Kolumne : Die Cybersicherheitsagenda des BMI

Alle Statistiken und Analysen zur Cybersicherheit in Deutschland zeigen: die Cybersicherheitslage ist sehr angespannt. Trotz steigender Investitionen von Unternehmen in Cybersicherheit verdoppeln sich die Schadenszahlen laut Bitkom alle zwei Jahre. Auch große und gut organisierte Organisationen werden Opfer von Ransomware, Denial-of-Service-Angriffen und Cyberspionage. Für eine nachhaltige Verbesserung der Cybersicherheit braucht es deutliche Kraftanstrengungen, neue Ansätze und ambitionierte Ziele.

Eine Sammlung von Vorhaben, keine Strategie

Mit einiger Spannung wurde deshalb die Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat (BMI) erwartet, die am vergangenen Dienstag veröffentlicht und auf einer Pressekonferenz der Öffentlichkeit vorgestellt wurde.

Auf zehn Seiten nennt das Dokument die Ziele und Maßnahmen, die das BMI in der laufenden Legislaturperiode umsetzen möchte. Es ist also tatsächlich eine Agenda, keine Strategie. Die Fortschreibung der ressortübergreifenden Cybersicherheitsstrategie für Deutschland, die noch von der Vorgängerregierung verabschiedet worden war, wird laut Bundesministerin Nancy Faeser (SPD) erst für nächstes Jahr erwartet.

Die Agenda bringt erfreulich klar zum Ausdruck, dass Cybersicherheit für das BMI und für Deutschland insgesamt ein äußerst wichtiges Thema ist. Naturgemäß liegt der Fokus der Agenda auf Zielen und Maßnahmen, die direkt den Geschäftsbereich des BMI betreffen. Die Cyberfähigkeiten von BKA und BfV sollen ausgebaut werden. BSI und ZITiS sollen gestärkt werden. Das BSI soll unabhängiger und zur Zentralstelle für Cybersicherheit im Bund-Länder-Verhältnis werden, was beispielsweise bedeutet, dass das BSI künftig sehr viel direkter als heute die Länder bei der Cyberabwehr unterstützen soll. Es soll ein CISO (Chief Information Security Officer) für die Bundesebene und ein Kompetenzzentrum zur operativen Sicherheitsberatung des Bundes etabliert werden, wobei bei letzterem unklar bleibt, weshalb diese Funktion nicht vom BSI erbracht werden soll. Im Großen und Ganzen wirkt das aber alles sehr sinnvoll.

IT-Sicherheitsforschung, ziviles Cyberabwehrsystem: Viele positive Impulse

Die Wirtschaft kommt in der Agenda des BMI vergleichsweise knapp vor. Auch hier soll das BSI eine größere Rolle spielen und für Unternehmen, insbesondere KMUs, ein „BSI Information Sharing Portal (BISP)“ einrichten und dieses später zu einem „Zivilen Cyberabwehrsystem (ZCAS)“ ausbauen, das aktiv und automatisiert auf Angriffe reagieren soll. Details, was das konkret bedeuten soll, finden sich in der Agenda allerdings nicht. Die Prüfmöglichkeiten des BSI sollen hinsichtlich der Vertrauenswürdigkeit von Herstellern erweitert werden, was einen Paradigmenwechsel in der Definition von Vertrauen in Technologie und Produkte andeutet. Das BMI möchte auch in der Cybersicherheitsforschung aktiver werden und die Forschung zur Erhöhung der Resilienz bei existenziellen Bedrohungen stärken und die Beauftragung innovativer Forschungsvorhaben verstärken.

Die Agenda schneidet also sehr viele wichtige Themen an und setzt zahlreiche positive Impulse. Nach der Agenda muss nun ein Umsetzungsplan kommen, und dort müssen viele Details ergänzt und konkretisiert werden.

Verschlüsselung ist in der Agenda unterrepräsentiert

Einige wichtige Themen werden in der Agenda leider überhaupt nicht angesprochen, sind aber von zentraler Bedeutung für die Cybersicherheit. Offensichtliche Beispiele hierfür sind Infrastrukturen für sichere Identitäten und für Verschlüsselung.

In der Agenda kommt das Wort Verschlüsselung tatsächlich nur einmal vor, im Kontext des Ausbaus der Ermittlungsfähigkeiten des BKA und der Bundespolizei. Auch das ist ein wichtiges Thema, aber noch wichtiger ist es, Behörden, Unternehmen und Privatpersonen dabei zu unterstützen, ihre Daten durch Verschlüsselung umfassend und Ende-zu-Ende vor unerlaubten Zugriffen zu schützen.

Bei aktiver Cyberabwehr und Schwachstellenmanagement bleibt das BMI vage

Der Begriff „aktive Cyberabwehr“ kommt in der Agenda zwar überhaupt nicht vor, das Thema nahm in der Pressekonferenz aber einen großen Raum ein und spielt für das BMI offensichtlich eine wichtige Rolle. Tatsächlich finden sich in der Agenda viele Maßnahmen, die auf eine Stärkung der aktiven Cyberabwehrfähigkeiten abzielen. Mangels Details bleibt aber unklar, um welche aktiven Fähigkeiten es genau geht und von wem und zu welchem Zweck sie eingesetzt werden sollen. Angesichts der oft hitzigen Diskussion um aktive Cyberabwehr und Hackbacks wäre es hilfreich gewesen, dieses Thema klar und einigermaßen detailliert in einem eigenen Kapitel abzuhandeln.

Die Agenda fordert zurecht ein wirksames Schwachstellenmanagement, aber ohne zu sagen, was das Ziel dabei sein soll. Sollen Schwachstellen kontrolliert zurückgehalten werden, damit Strafverfolgungsbehörden leichter in die Server von Angreifern eindringen können, oder sollen sie stets möglichst rasch geschlossen werden? Die Forschung ist sich hier weitgehend einig: Das Offenhalten von Schwachstellen stellt ein hohes Sicherheitsrisiko dar, sie müssen so schnell wie möglich geschlossen werden.

Ziel sollte außerdem sein, die Agenda des BMI zu einer Agenda der Bundesregierung auszubauen. Cybersicherheit ist ein Querschnittsthema, für die Gesellschaft wie für die Regierung. Wirtschafts- und Verbraucherschutz und allgemeinere Digitalisierungsthemen kommen in der Agenda kaum vor, ebenso die internationale Abstimmung zu Cybersicherheitsfragen, etwa in der Strafverfolgung. Dies ist etwa dann notwendig, wenn international gemeinsam Botnetze abgeschaltet oder Opfergeräte bereinigt werden müssen.

Andere Länder sind bei Cybersicherheitsvorhaben konkreter

Wünschenswert wäre auch, in der Cybersicherheitsagenda oder spätestens im Umsetzungsplan sehr viel konkretere und ambitionierte Ziele zu setzen. Wie schon eingangs gesagt: Ein „weiter so“ wird nicht genügen. Ein gutes Beispiel, wie das funktionieren kann, geben die USA.

Die meisten Cybersicherheitsexperten sind sich einig, dass für eine deutliche Verbesserung der Cybersicherheit Unternehmen und Behörden auf eine sogenannte Zero-Trust-Architektur umsteigen müssen. Für viele Organisationen bedeutet das umfangreiche und teils sehr radikale Änderungen in ihrer IT und in ihren Prozessen. Schlägt man in Deutschland einen solchen Umstieg vor, stößt man deshalb auf viel Zögern und Zaudern.

Im Gegensatz dazu wurden in den USA im Januar 2022 alle Bundesbehörden dazu verpflichtet, bis Ende 2024 die Prinzipien einer Zero-Trust-Architektur umzusetzen. Auch aus dem BMI hört man mittlerweile Forderungen zur Realisierung einer Zero-Trust-Architektur für den Bund. Es wäre schön gewesen, diesen Umstieg – und andere ambitionierte technische Ziele – in die Agenda aufzunehmen. Aber es ist natürlich noch nicht zu spät, wir sind nun auf den Umsetzungsplan des BMI gespannt.

Haya Shulman ist Professorin für Informatik an der Goethe-Universität Frankfurt am Main, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie und Koordinatorin des Forschungsbereichs Analytics-based Cybersecurity im Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE. Michael Waidner ist Professor für Informatik an der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie und CEO des Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuvor von Haya Shulman im Background Cybersicherheit erschienen: Digitale Souveränität und der Fall Kaspersky