mittelfristig nötig – evtl. unter Senkung der Anforderungen in weniger kritischen Bereichen.

Unternehmen in Deutschland schützen: Der Schutz der Unternehmen durch den Staat bzw. staatliche Organe ist wichtig – besser wäre es aber, die Unternehmen zu befähigen, sich selbst hinreichend zu schützen. Das Augenmerk muss dabei besonders auf KMU liegen, die mit dieser Aufgabe bisher noch meist überfordert sind.

Was hat sich erledigt?
Die Aktivitäten im Umfeld des „Bundestrojaners“ durch die ZITiS im Handlungsfeld.

„Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur“ sollten umgehend gestoppt werden, weil sie allen anderen Maßnahmen entgegenwirkt und damit die Cyber-Sicherheitsstrategie unglaubwürdig erscheinen lässt.

Was muss dazukommen?
Der Bundesverband IT-Sicherheit würde es begrüßen, wenn mehr Initiativen für die Verschlüsselung werthaltiger Daten von Unternehmen und zum Schutz der Privatsphäre umgesetzt würden, weil es für die fortschreitende Digitalisierung ein wichtiger und mit hohem Schutzpotenzial nutzbarer Sicherheitsmechanismus ist. Außerdem glauben wir, dass es dringend notwendig ist, eine vertrauenswürdige, digitale Cyber- Sicherheitsinfrastruktur aufzubauen, die z. B.: Extended Zertifikates für mehr Vertrauen von Webanwendungen einfach zur Verfügung stellt, eine Alternative zu „Let´s encrypt“ (mit einer Identitätsüberprüfung) schafft und für eine einfache Verschlüsselung von E-Mail-Sicherheit, Chats, usw. sorgt. Teletrust würde es begrüßen, wenn die Initiative GAIA-X für die Schaffung von mehr Unabhängigkeit und höhere Cyber-Sicherheit und Datenschutz als gemeinsames Ziel definiert würde.

Weitere Ziele, die in der Cyber-Sicherheitsstrategie eine höhere Bedeutung erlangen sollten, sind die- Wiederansiedlung von IT-Produktion in Deutschland und Europa, um Versorgung zu sichern und Produkte mit hohen und höchsten Sicherheitsanforderungen unter kontrollierten Bedingungen herzustellen (wie GAIA-X).

Wünschenswert ist außerdem ein starkes Bekenntnis zu Open Source durch Einsatz (auch und insbesondere in der öffentlichen Verwaltung) und Unterstützung der Open-Source-Entwicklungsprojekte. Außerdem wichtig ist die Durchsetzung von Komplexitätsreduktion (Komplexität ist der größte Feind der IT-Sicherheit). Ein stärkerer Fokus sollte auf Dezentralisierung von IT-Systemen und Verantwortung gelegt werden. Dies ist insbesondere relevant im Bereich Digitale Identität, Self-Sovereign Identity (SSI), etc.

Ergänzt werden sollte, dass nicht nur mit Providern und (KRITIS)-Anbietern zusammengearbeitet wird, sondern verstärkt mit den Herstellern und Lieferanten – das sowohl auf Hard- und Software-Ebene. Das ITSiG 2.0 schießt inhaltlich insoweit über die aktuelle Strategie hinaus. Die Rolle des BSI sollte überdies stärker als bisher in der neuen Strategie Berücksichtigung finden, da sich das ansonsten mit dem zunehmenden Befugnisausbau nicht rechtfertigen lässt.

Das Identitätsmanagement ist ein Schüsselfaktor in jeder sicheren IT-Infrastruktur. Generell ist eine stärkere Berücksichtigung von eID und den in der eIDAS-Verordnung genannten Vertrauensdiensten in Technologie- oder IT-Sicherheitsrelevanten (Gesetzes)Initiativen wünschenswert.

Beim Thema „Sichere elektronische Identitäten“ ist aus unserer Sicht die mobile eID-Funktion zu ergänzen, die eine hochsichere, datensparsame und nutzerfreundliche Ergänzung zur Online-Ausweisfunktion des Personalausweises darstellt und ihn über ein mobiles Endgerät – allen voran dem Smartphone – nutzbar macht. Zur Stärkung der sicherheitstechnischen Souveränität und Schaffung innovativer, nutzerfreundlicher und sicherer digitaler Angebote ist es notwendig, dass Sicherheitsmechanismen wie bspw. das Secure Element im Smartphone für die Wirtschaft zugänglich sind und der Zugriff darauf durch die Smartphone- Anbieter nicht verhindert wird.

Zu ergänzen wäre ein neuer Punkt: „Verstärkung der Kooperation und Vernetzung mit europäischen Einrichtungen, insbesondere der ENISA“, um auch das Thema „nationale Alleingänge“ stärker zu adressieren.