Bundeskabinett beschließt Cybersicherheitsstrategie 2021

Die neue Cybersicherheitsstrategie sieht dafür erstmalig neben den Handlungsfeldern konkrete Leitlinien, Maßnahmen und Ziele vor, mittels derer laut BMI die Herausforderungen und Risiken einer digitalisierten Welt mit Technologien wie Künstlicher Intelligenz und vernetzten Geräten gemeistert werden sollen.¹ Das BMI erklärt Cybersicherheit dabei zu einer gesamtgesellschaftlichen Aufgabe. Adressat der neuen Cybersicherheitsstrategie sind dabei Staat, Wirtschaft, Wissenschaft und Gesellschaft gleichermaßen. ²

Handlungsfelder und Leitlinien der neuen Cybersicherheitsstrategie

Die Cybersicherheitsstrategie 2021 wird zunächst die vier Handlungsfelder der Cybersicherheitsstrategie 2016 beibehalten:

• Mit Handlungsfeld¹ setzt sich die Cybersicherheitsstrategie 2021 zum Ziel, die "Cybersicherheitskompetenz" der Gesellschaft zu steigern. So sollen etwa die Anwenderfreundlichkeit von IT-Sicherheitslösungen verbessert, die Angebote des digitalen Verbraucherschutzes ausgebaut, elektronische Identitäten und elektronische Kommunikation besser geschützt werden.³  KI kommt dabei eine Doppelrolle zu: Einerseits soll KI als Instrument genutzt werden, um zur It-Sicherheit beizutragen; andererseits soll auch KI selbst durch spezifische It-Sicherheitsanforderungen geschützt werden.⁴
• Weiter ist mit Handlungsfeld² die Stärkung des Nationalen Cyber-Sicherheitsrates vorgesehen, die durch die Verbesserung der Zusammenarbeit von Staat, Wirtschaft, Wissenschaft und Zivilgesellschaft im Bereich der Cybersicherheit sowie die Stärkung der deutschen digitalen Wirtschaft und der Schutz deutscher Unternehmen erreicht werden soll.⁵
• Daneben soll mit Handlungsfeld³ die Gesetzgebungskompetenz des Bundes zur Gefahrenabwehr und die Zusammenarbeit zwischen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Ländern ausgeweitet werden.⁶ Auch sollen die Strafverfolgung im Cyberraum intensiviert⁷ und Zugriffsmöglichkeiten der Sicherheitsbehörden auf verschlüsselte Kommunikation geschaffen werden.⁸ Das Telekommunikations- und Telemedienrecht soll an den technologischen Fortschritt angepasst werden.⁹
• Die Cybersicherheitsstrategie 2021 sieht weiter mit Handlungsfeld 4 eine aktive Mitgestaltung Deutschlands bei der Weiterentwicklung geltender Strategien und Regelungen vor (etwa der EU-Cybersicherheitsstrategie oder der Netzwerk- und Informationssicherheitsrichtlinie, die aktuell überarbeitet wird), um einen unionsweiten hohen Cybersicherheitsstandard zu erreichen.10 Auch auf NATO-Ebene will Deutschland auf die stetige Weiterentwicklung der Cybersicherheitspolitik hinwirken.¹¹

Neu ist, dass insgesamt vier Leitlinien die vier Handlungsfelder der Cybersicherheitsstrategie flankieren, die wiederum erstmalig durch 44 strategische Ziele konkretisiert werden . Diese Leitlinien lauten:

• Cybersicherheit als eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft etablieren;
• Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken;
• Digitalisierung sicher gestalten und
• Ziele messbar und transparent gestalten.¹²

Für Unternehmen mit am interessantesten sind dabei die 13 strategischen Ziele des zweiten Handlungsfeldes. Darunter fallen Ziele wie „Schutz Kritischer Infrastrukturen weiter verbessern“¹³, „Unternehmen in Deutschland schützen“¹⁴, „Cybersicherheitszertifizierung“¹⁵ sowie „Forschung und Entwicklung resilienter, sicherer IT-Produkte, Dienstleistungen und Systeme für den EU-Binnenmarkt fördern“¹⁴.

Eine wichtige Rolle spielt dabei etwa die IT-Sicherheit von Produkten. Indem diese erhöht werden soll, bzw. Produkte zur Erhöhung ihrer IT-Sicherheit geschaffen werden sollen, zielt das BMI insbesondere auf eine Stärkung der folgenden Wirtschaftszeige samt Lieferketten ab: Mobilitäts- und Automobilindustrie, Energiewirtschaft, Smart Home beziehungsweise IoT und Smart Cities, Industrie 4.0, Gesundheitswesen, Finanzwesen und die IT-Sicherheits-Industrie mit den Feldern Biometrie, Langzeitsicherung und Quantentechnologie. ¹⁷

Um die Erreichung der festgesetzten strategischer Ziele innerhalb der Handlungsfelder zu bewerten und die Umsetzung der Cybersicherheitsstrategie 2021 durch operative Maßnahmen kontinuierlich verfolg- und überprüfbar zu machen, beinhaltet die neue Cybersicherheitsstrategie erstmals auch konkrete Messbarkeitskriterien. Ausgehend von diesen Vorgaben zur Bewertung berichten die für die Umsetzung zuständigen verschiedenen Ressorts dem BMI über den Fortschritt bei der Erreichung der strategischen Ziele.¹⁸

So soll etwa ein Rückgang der von Cyberangriffen betroffenen Privatpersonen oder die Reichweite der Informationsangebote des BSI für Verbraucher als Indikator für den Erfolg bei der Umsetzung des Ziels dienen, digitale Kompetenzen bei allen Anwenderinnen und Anwendern zu fördern.¹⁹ Ob das Ziel, Unternehmen in Deutschland zu schützen, erreicht wird, will das BMI daran ablesen, wie Förderprogramme für die IT-Sicherheit von KMU, konkret nachgefragt werden, ob die Anzahl von Nutzenden der Unterstützungsangebote des BSI steigt sowie daran, dass die „Initiative Wirtschaftsschutz“ Projekte zum ganzheitlichen Schutz der Wertschöpfungskette vor Know-how- und Informationsabfluss etabliert.²⁰

Ausblick

Nachdem das BMI bereits im Juni 2021 einen Entwurf der Cybersicherheitsstrategie veröffentlicht hatte, waren unter anderem die Aufnahme der "digitalen Souveränität" als Leitlinie²¹ und die geplante Verbesserung der Zusammenarbeit zwischen Staat, Wirtschaft und Zivilgesellschaft²² von Interessensverbänden ausdrücklich begrüßt worden. Kritisiert worden war dagegen die geplante Ausweitung der Zugriffsmöglichkeiten deutscher Sicherheitsbehörden auf verschlüsselte Kommunikation²³ bzw. eine mögliche Schwächung von Sicherheitstechnologien zugunsten von staatlichen Eingriffsmöglichkeiten²⁴ sowie der Ausbau von Überwachungsbefugnissen auf Kosten der IT-Sicherheit, insbesondere unter dem Gesichtspunkt, dass ausländischen Nachrichtendienste und Cyberkriminelle Sicherheitslücken ausnutzen könnten.²⁵

Ob und wie trotz oder gerade wegen der den Ressorts eingeräumten Handlungsspielräume die strategischen Ziele der Cybersicherheitsstrategie 2021 in den nächsten Jahren erreicht werden können, wird sich zeigen. Um zwischenzeitlich einen aktiven Austausch zwischen Staat und Wirtschaft zu gewährleisten, verweist die Cybersicherheitsstrategie 2021 unter anderem auf Initiativen wie die „Initiative IT-Sicherheit in der Wirtschaft“ des Bundeswirtschaftsministeriums (BMWi), die Allianz für Cybersicherheit (ACS) oder das vom BMI und vom Bundesverband der Deutschen Industrie (BDI) ins Leben gerufene „Cyberbündnis mit der Wirtschaft“.²⁶ Wir halten Sie über aktuelle Entwicklungen auf dem Laufenden.

Auch passend zum Thema:

Am 4. November bietet Hogan Lovells den Mitgliedern der ACS ein Webinar zum Thema  „Standard und Anforderungen an vernetzte Verbraucherprodukte“ an. Sie sind Mitglied? Dann melden Sie sich jetzt zu unserem Webinar an. Weitere Informationen und die Möglichkeit zur Registrierung erhalten Sie hier.