Vor einem Jahr fand der Digital-Gipfel in Jena statt und der Aufschrei in der Cybersecurity-Community war groß: Das Thema Cybersecurity war komplett unsichtbar geblieben, nachdem bei der Neustrukturierung de facto jedes Ministerium nur noch einen Themenkomplex bespielen sollte. Das Bundesinnenministerium hatte – nachvollziehbarerweise – die Verwaltungsdigitalisierung am höchsten priorisiert und so blieb Cybersecurity unbeachtet.
Der Aufschrei hat gewirkt, in diesem Jahr waren zumindest zwei Foren wieder explizit zum Thema Security dabei. Gemeinsamer Nenner war, dass beide Slots sich um die konkrete Ausprägung und inhaltliche Ausgestaltung des von der BSI-Präsidentin Claudia Plattner lancierten Begriffs „Cybernation“ drehten.
Zum einen eine Diskussion, wie Staat und Wirtschaft gemeinsam ein besseres Lagebild („Cyberwetterbericht“) erstellen können, ein Thema, das ja auch gerade durch die Diskussionen um die Meldepflichten zu NIS-2 und den daraus von der Wirtschaft eingeforderten „Rückkanal“ als Mehrwert en vogue ist. Und zum anderen ein Forum, das sich dem Aspekt Bildung und Awareness mit dem Slogan „Keine Cybernation ohne Cyberbürger“ widmete. Dieses durfte ich mitgestalten und moderieren und dort so renommierte Expertinnen und Experten wie Claudia Plattner, Bettina Uhlich, Vorsitzende des IT-Anwenderverbandes VOICE (und Ex-CIO von Evonik) und Professor Christoph Meinel, dem ehemaligen Präsidenten des Hasso-Plattner-Instituts, begrüßen.
Wie aus Menschen „Cyberbürger“ werden
Grundsätzlich besteht bei solchen originär technischen Themen wie Cybersecurity immer die Gefahr, dass wir alle zu technisch denken. Der Mensch taucht dann gerne in genau zwei Kontexten auf: „Der DAU vor der Tastatur“ und „Die fehlende Fachkraft“. Und so, wie Cato am Ende jeder Rede ergänzte „Und im Übrigen bin ich der Meinung, dass Carthago zerstört werden muss“, fehlt zwar in Vorträgen selten auch pflichtschuldige Ergänzung „Und im Übrigen ist der Mensch wichtig.“ Und dann, Pflichtübung erfüllt, geht es zurück zur Technik.
Ich bin der festen Überzeugung, dass wir, um Erfolg zu haben, das Thema „Wie nehmen wir die Menschen mit?“ in den Mittelpunkt stellen müssen. So wie Deutschland zuallererst einmal 83 Millionen Bürger sind, so müssen wir uns fragen, wie wir aus 83 Millionen Bewohnern 83 Millionen „Cyberbürger“ machen. Dass dieses Thema offensichtlich einen Nerv getroffen hat, zeigte schon der überfüllte Raum, aber auch die aktive Teilnahme – die Hörerinnen und Hörer standen sprichwörtlich Schlange, um Fragen oder Anregungen mitteilen zu können.
Und wieder einmal zeigte sich: Wir haben keine Erkenntnisprobleme und wir haben fast alles schon einmal gemacht – jedoch fehlt uns ein Überblick, ein Ansatz zur Koordination und Multiplikation und ein strategisches Gesamtkonzept. Wer ab und an hier meine Kolumne in den vergangenen Jahren gelesen hat, weiß, wie sehr ich unter dem leide, was uns in Deutschland in den vergangenen Jahren (und egal von welcher Partei geführt) von Ministerien als „Strategie“ angeboten wurde.
Mir fehlt sowohl eine übergeordnete Idee, Mission oder Vision, als auch die ganzheitliche Perspektive, als auch die wirklich konsistente Übersetzung der strategischen Ziele in konkrete Maßnahmen. Für die erfolgreiche Kommunikation aus meiner Sicht zwingend erforderlich: ein plakativer, erfassbarer Begriff, der als eine Art „Banner“ fungiert, hinter dem sich alle versammeln können. Überspitzt gesagt, sehne ich mich nach einem „Project Moonshot“, so wie John Kennedy 1962 den Weg der USA zum Mond skizzierte.
Ein deutsches Erfolgsmodell, dem wir nicht folgen
Seien wir ehrlich: Nichts weniger als einen solchen „Moonshot“ brauchen wir, um uns im gesamten Thema Digitalisierung zeitnah in eine Position zu bringen, die uns erlaubt, unseren Status als eine führende Industrienation zu behalten. Neidisch habe ich nach Israel geschaut, wo das Cybersecurity über- und ineinandergreifend gedacht wurde. Mit dem Ergebnis, dass Israel trotz der dramatischen politischen Lage vergleichsweise wenige massive Cybervorfälle zu verzeichnen hat und gleichzeitig eine der leistungsstärksten Ökosysteme für Cybersecurity-Produkthersteller geschaffen hat.
Aber auch ein Blick in Europa zeigt Vorbilder, so ist etwa Italien in Bezug auf Kompetenzbildung auf einem sehr guten Weg. Daher war es erfreulich, dass Paolo Atzeni, Director Skill and Competence Development des AZN, der Nationalen Cybersecuritybehörde Italiens, an dem Meeting teilnehmen und eigene Erfahrungen teilen konnte. Wobei – wie so oft – der spannendste Punkt sogar weniger der Blick von uns nach Italien, sondern der Blick von ihnen auf uns, das vorgehaltene Spiegelbild, war.
So erscheinen wir dort nämlich gerade im Bereich Berufsbildung eigentlich als Vorbild. Die klassische deutsche Berufsausbildung, bei der wir so stolz sind, dass wir die besten Facharbeiter ausgebildet haben und dies selbst als einen Schlüssel für den Erfolg der deutschen Wirtschaft sehen. Aber eben nur „eigentlich“: Respekt für Herr Atzeni, dass ihm nicht komplett das Gesicht entgleiste, als ihm erklärt wurde, dass wir genau im Bereich Cybersecurity diesem eigenen Erfolgsmodell nicht folgen, ohne dass auch nur irgendjemand eine Erklärung dafür hat, warum dies nicht schon lange der Fall ist.
Die angehende Cybernation hat so fest die Cybersecurity zu einem rein akademischen Thema erklärt, dass wir den gesamten „Maschinenraum“ vergessen haben. Überspitzt formuliert: Wir bilden stetig Leute aus, die quantenkryptograpische Verfahren entwickeln können, haben aber leider vergessen, auch die auszubilden, die sie dann in der Praxis einführen.
Für 2025 steht eine Bestandsaufnahme auf der Agenda
Zur nationaler Gesichtswahrung sprang Christine Skropke von Eurobits ein und konnte die frohe Botschaft verkünden, dass in Nordrhein-Westfalen als Vorreiter nun endlich ein Ausbildungsberuf „Fachinformatiker Cybersecurity“, auch mit IHK-Unterstützung, entwickelt wird. Wir bleiben uns treu: Wir starten jetzt, damit wir in vermutlich drei Jahren die ersten Interessenten wirklich auszubilden beginnen. In der Ruhe liegt die Kraft.
Immerhin: Ein Anfang ist gemacht. Und dies galt für so viele Themen und Perspektiven. Bereits im Vorfeld, aber auch während der Veranstaltung, kamen so viele gute Beispiele und Ansätze zum Vorschein, dass es vermutlich kaum noch Lücken gibt, die es komplett zu füllen gibt.
Das BSI hat eine Seite eingerichtet, auf der man sich zur Mitarbeit und zum Melden von eigenen Angeboten zur Integration ins Gesamtbild anmelden kann. Plattner betonte, dass es nicht die Aufgabe des BSI sein kann, das Thema Bildung allein zu stemmen. Sie versprach aber, dass das BSI sich einer Rolle als Koordinationsstelle auf keinen Fall verweigern wird.
So endete das Forum mit einem klaren Auftrag: Bis zum nächsten Digitalgipfel, der aufgrund der anstehenden Bundestagswahl schon im April 2025 stattfinden wird, eine Bestandsaufnahme dessen zu machen, was es schon gibt. Damit wir wissen, was wir wissen. Und parallel (endlich) auch eine wirkliche Strategie zu skizzieren. Damit wir auch wissen, was wir wissen und erreichen müssen.
Timo Kob ist Professor für Cybersecurity an der FH Campus Wien. Er leitet den Bundesarbeitskreis Cybersecurity im Wirtschaftsrat der CDU, ist Mitglied des Hauptvorstandes des Bitkom und Gründer und Vorstand der Unternehmensberatung Hisolutions.
In unserer Kolumnenreihe „Perspektiven“ kommentieren unsere Autor:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit.