Erweiterte Suche

Cybersecurity

Digitalstrategie

Wie die Bundesregierung Digitalisierung und Cybersicherheit zusammenbringen will

In dieser Woche werden die Staatssekretär:innen über den Entwurf der Digitalstrategie beraten, bevor er am 31. August zur Entscheidung ins Bundeskabinett geht. Auch das Thema Cybersicherheit nimmt in der aktuellen Fassung eine größere Rolle ein. Welche Vorhaben geplant sind und was es nicht in den Entwurf geschafft hat.

Benjamin Stiebel

von Benjamin Stiebel

veröffentlicht am 22.08.2022

aktualisiert am 31.08.2022

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen
Der über den Sommer überarbeitete Entwurf für die Digitalstrategie der Bundesregierung soll diese Woche von einer Runde von Staatssekretär:innen beraten und für den Beschluss bei der Kabinettsklausur am 31. August in Meseberg vorbereitet werden. Kurz vor dem Wochenende wurde ein neuer Arbeitsentwurf bekannt, der auch Tagesspiegel Background vorliegt. Die Digitalstrategie soll als „Kursbuch“ für alle Ressorts dienen.

Dass die Ressorts und das koordinierende Bundesministerium für Digitales und Verkehr (BMDV) über den Sommer eine Schippe draufgelegt haben, erkennt man quantitativ daran, dass die Digitalstrategie nun über 50 Seiten statt in dem Entwurf von Anfang Juli 30 Seiten umfasst. Beim Ambitionsniveau versucht man nun auch an einigen Stellen konkreter zu werden – auch bei der Cybersicherheit.

Dabei stellen die Verfasser:innen auch zu Beginn klar, dass die umfassende Digitalisierung von Staat, Wirtschaft und Gesellschaft auch Angriffsflächen für Ausspähung, Einflussnahme und Disruption etwa durch gegnerische Staaten und Cyberkriminelle eröffne: „Die mit dem Ukraine-Krieg verbundene „Zeitenwende“ ist ein Weckruf, neben der Befähigung zur Abwehr von Gefahren aus dem Cyber-Raum [sic], auch die Schaffung von Resilienz und die Befähigung zur Schadensbegrenzung mitzudenken.“

Die Cybersicherheit adressiert die Bundesregierung dann auch mit einem eigenen Kapitel im dritten Handlungsfeld „Lernender, digitaler Staat“. Im ersten Entwurf war das Thema noch knapp gemeinsam mit der Verteidigung abgehandelt worden, jetzt gibt deutlich mehr zu lesen. Da ist zum einen Altbekanntes wie die geplante Weiterentwicklung der Cybersicherheitsstrategie für Deutschland oder der Ausbau des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Zentralstelle im Bereich der IT-Sicherheit – auch zentrale Punkte in der Cybersicherheitsagenda des Bundesinnenministeriums (BMI) vom Juli.

Komponenten in Kritischer Infrastruktur

Neu ist dagegen in der Strategie die Berücksichtigung der Sicherheit Kritischer Infrastrukturen, die im alten Entwurf gar nicht vorkamen. Anforderungen an die Betreiber sollen angepasst werden. Ein Ziel ist, dass „nicht-vertrauenswürdige Unternehmen“ am Ausbau Kritischer Infrastrukturen nicht beteiligt werden. In der Sache ist das allerdings nicht neu – schon im IT-Sicherheitsgesetz 2.0 werden Bertreiber Kritischer Infrastrukturen dazu verpflichtet, den Einsatz von kritischen Komponenten dem BMI anzuzeigen. Gleichzeitig darf das Ministerium die Verwendung untersagen, wenn eine „Beeinträchtigung der öffentlichen Ordnung und Sicherheit“ befürchtet wird – dies liegt vor, wenn etwa der Hersteller von der Regierung eines Drittstaats kontrolliert wird. Zuletzt war die Debatte um den chinesischen Telekommunikationsausrüster Huawei nach einem Medienbericht wieder aufgekommen, demzufolge das BMI prüfe, den Einsatz der Technologie zu untersagen. Das Ministerium dementierte die Berichte indes (Background berichtete).

Das Recht auf Verschlüsselung

Einen ganzen Blumenstrauß an Maßnahmen bringt folgender neue Absatz in den aktuellen Entwurf der Digitalstrategie ein: „Wir führen ein Recht auf Verschlüsselung, ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen, und die Vorgaben ,security-by-design/default‘ ein. Auch der Staat muss verpflichtend die Möglichkeit echter verschlüsselter Kommunikation anbieten. Hersteller haften für Schäden, die fahrlässig durch IT-Sicherheitslücken in ihren Produkten verursacht werden.“ Nichts davon stand im alten Entwurf und auch die BMI-Agenda enthält nichts zu einem Recht auf Verschlüsselung oder einer Herstellerhaftung.

Wenn die Formulierung trotzdem vage Erinnerungen weckt, dann deshalb, weil sie buchstäblich aus dem Koalitionsvertrag der Ampel übernommen wurde. Dieser hatte auf der selben Seite noch eine andere Maßnahme versprochen, die weder in der Agenda noch in der Digitalstrategie wieder aufgetaucht ist: Die Einführung eines verantwortlichen Verfahrens für das Finden und Melden von IT-Sicherheitslücken. Bislang bewegen sich IT-Sicherheitsforschende in Deutschland aufgrund des sogenannten Hackerparagrafen im Strafgesetzbuch in einer rechtlichen Grauzone, wenn sie IT-Systeme auf Schwachstellen untersuchen (Background berichtete).

Digitale Souveränität

Cybersicherheit beschränkt sich in der Digitalstrategie aber nicht auf das so benannte Kapitel, sondern zieht sich als Querschnittsthema durch alle Bereiche. So wird bei Themen wie Identitäten, Mobilität oder Gesundheit immer darauf verwiesen, dass die geplanten digitalen Infrastrukturen und Anwendungen zuverlässig, sicher und vertraulich zu gestalten sind. Andersherum ist Cybersicherheit ein wesentliches Ziel bei den digital- und industriepolitischen Maßnahmen der Strategie.

Im Kapitel „Schlüsseltechnologien für die digitale Souveränität Deutschlands und Europas“ im zweiten Handlungsfeld „Innovative Wirtschaft, Arbeitswelt, Wissenschaft und Forschung“ geht es um den Aufbau von Kompetenzen in Schlüsseltechnologien wie Künstliche Intelligenz (KI), 5G/6G, Autonome Systeme, Robotik, Quantencomputing und Cybersicherheit. Außerdem will die Regierung ein „wirkungsvolles System zum Monitoring von internationalen Lieferketten“, um technologische Abhängigkeiten besser bewerten zu können.

Abhängigkeiten sind auch ein Thema im Kapitel „Digitale Souveränität der öffentlichen Verwaltung“. Der Staat soll mehr Kontrolle über die eigene IT gewinnen, um „insbesondere Informations- und Datenschutz gewährleisten zu können“. Dazu müsse die Verwaltung „unabhängiger von einzelnen Anbietern und Produkten“ werden. Das will der Bund gemeinsam mit Ländern und Kommunen mit Hilfe von Open-Source, offenen Schnittstellen und offenen Standards erreichen und zudem eine "Multi-Cloud-Struktur" für die Verwaltung schaffen.

Neu im aktuellen Entwurf ist das Vorhaben, eine digitale Datenbotschaft im Ausland zu schaffen. Im Falle physischer oder virtueller Bedrohungen soll so ein Backup wichtiger staatlicher Datenbestände verfügbar sein. Dieser Punkt findet sich etwa bereits im Strategiepapier „Aktionsplan Cybersicherheit“ des Auswärtigen Amtes. Vorbild ist die Digitale Datenbotschaft Estlands in Luxemburg (Background berichtete).

Um in Krisen effizient, schnell und sicher auch über sensible und als Verschlusssache eingestufte Themen sprechen zu können, will die Regierung zudem Krypto-Technologien und hochsichere Kommunikationsnetze weiterentwickeln.

Welche Punkte ausgeklammert wurden

Nicht alles, was sich die Bundesregierung in Sachen Cybersicherheit vornimmt, steht auch im Strategiepapier. Die Cybersicherheitsagenda des BMI enthält zahlreiche Maßnahmen, die im neuen Entwurf nicht wieder auftauchen. Die Bekämpfung von Cyberkriminalität und Kindesmissbrauchsdarstellungen sowie die Stärkung von Fähigkeiten und Befugnissen der Sicherheitsbehörden sind als klassische BMI-Themen in der Digitalstrategie ausgeklammert.

Ebenfalls ausgeklammert sind aber auch Punkte der Agenda, die die ganze Bundesverwaltung betreffen, wie die Einrichtung eines Chief Information Security Officers für den Bund (CISO BUND) und eines Kompetenzzentrums zur operativen Sicherheitsberatung des Bundes. Auch die BSI Information Sharing Plattform (BISP) und das Zivile Cyberabwehrsystem (ZCAS), die als Angebote für die Wirtschaft und andere zivile Einrichtungen gedacht sind, haben es nicht in den Entwurf der Digitalstrategie geschafft. Dort heißt es nur: „Wir arbeiten mit der Wirtschaft zusammen und unterstützen diese mit geeigneten Maßnahmen zur Erhöhung der Cybersicherheit in den Unternehmen.“

Überraschend sind auch zwei Punkte gestrichen worden. So wurde in der vorherigen Fassung im Handlungsfeld „Vernetzte Gesellschaft“ noch die Forschung an den nationalen Zentren zur Cybersicherheit Cispa, Athene und Kastel hervorgehoben. Diese finden nun keine Erwähnung mehr. Zwar enthält die Strategie viele Maßnahmen zur Forschung, zum Beispiel in den Bereichen KI und Quantencomputing, explizit zur Cybersicherheitsforschung findet sich jedoch nur wenig. Dafür wird auf die Forschungsbeauftragung der Cyberagentur verwiesen. Ergebnisse sollen bis 2025 vorliegen. Im Juni hatte die gemeinsam von BMI und Verteidigungsministerium finanzierte Innovationseinheit ihren bisher größten Forschungsauftrag ausgeschrieben.

Ebenfalls gestrichen ist das prominente Vorhaben im Bereich Verteidigung, unter dem Oberbegriff eines „Systemhauses Cyber- und Informationsraum“ das Digitalisierungspotential der Organisation auszuschöpfen. Der Begriff geht auf ein Eckpunktepapier der letzten Bundesregierung zurück, das eine bereits angelaufene Strukturreform des Organisationsbereiches Cyber- und Informationsraum (CIR) beschreibt. Damit sollten Digitalisierungsaufgaben für die gesamte Bundeswehr beim Organisationsbereich CIR gebündelt werden. Geblieben ist dagegen das allgemeine Bekenntnis zur digitalen Transformation der Bundeswehr und zu einer „robusten und resilienten Vernetzung digitalisierter Streitkräfte“. Bis 2025 sollen „erste Fähigkeiten“ bereitstehen, einen durchgängigen Informations- und Kommunikationsverbund auf dem Gefechtsfeld aufzubauen. Daten sollen schnell mit Hilfe von KI analysiert werden können.

Zuständigkeiten noch ungeklärt

Nur weil die Strategie nun relativ final anmutet, ist die Digitalpolitik für diese Legislaturperiode anderthalb Wochen vor der entscheidenden Kabinettsitzung in Meseberg aber immer noch nicht gänzlich in trockenen Tüchern. Es wird nach Informationen von Tagesspiegel Background immer noch um die Zuständigkeiten gerungen. Das entsprechende Eckpunktepapier des Kanzleramtes soll ebenfalls kommende Woche vom Kabinett beschlossen werden. Bis dato ist aber immer noch nicht abschließend geklärt wie beispielsweise die IT-Konsolidierung des Bundes (weiter) gesteuert werden soll.

Speziell zu dieser Frage tagt heute noch einmal der IT-Rat der Bundesregierung mit den für die Informationstechnik zuständigen Staatssekretär:innen der jeweiligen Ressorts. Bei der regulären montäglichen Staatssekretärsrunde, die in jeder Woche das Kabinett vorbereitet, soll es nach Informationen von Tagesspiegel Background ebenfalls nochmal um die Zuständigkeiten für die Digitalpolitik gehen.

Das Gremium, das mit der Digitalstrategie eingesetzt wird, die Runde der Staatssekretär:innen, die auch die Umsetzung der Strategie beaufsichtigen soll, tagt am Donnerstag ab 17 Uhr das erste Mal auf Einladung des Chefs des Bundeskanzleramtes, Wolfgang Schmidt, in der Regierungszentrale. Mitglieder dieser Digitalrunde sind neben dem Bundes-CIO und BMI-Staatssekretär Markus Richter sowie Digital-Staatssekretär Stefan Schnorr aus dem BMDV folgende Personen: Udo Philipp (BMWK), Steffen Saebisch (BMF), Susanne Baumann (AA), Angelika Schlunck (BMJ), Lilian Tschan (BMAS), Benedikt Zimmer (BMVg), Silvia Bender (BMEL), Margit Gottstein (BMFSFJ), Antje Draheim (BMG), Christiane Rohleder (BMUV), Judith Pirscher (BMBF), Jochen Flasbarth (BMZ) und Rolf Bösinger (BMWSB).

Mit Lina Rusch, Oliver Voß, Josefine Kulbatzki und Johannes Steger

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen