Studien belegen, dass die Bedrohungen im Cyberraum in den vergangenen Jahren signifikant zugenommen haben. Mit der Veröffentlichung der Cybersicherheitsagenda wurde ein wichtiger und begrüßenswerter Schritt getan, um diesen Bedrohungen zu begegnen. Jedoch bleiben einige der vorgeschlagenen Maßnahmen vage und reichen teilweise nicht weit genug. Zum Beispiel bleibt offen, wie eine aktive Cyberabwehr adäquat umgesetzt werden soll. Die Cybersicherheitsagenda muss deshalb jetzt zügig fortgeschrieben und um eine zukunftsweisende Cybersicherheitsstrategie ergänzt werden, die mit Nachdruck und Mut ambitionierte Ziele und deren Umsetzung verfolgt.
Ein Beispiel ist die konsequente Abkehr von Paradigmen, wie von der Perimeter-Sicherheit hin zur Umsetzung von Zero-Trust-Prinzipien. Dies besagt, dass es keine von vornherein vertrauenswürdige Instanzen gibt. Zero-Trust ist dabei nicht als eine Technologie zu verstehen, die eine Bestandstechnologie ablöst, sondern vielmehr als eine Menge von Leitprinzipien, die bei der Absicherung von Systemen oder beim Entwurf neuer Systemarchitekturen berücksichtigt werden sollten. Die Umsetzung der Zero-Trust-Prinzipien erfordert einen Migrationsprozess, in dem schrittweise Sicherheitskonzepte, Regelwerke und Kontrollmaßnahmen neu ausgerichtet und an das Zero-Trust-Paradigma angepasst werden müssen.
Cybersicherheit muss hohe Priorität habenDigitalisierung ist in Unternehmen, Kritischen Infrastrukturen und der öffentlichen Verwaltung angekommen. Hierbei kommt eine Vielzahl von Software- und Hardware-Produkten zum Einsatz, die aus unterschiedlichen Quellen stammen. Wir müssen deshalb unsere Fähigkeit verbessern, um beurteilen zu können, welche möglichen Risiken mit der Nutzung oder Integration solcher Produkte in unternehmerische Abläufe, Produkte (zum Beispiel Autos) oder in automatisierte Steuerungen kritischer Versorgungsanlagen (zum Beispiel Stadtwerke) verbunden sind. Dazu benötigen wir den Aus- und Aufbau von Test- und Analyse-Zentren auf das höchste technische und wissenschaftliche Niveau.
Wir müssen zudem die Kompetenzen weiterentwickeln, um Risikobewertungs-Methoden zu entwickeln und korrekt anzuwenden. Auch in Schlüsselbereichen der IT-Sicherheit, wie beispielsweise der vertrauenswürdigen Hardware und Betriebssoftware, im Bereich der Verschlüsselungsverfahren oder der Cyberresilienz muss Deutschland seine eigenen Kompetenzen und Technologieangebote ausbauen.
Cybersicherheit erfordert Digitale Souveränität – und umgekehrtDigitale Souveränität beschreibt die Fähigkeit, dass ein Unternehmen oder ein Staat digitale Technologien selbstbestimmt nutzen, unbeeinflusst durch Dritte agieren und Risiken beurteilen kann. Selbstbestimmtes, unbeeinflusstes Agieren bedeutet aber auch, dass technologische Alternativen zur Verfügung stehen müssen, zwischen denen eine Auswahl in Bezug auf mögliche Bedrohungen und Risiken getroffen werden kann. Dafür gibt es bereits eine Reihe vielversprechender Ansätze, die konsequent erweitert und unterstützt werden müssen, damit schnell marktreife Produkte entstehen. Zu nennen sind hier beispielsweise Initiativen, die auf der Basis des offenen Standards RISC-V vertrauenswürdige Open-Source-Hardware-Plattformen so entwickeln, dass der gesamte Prozess vom Chip-Design bis zu dessen Fertigung einschließlich der Lieferketten transparent und nachvollziehbar ist.
Ein anderes Beispiel sind Ansätze, die mittels Techniken wie dem Confidential-Computing vertrauenswürdige Umgebungen etablieren, um sensitive Anwendungen auszuführen und sensitive Daten auf Cloud-Plattformen zu verwalten. Das sind vielversprechende technologische Konzepte, die es ermöglichen, existierende Cloud-Dienste souverän zu nutzen, ohne diese Cloud-Plattformen vollständig selbst neu entwickeln zu müssen; was betriebswirtschaftlich auch nicht leistbar ist.
Eine ganzheitliche Cybersicherheitsstrategie erfordert die Mitwirkung aller AkteureDas sind die zentralen Denkanstöße einer heute erscheinenden Publikation von acatech – Deutsche Akademie der Technikwissenschaften. Das Papier skizziert weitere Handlungsmöglichkeiten für Politik, Wissenschaft, Wirtschaft und Gesellschaft, um die Cybersicherheit in Deutschland zu verbessern. Beispiele sind:
- Die Politik muss die Behördenstruktur zusammenfassen, um den Abstimmungsbedarf zu reduzieren und einheitliche Linien zu etablieren.
- Unternehmen sollten Cybersicherheit als Wettbewerbsvorteil begreifen und die Benutzerfreundlichkeit ihrer Produkte vorantreiben, damit alle Anwender sichere Verfahren ganz selbstverständlich und einfach verwenden können.
- Auch Bürgerinnen und Bürger können einen Beitrag leisten, indem sie ein grundlegendes Verständnis für digitale Technologien und ihre Abläufe entwickeln.
Die Handlungsmöglichkeiten zeigen deutlich, wie komplex es ist, ein hohes Sicherheitsniveau zu erreichen. Wir alle sind gefragt: Wir brauchen eine umfassende Sicherheitskultur. Jeder muss mitgenommen werden und jeder muss sich als Teil der Problemlösung verstehen. Denn Cybersicherheit ist eine gesamtgesellschaftliche Aufgabe.
Claudia Eckert leitet das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC in Garching b. München und hat als Professorin an der Technischen Universität München den Lehrstuhl für Sicherheit in der Informatik an der Fakultät für Informatik inne. Sie leitet außerdem das Projekt Cybersicherheit bei acatech – Deutsche Akademie der Technikwissenschaften.
