Konkrete Maßnahmen formulieren Deutschland braucht eine ambitionierte Cybersicherheitsstrategie

Das Thema „Cyber“ muss in Deutschland eine höhere Priorität erhalten – zwar ist die Cybersicherheitsagenda ein guter Ansatz, geht aber einigen Experten nicht weit genug.

Bild: iStock, mirsad sarajlic
22.11.2022

Die Deutschen sind im Cyberraum so gefährdet wie nie zuvor, zeigt der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik. Es existieren aber zahlreiche Hürden auf dem Weg zu einem höheren Sicherheitsniveau. Die erste Publikation des Acatech-Projekts „Cybersicherheit“ gibt Denkanstöße, um die Sicherheit in Deutschland zu verbessern.

Die Bedrohungen im Cyberraum haben in den letzten Jahren signifikant zugenommen. 2019 gaben noch 70 Prozent der deutschen Firmen an, dass Cyberangriffe einige Schäden verursacht haben. 2021 waren es bereits 86 Prozent. Die Schadenssumme hat sich innerhalb dieser zwei Jahre mehr als verdoppelt von 103 Milliarden Euro pro Jahr auf 223 Milliarden Euro, wie eine Befragung des Branchenverbands Bitkom zeigt.

Inzwischen ist die Zahl der Cyberangriffe nochmal deutlich gestiegen, auch aufgrund des Kriegs in der Ukraine. Hierzulande ist die kritische Infrastruktur besonders verletzlich, weil beispielsweise bei einem Angriff auf ein Krankenhaus auch Menschenleben in Gefahr sind. Es ist für Deutschland also wichtig, die Cybersicherheit zu erhöhen. Das ist aber mit zahlreichen Herausforderungen verbunden.

Andere Staaten sind weiter

Mit der Veröffentlichung der Cybersicherheitsagenda will die deutsche Politik den Herausforderungen begegnen. Jedoch reichen viele der vorgeschlagenen Maßnahmen nicht weit genug. Zum Beispiel gibt es keine Regelungen, wie eine aktive Cyberabwehr umgesetzt werden kann. Angesichts dessen sagt die Leiterin des Acatech-Forschungsprojekts, Claudia Eckert vom Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC): „Die Cybersicherheitsagenda des Bundesinnenministeriums war ein wichtiger erster Schritt, dem jetzt zügig eine zukunftsweisende Cybersicherheitsstrategie für die gesamte Bundesregierung folgen muss. Diese muss sowohl konkrete Vorhaben umfassen als auch mit Nachdruck und Mut ambitionierte Ziele und deren Umsetzung verfolgen, um die Cybersicherheit in Deutschland wirklich nachhaltig zu verbessern.“

Andere Staaten haben das Thema bereits umfassender abgedeckt, wie zum Beispiel die USA. Das neue Papier der Biden-Regierung formuliert konkrete und ambitionierte Maßnahmen, wie Cybersicherheit in allen staatlichen Stellen umgesetzt werden soll. Zudem werden eindeutige Verantwortlichkeiten, Prozesse und Deadlines festgesetzt. Beispielsweise müssen alle US-Bundesbehörden bis 2024 eine Zero-Trust-Architektur einführen. Zero Trust verfolgt einen datenzentrierten Ansatz. Anstatt einem Nutzer automatisch zu vertrauen, der sich beispielsweise in einem Firmennetzwerk bewegt, erhalten Nutzerinnen und Nutzer nur jeweils die Rechte, die für eine Anwendung benötigt werden.

Angesichts der Bestrebungen in anderen Ländern muss Deutschland aktiver werden, fordert die Projektgruppe. Das Thema muss in der Bundesrepublik mehr Priorität erhalten – und zwar in allen gesellschaftlichen Bereichen.

Cybersicherheit erfordert Digitale Souveränität – und umgekehrt

Die Expertinnen und Experten formulieren zwei zentrale Denkanstöße, um die Cybersicherheit in Deutschland zu verbessern. Erstens braucht Deutschland eine ambitionierte Cybersicherheitsstrategie, die in eine umfassende Digitalisierungsstrategie eingebettet ist. Sie schlagen vor, sich an der US-Strategie für Cybersicherheit zu orientieren.

Zweitens muss Deutschland nach mehr Digitaler Souveränität streben. Im Kern bedeutet Digitale Souveränität, dass Individuen, Unternehmen und die Politik unabhängiger werden und alternative Angebote, etwa im Bereich Soft- und Hardware, bereitstellen oder nutzen. Dafür müssen Kernkompetenzen konsequent auf- und ausgebaut werden, weil fehlendes Wissen dazu führt, dass Alternativen nicht entstehen oder die Sicherheit einer Technologie nicht beurteilt werden kann.

Diese beiden Ziele bedingen sich gegenseitig. „Ohne adäquate Cybersicherheit, kann Digitale Souveränität nicht gewährleistet werden“, sagt Claudia Eckert. Ein Beispiel: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, das Virenschutzprogramm der russischen Firma Kaspersky einzusetzen. Hintergrund sind die aktuellen politischen und geopolitischen Entwicklungen. Das hatte für Deutschland jedoch keine weitreichenden Auswirkungen, weil genügend Alternativen vorhanden sind.

Für die Umsetzung sind zahlreiche Akteure gefragt

Zusätzlich formulieren die Projektmitglieder zahlreiche Handlungsmöglichkeiten für Politik, Wissenschaft, Wirtschaft und Gesellschaft. Die Politik muss die Behördenstruktur zusammenfassen, denn bei 75 zuständigen Institutionen allein auf Bundesebene ist der Abstimmungsbedarf deutlich zu hoch. Forschende brauchen Zugriff auf Daten über Cyberangriffe, um daraus lernen zu können. Unternehmen sollten Cybersicherheit als Wettbewerbsvorteil begreifen und die Benutzerfreundlichkeit ihrer Produkte vorantreiben, damit alle Anwender sichere Verfahren einfach umsetzen können.

Aber auch Bürgerinnen und Bürger können einen Beitrag leisten, indem sie ein grundlegendes Verständnis für digitale Technologien und ihre Abläufe entwickeln. Dafür ist wiederum die Politik gefragt, die Lehrpläne anpassen oder niederschwellige Weiterbildungen schaffen könnte.

Diese Handlungsmöglichkeiten zeigen deutlich, wie komplex es ist, ein hohes Sicherheitsniveau zu erreichen. Dafür müssen Entscheiderinnen und Entscheider in Politik und Wirtschaft das Thema mit hoher Priorität behandeln. Aber vor allem muss ein gesellschaftlicher Wandel stattfinden. Denn: „Cybersicherheit ist eine gesamtgesellschaftliche Aufgabe“, so Projektleiterin Claudia Eckert.

Über das Acatech-Projekt „Cybersicherheit“

Das Projekt gibt einen Überblick über den Themenkomplex Cybersicherheit und zeigt Wege auf, wie die Cybersicherheit in Deutschland nachhaltig verbessert werden kann. Claudia Eckert vom Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC) leitet das Projekt.

Firmen zu diesem Artikel
Verwandte Artikel