Eckpunkte für die Cyber-Sicherheitsstrategie 2021

Die Seite wird erstellt Hella Bürger
Gesellschaft
Deutsch
 
WEITER LESEN
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Eckpunkte für die
Cyber-Sicherheitsstrategie 2021
Inhalt
1      Einleitung ....................................................................................................................... 2

2      Handlungsfelder und Leitlinien der CSS 2021 ................................................................ 3

    2.1      Handlungsfelder der CSS 2021 ............................................................................... 3

    2.2      Leitlinie „Digitale Souveränität“ ................................................................................ 4

    2.3      Leitlinie „Sichere Gestaltung der Digitalisierung“ ..................................................... 4

    2.4      Leitlinie „Effektivität und Messbarkeit der CSS 2021“ .............................................. 5

3      Neue Ziele und Aspekte auf Ebene der Handlungsfelder ............................................... 6

    3.1      Handlungsfeld 1 – Sicheres und selbstbestimmtes Handeln in einer digitalisierten
    Umgebung ......................................................................................................................... 6

    3.2      Handlungsfeld 2 – Gemeinsamer Auftrag von Staat und Wirtschaft ........................ 8

    3.3      Handlungsfeld 3 – Leistungsfähige und nachhaltige gesamtstaatliche Cyber-
    Sicherheitsarchitektur ........................................................................................................ 9

    3.4      Handlungsfeld 4 – Aktive Positionierung Deutschlands in der europäischen und
    internationalen Cyber-Sicherheitspolitik ............................................................................12

4      Definition, Umsetzung und Controlling der Cyber-Sicherheitsstrategie ..........................15

    4.1      Strategische Ziele und Maßnahmen .......................................................................15

    4.2      Steuerung der CSS 2021 .......................................................................................16

1
1 Einleitung

Dieses Dokument erläutert die Eckpunkte, die für die Fortschreibung der Cyber-Sicherheits-
strategie (CSS) 2021 gelten sollen. Die Eckpunkte sollen als gemeinsame, von allen Ressorts
der Bundesregierung mitgetragene Grundlage für die Erstellung der CSS 2021 dienen.

Zu folgenden Aspekten werden Eckpunkte formuliert:
       zu den Handlungsfeldern, die die CSS 2021 strukturieren sollen,

       zu den inhaltlichen und operativen Leitlinien, die den strategischen Zielen der CSS
        2021 zugrunde gelegt werden sollen,

       zu neuen Aspekten und strategischen Zielen in den einzelnen Handlungsfeldern, die in
        die CSS 2021 aufgenommen werden sollen,

       zur Formulierung und Messung der strategischen Ziele sowie zur Überprüfung der Ziel-
        erreichung der CSS 2021.

Der erste Entwurf der Eckpunkte wurde auf Grundlage der Ergebnisse der Evaluations-
workshops zur CSS 2016 erstellt, an denen neben Vertretern der Ressorts auch Vertreter der
Wirtschaft, Wissenschaft und der Zivilgesellschaft beteiligt wurden. Die Eckpunkte wurden so-
dann in Zusammenarbeit mit Vertretern der Ressorts ergänzt und weiterentwickelt.

Die Eckpunkte werden unter Haushaltsvorbehalt (bzgl. Ausgabemitteln und Personal) gestellt.
Des Weiteren wird der Haushaltsvorbehalt in die fortgeschriebene Cyber-Sicherheitsstrategie
2021 übernommen.

2
2 Handlungsfelder und Leitlinien der CSS 2021

Wie bereits die CSS 2016 soll auch die CSS 2021 anhand verschiedener Handlungsfelder
gegliedert werden. Diese Handlungsfelder beschreiben strukturiert die aktuellen strategischen
Herausforderungen für die Gewährleistung von Cyber-Sicherheit in Deutschland und müssen
diese in ihrer Gesamtheit abdecken.

Daneben wurden mit „Digitale Souveränität“ und „Sichere Gestaltung der Digitalisierung“ über-
greifende neue inhaltliche Leitlinien identifiziert. Diese zentralen Querschnittsthemen lassen
sich nicht gezielt auf ein Handlungsfeld begrenzen. Dementsprechend sollen sie in allen Hand-
lungsfeldern durch strategische Ziele adressiert werden.

Zukünftig soll durch regelmäßige Evaluierungen die Nachhaltigkeit und die Effektivität der Stra-
tegie überprüft werden. Hierzu sollen die in der CSS 2021 formulierten Ziele nachvollziehbar
und überprüfbar sein. Dieser Anspruch findet sich in der operativen Leitlinie „Effektivität und
Messbarkeit der CSS 2021“ wieder.

2.1 Handlungsfelder der CSS 2021

 Die vier Handlungsfelder aus der CSS 2016 sollen bestehen bleiben:
    Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung
    Gemeinsamer Auftrag von Staat und Wirtschaft
    Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur
    Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Si-
     cherheitspolitik

 Da sie die zu bewältigenden Herausforderungen auch weiterhin umfassend abdecken, ist es
 nicht erforderlich, weitere Handlungsfelder aufzunehmen. Die sich hiervon ableitenden stra-
 tegischen Ziele werden jedoch aktualisiert und ergänzt.

3
2.2 Leitlinie „Digitale Souveränität“

Das Thema Digitale Souveränität hat seit 2016 deutlich an Relevanz und Aufmerksamkeit
gewonnen und soll deshalb im Rahmen der CSS 2021 als Leitlinie in allen Handlungsfeldern
adressiert werden.
Hierfür wird in der CSS 2021 die von IT-Rat und IT-Planungsrat abgestimmte Definition der
Digitalen Souveränität zugrunde gelegt: Digitale Souveränität wird definiert als „die Fähigkei-
ten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt
selbstständig, selbstbestimmt und sicher ausüben zu können“ (Entscheidung IT-PLR 32. Sit-
zung).

Schwerpunktbereiche zur Stärkung der Digitalen Souveränität im Kontext der CSS 2021 sind
u.a.:
    -    Anwendungsorientierte Forschung und Entwicklung sowie Forschungstransfer (Hand-
         lungsfeld 1),
    -    Cyber-Sicherheit als Qualitätsmerkmal „Made in Germany“ (Handlungsfeld 2),
    -    Staatliche Fähigkeiten zur Beurteilung von neuen Technologien, zur Beauftragung eu-
         ropäischer Anbieter sowie zur Eigensicherung der Verwaltung (Handlungsfeld 3),
    -    Gemeinsame Vision und Strategie der EU für Cyber-Sicherheit und europäische Digi-
         tale Souveränität (Handlungsfeld 4).

2.3 Leitlinie „Sichere Gestaltung der Digitalisierung“

Im Vergleich zu 2016 hat die digitale Transformation von Staat (z.B. E-Governmentgesetz,
Onlinezugangsgesetz, IT-Konsolidierung, Mobiles Arbeiten etc.), Wirtschaft (z.B. Sicherheits-
anforderungen an 5G-Netze) und Gesellschaft (z.B. eID, Homeschooling etc.) wesentlich an
Dynamik gewonnen. Deren sichere Ausgestaltung ist Voraussetzung dafür, dass Digitalisie-
rung souverän und zum Vorteil der Menschen in Deutschland gelingt. Daher soll das Thema
„Digitalisierung sicher gestalten“ in der CSS 2021 als weitere Leitlinie in allen Handlungsfel-
dern durch entsprechende strategische Ziele adressiert werden.

4
2.4 Leitlinie „Effektivität und Messbarkeit der CSS 2021“

Um den Erfolg der CSS 2021 bewerten zu können, müssen ihre Ziele messbar formuliert sein
und die Zielerreichung durch Indikatoren überprüft werden können.

Zur Überprüfung der Gesamtzielerreichung der CSS 2021 soll ein strategisches Controlling
durch ein koordinierendes Ressort (BMI) erfolgen.

Die Umsetzung der einzelnen Maßnahmen zur Zielerreichung der CSS 2021 soll dezentral
im Rahmen des Ressortprinzips erfolgen. Zur Steuerung und Überwachung der Umsetzung
der Maßnahmen werden durch die Strategie keine Vorgaben gemacht.

Um das Controlling möglichst effizient zu gestalten, sollen geeignete und bereits bestehende
Erhebungen, Prüfungen und Kennzahlen zum Stand der Cyber-Sicherheit in Bund und Län-
dern in die Indikatoren der CSS 2021 einfließen und gegebenenfalls ergänzt und vereinheit-
licht werden.

Betroffene Akteure außerhalb des Staates (z.B. Hersteller, Dienstleister, Hochschulen) sollen
in den Überprüfungsprozess einbezogen werden. Hierfür sollen Kommunikationsprozesse für
diese Akteure implementiert werden.

5
3 Neue Ziele und Aspekte auf Ebene der Handlungsfelder

3.1 Handlungsfeld 1 – Sicheres und selbstbestimmtes Handeln in einer
      digitalisierten Umgebung

Bürgerinnen und Bürger müssen in der Lage sein, die Chancen und Risiken beim Einsatz
digitaler Technologien erfassen und bewerten zu können. Ihr sicheres und selbstbestimmtes
Handeln in einer digitalisierten Umgebung ist ein wesentlicher Eckpfeiler für die Cyber-Sicher-
heit in Deutschland. Im Fokus dieses Handlungsfelds stehen deshalb Bürgerinnen und Bürger
als Teil von Gesellschaft, Wirtschaft und Staat.

Im Folgenden werden diejenigen Ziele und Aspekte aufgeführt, die das Handlungsfeld 1 ge-
genüber der CSS 2016 aktualisieren und ergänzen.

 Die CSS 2021 soll der zunehmenden Unsicherheit von KMU, Bildungs- und Sozialeinrichtun-
 gen, Verbänden, Vereinen, Verbraucherinnen und Verbrauchern im Umgang mit immer kom-
 plexer werdenden Technologien, Dienstleistungen und Geschäftsmodellen aktiv begegnen,
 indem Informations- und Unterstützungsangebote zu allen Fragen der Informations- und Cy-
 ber-Sicherheit spezifischer für verschiedene Zielgruppen ausgestaltet und weiter ausgebaut
 werden.

 Gleichzeitig sollen die staatlichen Angebote des digitalen Verbraucherschutzes ausgebaut
 werden, um das Vertrauen der Bürgerinnen und Bürger in die staatliche Unterstützung bei der
 Nutzung neuer Technologien zu stärken.

 Die CSS 2021 soll das Ziel adressieren, dass digitale Produkte und digitale Dienstleistungen,
 die im EU-Binnenmarkt angeboten werden, die Aspekte der Cyber- und Informationssicher-
 heit als Qualitätsmerkmale beinhalten.

 Sichere „elektronische Identitäten" (eIDs) sind als elementarer Grundstein der Cyber-Sicher-
 heit Voraussetzung für das hoheitliche Handeln des Staates im digitalen Zeitalter. Die Festle-
 gung von Anforderungen an eID-Verfahren, sowie deren Absicherung sollten daher durch den
 Staat erfolgen.

 In der CSS 2016 wurde das Ziel der Einführung eines nationalen IT-Sicherheitskennzeichens
 formuliert. In der CSS 2021 soll dieses durch das Engagement für die Einführung eines euro-
 paweit gültigen Kennzeichens mit verbindlichem Charakter ergänzt werden und muss sich in

6
die rechtlichen Entwicklungen auf Basis der Cyber-Sicherheitszertifizierung und des New Le-
gislative Framework einbetten lassen.

Die Ziele der deutschen Krypto-Strategie sollen weiterhin konsequent verfolgt werden, um
den umfassenden Schutz der Bürgerinnen und Bürgern sowie unserer Wirtschaft und Institu-
tionen (Gruppen und Gemeinschaften, z.B. Vereine und Organisationen) vor Cyber-Gefahren
zu gewährleisten.

Die Anwenderfreundlichkeit sicherheitstechnischer Lösungen leistet einen wesentlichen Bei-
trag zur adressatengerechten Nutzung und zur Akzeptanz durch die Nutzer. Die CSS 2021
soll daher die Steigerung der Anwenderfreundlichkeit sicherheitstechnischer Lösungen zum
Ziel haben.

KI-Systeme sollen ein von ihrem jeweiligen Einsatzzweck abhängiges, möglichst hohes IT-
Sicherheitsniveau erreichen. Gleichzeitig soll der Einsatz dieser Systeme zur Gewährleistung
eines hohen IT-Sicherheitsniveaus vorangetrieben werden (IT-Sicherheit für KI und IT-Sicher-
heit durch KI).

Der Einsatz quantentechnologischer Systeme zur Gewährleistung eines hohen IT-Sicher-
heitsniveaus soll vorangetrieben werden.

Die Sicherheit und Beherrschbarkeit der Telekommunikationsnetze – insb. der 5G-, zukünfti-
gen 6G- und weltraumbasierten Infrastruktur als Rückgrat der Digitalisierung der Gesellschaft
- sollen über einen ganzheitlichen Ansatz fortlaufend evaluiert und an die neuen Gefährdun-
gen angepasst werden. Dazu soll im Rahmen der CSS 2021 neben den notwendigen regula-
torischen Maßnahmen auch eine Förderung von deutschen und europäischen Netzinfrastruk-
tur- und Cloudanbietern sowie die Analyse und Erforschung neuer Cyber-Sicherheitsrisiken
in diesen Netzen erfolgen, um ein souveränes Handeln sichern zu können. Im Bereich 6G soll
früh und intensiv auf ein hohes Sicherheitsniveau hingearbeitet werden.

Um die vorgenannten Ziele zu erreichen, soll in der CSS 2021 das bereits in der CSS 2016
benannte Ziel „Wissenschaft und Forschung im IT-Sicherheitsbereich vorantreiben“ um As-
pekte der Ausbildung und des Wissenstransfers ergänzt und hinsichtlich der zu behandelnden
Themen und einzubeziehenden Akteure geschärft werden. Im Sinne eines „Netzwerke-schüt-
zen-Netzwerke“-Ansatzes sollen die Vernetzung von wirtschaftlichen, wissenschaftlichen und
zivilgesellschaftlichen Akteuren untereinander gefördert, der Wissenstransfer in die Wirtschaft
gesichert und das Aus- und Fortbildungs- sowie Beteiligungsangebot erweitert werden.

7
Der Cyber-Raum bietet vielfältige Ansatzpunkte für illegitime Einflussnahme. Die Cyber- und
 Informationssicherheit soll deshalb in der CSS 2021 verstärkt im Lichte der Bekämpfung von
 hybriden Bedrohungen und Desinformation betrachtet werden.

 Cyber-Sicherheit soll als neues Qualitätsmerkmal "Made in Germany" in der Digitalisierung
 etabliert werden.

 Insbesondere soll die Sicherheit von Schlüssel- und Zukunftstechnologien i. S. e. "Security
 by Design"-Ansatzes von vornherein mitgedacht und gestärkt werden.

3.2 Handlungsfeld 2 – Gemeinsamer Auftrag von Staat und Wirtschaft

Ein enger Austausch zwischen Staat und Wirtschaft ist unabdingbar, um Cyber-Sicherheit in
Deutschland dauerhaft auf einem hohen Niveau gewährleisten zu können. Im Fokus dieses
Handlungsfeldes steht daher die Zusammenarbeit zwischen Staat und Wirtschaft. In der CSS
2021 sollen der vertrauensvolle Austausch, das zeitnahe Schließen von Sicherheitslücken und
die Abwehr von Cyber-Angriffen als unverzichtbare Bausteine des gemeinsamen Auftrags von
Staat und Wirtschaft zur Erhöhung der Cyber-Sicherheit Deutschlands adressiert werden.

Im Folgenden werden diejenigen Ziele und Aspekte aufgeführt, die das Handlungsfeld 2 ge-
genüber der CSS 2016 aktualisieren und ergänzen.

 Die CSS 2021 soll darauf abzielen, die Interaktion der Unternehmen mit den zuständigen
 Stellen in den Teilbereichen Prävention, Detektion und Reaktion der Cyber-Sicherheit weiter
 zu verstärken – auch, damit Unternehmen mehr zur Detektion und Aufklärung von Cyber-
 Sicherheitsbedrohungen beitragen können. Hierbei soll Cyber-Sicherheit integraler Bestand-
 teil des Wirtschaftsschutzes sein.

 Durch Förderung offener Basistechnologien, insbesondere offener und sicherer Standards für
 Hard- und Software, soll langfristig eine stärkere Technologiebasis für die Wertschöpfungs-
 kette etabliert werden.

 Mit der Implementierung neuer Prüf- und Abnahmeverfahren soll den beschleunigten Innova-
 tionszyklen der IT-Wirtschaft (Time-to-Market) Rechnung getragen werden, ohne Qualität der
 Verfahren einzubüßen. Dadurch soll die Akzeptanz für die Berücksichtigung von Sicherheits-
 eigenschaften erhöht werden.

8
Das Informationsangebot zur Unterstützung von Unternehmen soll weiter bedarfsgerecht aus-
 gebaut werden. Dies schließt KMU zukünftig verstärkt ein.

 Zum Schutz Kritischer Infrastrukturen sollen bestehende Anforderungen weiter ausgestaltet
 und die Umsetzung bei den KRITIS-Betreibern verstärkt unterstützt werden. Bestehende Min-
 destanforderungen an KRITIS-Betreiber müssen aufgrund der sich verändernden Bedro-
 hungslage stetig überprüft und bei Bedarf angepasst werden. Der sich somit verändernde
 Stand der Technik muss durch die Betreiber erfüllt werden.

 Gesetzliche Anforderungen inkl. Marktzugangsregelungen sowie Normen und Standards für
 Unternehmen im Bereich der Cyber-Sicherheit sollen EU-weit einheitlich definiert werden, um
 Doppelregulierungen zu vermeiden.

 Die internationale Zusammenarbeit, aber auch Gremienarbeit im Bereich der Standardisie-
 rung soll gestärkt werden.

 Die internationale Wettbewerbsfähigkeit der nationalen und europäischen Standardisierungs-
 und Zertifizierungsstellen soll erhöht werden, damit nationale und europäische Standardisie-
 rungs- und Zertifizierungsverfahren international führend bleiben.

3.3 Handlungsfeld 3 – Leistungsfähige und nachhaltige gesamtstaatli-
      che Cyber-Sicherheitsarchitektur

Der Staat muss Sicherheit, Recht und Freiheit in unserem Land auch im Cyber-Raum ge-
währleisten. Hierzu bedarf es einer zeitgemäßen Cyber-Sicherheitsarchitektur, die die ver-
schiedenen Akteure auf Bundesebene wirksam verzahnt und daneben Länder, Kommunen
und Wirtschaft im Blick behält.

Im Folgenden werden diejenigen Ziele und Aspekte aufgeführt, die das Handlungsfeld 3 ge-
genüber der CSS 2016 aktualisieren und ergänzen.

 Die Cyber-Sicherheitsarchitektur des Bundes wird strukturell und prozessual einer Bewertung
 durch die Bundesregierung unterzogen. Hierbei werden auch Schnittstellen zu Akteuren au-
 ßerhalb der Bundesverwaltung berücksichtigt, um die gesamtstaatliche Handlungsfähigkeit
 zu stärken.

9
Zur Stärkung des insb. ressortübergreifenden Informationsaustauschs zu Cyber-Angriffen,
Cyber-Bedrohungen und Cyber-Gefahren werden die Grundlagen für den behördenübergrei-
fenden Austausch von Informationen angepasst, der Austausch intensiviert und soweit sinn-
voll weitere Partner in die Arbeit des Cyber-AZ integriert. Durch den intensivierten Austausch
und dadurch verbesserte bedarfsgerechte Analysen soll die strategische Berichterstattung
des Cyber-AZ erweitert und verbessert werden, um insbesondere zu Cyber-Angriffen in und
Cyber-Gefahren für Deutschland stets einen ganzheitlichen Überblick zu gewährleisten. In
diesem Zuge sind auch die behördenübergreifende interdisziplinäre Fallbearbeitung und die
Koordinierung von Maßnahmen im Rahmen des geltenden Rechts weiter auszubauen.

Um die effektive Zusammenarbeit zwischen Bund und Ländern weiter zu vertiefen, wird an-
gestrebt, das BSI in seinem bestehenden Aufgabenbereich zu einer Zentralstelle im Bund-
Länder-Verhältnis auszubauen und somit – neben dem BKA im Polizeiwesen und dem BfV
im Verfassungsschutzverbund – zur dritten Säule einer föderal integrierten Cyber-Sicherheits-
architektur weiterzuentwickeln.

Der verbindliche Austausch von Informationen innerhalb der Cyber-Sicherheitsarchitektur,
insbesondere zwischen Bund und Ländern, sollte weiter intensiviert und ergänzt werden. Wo
dies erforderlich und rechtlich möglich ist, sollten hierfür gesetzliche Grundlagen geschaffen
werden (z.B. für eine Verbunddatenbank für Indicators of Compromise beim BSI). Der Bund
wird zudem sein Angebot an Kompetenzen und Werkzeugen zur Bekämpfung von Cyber-
Kriminalität an die Länder weiter ausbauen und die Zentralstellenfunktion des BKA in diesem
Bereich stärken.

Es soll eine ausgewogene, behördenübergreifende Strategie zum Umgang mit Schwachstel-
len nach den jeweils geltenden gesetzlichen Vorgaben bei den Strafverfolgungs- und Sicher-
heitsbehörden, geschaffen werden. Damit sollen auch in Zukunft über bereits vorhandene
interne Behördenvorgaben hinaus die Interessen der Cyber- und Informationssicherheit sowie
der Strafverfolgungs- und Sicherheitsbehörden in einen angemessenen Ausgleich gebracht
werden.

Die Sicherheitsbehörden des Bundes müssen ihre gesetzlichen Aufgaben zum Schutz der
Bevölkerung und zur Verfolgung von Straftaten in der digitalen Welt genauso wie in der ana-
logen Welt wahrnehmen können. Hierzu benötigen sie ausreichende Kompetenzen und Be-
fugnisse.

10
Die zentrale Forschung und Entwicklung eigener Werkzeuge und Methoden wird bei der Zent-
ralen Stelle für die Informationstechnik im Sicherheitsbereich (ZITiS) im Rahmen des gelten-
den Rechts weiter ausgebaut. Gleichzeitig werden auch die weiteren Behörden anderer Res-
sorts ihre Vorhaben bei der Forschung und Entwicklung im Rahmen des jeweils geltenden
Rechts weiter intensivieren.
Soweit kommerzielle Produkte zur Erfüllung des gesetzlichen Auftrages bei Polizeien, Nach-
richtendiensten und im Geschäftsbereich des BMVg zum Einsatz kommen, sollen diese zur
Erhöhung der Einsatzsicherheit möglichst umfassend geprüft werden.

Um die Verwundbarkeit des zunehmend digitalisierten Wahlumfelds und der Wahlinfrastruktur
zu reduzieren, soll die Cyber-Sicherheit im Umfeld von Wahlen erhöht werden.

Es soll ein stetiger gesamtstaatlicher „Risk Assessment“-Prozess aufgebaut werden, mit dem
Cyber-Gefahren identifiziert und bewertet werden können, um situationsangepasst Maßnah-
men zu Vorsorge und Abwehr treffen zu können. Dabei soll weiterhin die Untersuchung und
Generierung von Prozessen für den Übergang von Cyber-Abwehr zu Cyber-Verteidigung bei
komplexen Cyber-Lagen erfolgen.

Die Entwicklung und Einführung zukunftsweisender Technologien (z.B. Open-RAN) ist von
hoher strategischer Bedeutung für die Wahrung der Digitalen Souveränität in Deutschland
und der EU. Um das zu ermöglichen, sollen entsprechende offene Standards und interope-
rable Schnittstellen aktiv von staatlicher Seite gefördert und mit geeigneten Regulierungsan-
sätzen begleitet werden.

Um die institutionalisierte Zusammenarbeit zwischen dem BSI und den Ländern zeitnah zu
stärken, wird der Abschluss von Kooperationsvereinbarungen angestrebt, die die Felder In-
formationsaustausch, Sensibilisierung und Fortbildung, Beratung sowie das Zurverfügung-
stellen von technischer Expertise und Systemen durch das BSI umfassen sollen.

Um die technisch-operative Cyber-Sicherheit auf nationaler Ebene auch in der Detektion zu-
kunftsfähig auszugestalten, sollten sich das Bundes Security Operations Center (BSOC) im
BSI und die SOCs von Ländern und Wirtschaft in einem SOC-Verbund organisieren.

Die Digitale Souveränität soll langfristig in den Projekten zur konsolidierten IT des Bundes
und zur konsolidierten Netzinfrastruktur des Bundes für eine sichere und zukunftsfähige Be-
arbeitung und Kommunikation besonders schutzbedürftiger Informationen berücksichtigt wer-
den.

11
Die Nationalen Kompetenzzentren der IT-Sicherheitsforschung – ATHENE, CISPA und KAS-
 TEL – werden als international anerkannte Forschungseinrichtungen weiterentwickelt und de-
 ren weitere Vernetzung mit relevanten nationalen und internationalen Akteuren gefördert.

 Um die Möglichkeiten zur Gefahrenabwehr bei Cyber-Angriffen zu verbessern, ist die Schaf-
 fung einer erweiterten Gesetzgebungs- und Verwaltungskompetenz des Bundes zur Abwehr
 von Gefahren zu prüfen, die von besonders schweren/bedeutenden Cyber-Angriffen ausge-
 hen. Regelungen zu entsprechenden Aufgaben und Befugnissen der (Sicherheits-) Behörden
 des Bundes sind in Betracht zu ziehen.

 Die bereits in der CSS 2016 festgehaltene Rolle des Nationalen Cyber-Sicherheitsrats
 (NCSR) als höchstrangig besetztes Gremium in der deutschen Cyber-Sicherheitsarchitektur
 gilt es zu konkretisieren. Hierzu zählt insbesondere die Stärkung seiner Impulsgeberrolle, für
 die es geeignete Maßnahmen zu entwickeln gilt.

 Es werden Vorschläge erarbeitet, wie der NCSR seine Bündelungsfunktion als Multi-Stake-
 holder Gremium weiterentwickeln und bestmöglich nutzen kann, um die vielfältigen, auf die
 Stärkung der Cyber-Sicherheit in Deutschland gerichteten Akteure und Aktivitäten zu unter-
 stützen. Diese beinhalten auch Möglichkeiten zur Herstellung von mehr Verbindlichkeit im
 NCSR.

3.4 Handlungsfeld 4 – Aktive Positionierung Deutschlands in der euro-
      päischen und internationalen Cyber-Sicherheitspolitik

Ein hohes Niveau der Cyber-Sicherheit ist angesichts der transnationalen Vernetzung in einer
digitalisierten Welt nur durch Einbettung der nationalen Maßnahmen in die entsprechenden
europäischen, regionalen und internationalen Prozesse erreichbar. Während diese Einbettung
in allen Handlungsfeldern mitbedacht werden muss, adressiert Handlungsfeld 4 diejenigen
Ziele, für die sich Deutschland aktiv in die europäische und internationale Cyber-Sicherheits-
politik einbringen wird.

Im Folgenden werden diejenigen Ziele und Aspekte aufgeführt, die das Handlungsfeld 4 ge-
genüber der CSS 2016 aktualisieren und ergänzen.

12
Die CSS 2021 soll inhaltliche Vorgaben europäischer Regelwerke zur Cyber-Sicherheit, wie
insbesondere der NIS-Richtlinie, umsetzen und – soweit zeitlich bereits möglich und sachge-
recht –Vorgaben aus dem Entwurf der NIS 2-Richtlinie berücksichtigen. Die CSS 2021 soll
ein Verzeichnis enthalten, welches die Erfüllung europäischer Vorgaben für nationale Cyber-
Sicherheitsstrategien nachvollziehbar macht. Auch die Cyber-Sicherheitsstrategie der EU für
die digitale Dekade (EU-Cyber-Sicherheitsstrategie) ist zu berücksichtigen. Soweit die CSS
2021 Ziele der EU-Cyber-Sicherheitsstrategie aufgreift, soll dies an geeigneter Stelle in der
CSS 2021 kenntlich gemacht werden. In allen Handlungsfeldern der CSS 2021 sollen die
europäischen Ziele in diesem Kontext auf nationale Ziele heruntergebrochen werden.

Gleichzeitig soll sich die CSS 2021 auch in allen Handlungsfeldern daran ausrichten, natio-
nale Standards und Best-Practice-Ansätze der Cyber-Sicherheit im Sinne einer wirksamen
europäischen und internationalen Cyber-Sicherheitspolitik aktiv in europäische Vorhaben,
EU-Regulierungen und NATO-Standardisierung einfließen zu lassen.

Deutschland soll sich bei der Entwicklung einer gemeinsamen Vision und Strategie der EU
für Cyber-Sicherheit und europäische Digitale Souveränität einbringen und diese aktiv mit
fortentwickeln. Hierzu zählen insbesondere die in der EU-Cyber-Sicherheitsstrategie identifi-
zierten drei Handlungsbereiche (1) Resilienz, technologische Souveränität und Führungs-
rolle, (2) Aufbau operativer Kapazitäten zur Prävention, Abschreckung und Reaktion und (3)
Förderung eines globalen, offenen Cyber-Raums.

Deutschland sollte mit den anderen Mitgliedstaaten darauf hinwirken, dass sich die EU aktiv
in der internationalen Cyber-Sicherheitspolitik positioniert. Basis ist die EU Cyber-Sicherheits-
strategie und eine gemeinsame Vision, sowie die Weiterentwicklung des Cyber-außenpoliti-
schen Instrumentariums der EU.

Der völkerrechtliche und normative Rahmen für den Cyber-Raum soll gestärkt, sowie auf ein
international gemeinsames Verständnis über die Anwendung von Völkerrecht im Cyber-Raum
und über verantwortliches Staatenverhalten hingewirkt werden. Es sollten Maßnahmen zur
Wahrung internationaler Stabilität im Cyber-Raum und zum Schutz von Menschenrechten
gefördert werden. Deutschland sollte sich für ein freies, offenes, globales und sicheres Inter-
net einsetzen.

Der Reaktionsrahmen auf internationale Normenverletzung soll sowohl national als auch in
der EU und in internationalen Institutionen weiterentwickelt werden.

13
Maßnahmen zur internationalen Vertrauensbildung sollen gestärkt werden, um Eskalations-
gefahren zu begegnen und Kooperation zu ermöglichen.

Die europäische und internationale operative Zusammenarbeit (wie etwa im Rahmen der Eu-
ropean Governmental CERT Group) sollte als wichtiger Baustein einer wirksamen Cyber-Ab-
wehr strategisch ausgebaut werden.

Die effektive Bekämpfung internationaler Cyber-Kriminalität soll gestärkt und Möglichkeiten
der grenzüberschreitenden Strafverfolgung sollen verbessert werden.

Die Zusammenarbeit zwischen Forschungs- und Entwicklungsbereichen europäischer Si-
cherheitsbehörden soll gestärkt werden.

Die bilaterale und regionale Zusammenarbeit zum Aufbau von Cyber-Kapazitäten soll weiter-
entwickelt werden, um das Potential der Digitalisierung nutzbar zu machen und Vulnerabilitä-
ten zu senken. Die CSS 2021 soll hierzu nach Möglichkeit konkrete Beispiele benennen.

Die Cyber-Verteidigungspolitik der NATO als Eckpfeiler der nationalen und euro-atlantischen
Sicherheit soll angesichts eines sich verändernden Sicherheitsumfelds weiterentwickelt wer-
den. Handlungsfelder hierbei sind vor allem die Steigerung der Cyber-Resilienz der Alliierten
durch Umsetzung des Cyber Defense Pledge, der Schutz von NATO-Netzen sowie die Wei-
terentwicklung des Cyber-Raums als Domäne der Operationsführung im Rahmen des defen-
siven Mandats der NATO und im Einklang mit dem Völkerrecht.

Auf Stärkung der EU-NATO-Zusammenarbeit in den Bereichen Cyber-Verteidigung und Resi-
lienz gegenüber Cyber-Bedrohungen soll hingewirkt werden.

14
4 Definition, Umsetzung und Controlling der Cyber-Sicher-
     heitsstrategie

Im Rahmen des Strategieprozesses zur CSS 2021 sollen grundlegende Strukturen für Umset-
zung und Erfolgsmessung der Strategie definiert werden (vgl. Leitlinie „Effektivität und Mess-
barkeit der CSS 2021“). Diese Strukturen werden im Folgenden dargestellt.

4.1 Strategische Ziele und Maßnahmen

 Die CSS 2021 unterscheidet zwischen strategischen Zielen und operativen Maßnahmen.
 Beide sollen in der aktuellen Fortschreibung erarbeitet werden.

 Strategische Ziele werden jeweils einem Handlungsfeld zugeordnet und adressieren die
 zentralen Herausforderungen des Handlungsfeldes. Die strategischen Ziele sollen SMART
 (spezifisch, messbar, aktiv beeinflussbar, realistisch und terminiert) definiert sein. Insbeson-
 dere muss die Zielerreichung anhand definierter Indikatoren gemessen werden können.

 Maßnahmen beschreiben Aktivitäten, mit denen die strategischen Ziele erreicht werden sol-
 len. Sie müssen in ihrer Gesamtheit geeignet sein, das jeweilige strategische Ziel in der
 Laufzeit der CSS 2021 vollständig zu erreichen.

 Das Strategiedokument definiert die strategischen Ziele, die in der Laufzeit der Strategie
 hinsichtlich der Cyber-Sicherheit in Deutschland erreicht werden sollen.

 Das Strategiedokument definiert keine konkreten Maßnahmen zur Umsetzung dieser Ziele,
 da die Entwicklung und Umsetzung individuell in der Hand der zuständigen Ressorts liegen.
 Die Maßnahmen werden nach abgeschlossener Erhebung in Form eines fortzuschreiben-
 den Anhangs der Strategie beigefügt. Den Maßnahmen werden die verantwortlichen Res-
 sorts zugeordnet.

 Die Ressorts sind zuständig für
     -   die konkrete Umsetzung der strategischen Ziele in ihrem Zuständigkeitsbereich,
     -   die Festlegung von Indikatoren zur Messung der Zielerreichung für diese Ziele, hier-
         bei ist jedoch die Kompatibilität mit dem strategischen Controlling zu gewährleisten
         (s.u.),
     -   die Definition von Maßnahmen (Projekte oder fortlaufende Maßnahmen) zur Umset-
         zung der strategischen Ziele der CSS 2021 in ihrer Zuständigkeit.

15
Die Maßnahmenplanung kann in der Laufzeit der Strategie durch die Ressorts angepasst
werden, bspw. um geänderten Rahmenbedingungen Rechnung zu tragen.

4.2 Steuerung der CSS 2021

Im Rahmen der CSS 2021 wird zwischen zwei Steuerungsebenen unterschieden:
     -   Strategisches Controlling:
         Es wird ein strategisches Controlling etabliert. Das BMI übernimmt die Koordinie-
         rungsfunktion und bindet die betroffenen Ressorts ein.
     -   Operative Umsetzung: Die Maßnahmenumsetzung und die Überprüfung des Errei-
         chens der Einzelziele erfolgen eigenständig in der Verantwortung der zuständigen
         Stellen (Ressorts bzw. Geschäftsbereichsbehörden).

Berichtswesen: Die zuständigen Ressorts übermitteln dem BMI eine Zusammenfassung
des aktuellen Standes der erreichten Ziele anhand der definierten Indikatoren bis März ei-
nes Jahres. Das BMI konsolidiert die Einzelberichte der Ressorts in einem Gesamtbericht
über den Umsetzungsstand der CSS 2021.

Strategisches Controlling: Das BMI bewertet mit den betroffenen Ressorts auf Basis des
Gesamtberichtes den Umsetzungsstand der CSS 2021 und prüft, ob sich aus möglichen Än-
derungen der Bedrohungslage ein Anpassungsbedarf für die CSS ergibt. Zusätzlich erfolgen
in Abhängigkeit der laufenden Legislaturperiode anlassbezogene Evaluierungen (sowohl
während als auch am Ende der Laufzeit der Strategie).

Operative Umsetzung: Die zuständigen Ressorts verantworten die Umsetzung und Nach-
verfolgung unterhalb der strategischen Zielebene. Dies kann z.B. im Rahmen der bestehen-
den Fachaufsicht oder anderer, bereits bestehender Zielsetzungs- und Monitoring-Prozesse
erfolgen. Im Ergebnis sollen die für das strategische Controlling notwendigen Informationen
bereitgestellt werden.

16
Sie können auch lesen
LEITAKTION 1 AKKREDITIERUNG IN - Jugendbuero
LEITAKTION 1 AKKREDITIERUNG IN - Jugendbuero
Kindergarten mit Elternbildung - www.elternbildung-tirol.at - Österreichischer Kinderschutzbund Tirol
Kindergarten mit Elternbildung - www.elternbildung-tirol.at - Österreichischer Kinderschutzbund Tirol
Technische Richtlinien des BSI Konformitätsprüfung und Zertifizierung
Technische Richtlinien des BSI Konformitätsprüfung und Zertifizierung
Grundlagen der Netzsicherheit - Zertifikatsprogramm - Z301 Einführung Sicherheit von Rechnernetzen Zugriffsmanagement Klassische Netzwerke Moderne ...
Grundlagen der Netzsicherheit - Zertifikatsprogramm - Z301 Einführung Sicherheit von Rechnernetzen Zugriffsmanagement Klassische Netzwerke Moderne ...
NBU-Themenpräsentationen in Betrieben - bfu
NBU-Themenpräsentationen in Betrieben - bfu
Informationsbrief zur zivilen Sicherheitsforschung
Informationsbrief zur zivilen Sicherheitsforschung
NBU-Themenpräsentationen in Betrieben - BFU
NBU-Themenpräsentationen in Betrieben - BFU
Einfach neue Fenster Wir machen Ihnen die Entscheidung leicht.
Einfach neue Fenster Wir machen Ihnen die Entscheidung leicht.
Geschlechtsspezifische Pensionslücke in Österreich
Geschlechtsspezifische Pensionslücke in Österreich
DISKURS KALEIDOSKOP AUFBAU EINER NEUEN INNOVATIONS- UND WAGNISKULTUR - Forschungsgipfel
DISKURS KALEIDOSKOP AUFBAU EINER NEUEN INNOVATIONS- UND WAGNISKULTUR - Forschungsgipfel
Medienkonferenz Überparteiliches Komitee - "Ja zum Freihandelsabkommen mit Indonesien" - Indonesien JA
Medienkonferenz Überparteiliches Komitee - "Ja zum Freihandelsabkommen mit Indonesien" - Indonesien JA
In Hannover 05. & 06. Januar 2019 - D-Jugend-Handball auf höchstem Niveau! Das Original - zum 11. Mal in Folge! - HSV Hannover
In Hannover 05. & 06. Januar 2019 - D-Jugend-Handball auf höchstem Niveau! Das Original - zum 11. Mal in Folge! - HSV Hannover
Einfach montieren Aufgebaute Photovoltaik - Rooftop Photovoltaic Systems - Megasol ...
Einfach montieren Aufgebaute Photovoltaik - Rooftop Photovoltaic Systems - Megasol ...
GLV-INFO 2021 - 50 JAHRE GLV Home Office nach Corona österr. EKSt - Grenzgänger Landesverband OÖ
GLV-INFO 2021 - 50 JAHRE GLV Home Office nach Corona österr. EKSt - Grenzgänger Landesverband OÖ
Skript* zur 4. Folge Superwahljahr 2021: Wie entscheiden sich die Deutschen? - Goethe-Institut
Skript* zur 4. Folge Superwahljahr 2021: Wie entscheiden sich die Deutschen? - Goethe-Institut
2019 PARTNERSCHAFTLICHES ARBEITSPROGRAMM - VOM VERWALTUNGSRAT IN SEINER SITZUNG VOM 24. JANUAR 2019 VERABSCHIEDET - ADEUS
2019 PARTNERSCHAFTLICHES ARBEITSPROGRAMM - VOM VERWALTUNGSRAT IN SEINER SITZUNG VOM 24. JANUAR 2019 VERABSCHIEDET - ADEUS
Die anstehende Umsetzung der Trade Secrets Directive - GRUR
Die anstehende Umsetzung der Trade Secrets Directive - GRUR
Das multifaktorielle Modell zur Früherkennung und Frühintervention F+F - Bericht und Glossar - überarbeitete Version 2021 - Infodrog
Das multifaktorielle Modell zur Früherkennung und Frühintervention F+F - Bericht und Glossar - überarbeitete Version 2021 - Infodrog
STELLUNGNAHME DES "RATS FÜR MIGRATION" (RFM) ZUR GEPLANTEN ASYLRECHTS-REFORM DER BUNDESREGIERUNG
STELLUNGNAHME DES "RATS FÜR MIGRATION" (RFM) ZUR GEPLANTEN ASYLRECHTS-REFORM DER BUNDESREGIERUNG
Antwort der Bundesregierung - Deutscher Bundestag
Antwort der Bundesregierung - Deutscher Bundestag
DIREKTZAHLUNGEN MERKBLATT (mit Ausfüllanleitung) - AMA
DIREKTZAHLUNGEN MERKBLATT (mit Ausfüllanleitung) - AMA
Mitteilung - zur Kenntnisnahme-Drucksache 18/2587 26.03.2020 - Abgeordnetenhaus von Berlin
Mitteilung - zur Kenntnisnahme-Drucksache 18/2587 26.03.2020 - Abgeordnetenhaus von Berlin
Für eine Gesellschaft, in der alle Menschen am Fortschritt teilhaben - SEND e.V.
Für eine Gesellschaft, in der alle Menschen am Fortschritt teilhaben - SEND e.V.
Neue Prüfvereinbarung zur Wirtschaftlichkeitsprüfung - ab dem 1. April 2019 - KVBB
Neue Prüfvereinbarung zur Wirtschaftlichkeitsprüfung - ab dem 1. April 2019 - KVBB
NUTZERRECHTE SIND EIN MUST-HAVE - Verbraucherzentrale ...
NUTZERRECHTE SIND EIN MUST-HAVE - Verbraucherzentrale ...
In Hannover 05. & 06. Januar 2019 - D-Jugend-Handball auf höchstem Niveau! Bereits zum 11. Mal das Original - HSV Hannover
In Hannover 05. & 06. Januar 2019 - D-Jugend-Handball auf höchstem Niveau! Bereits zum 11. Mal das Original - HSV Hannover
Antwort der Bundesregierung - Deutscher Bundestag
Antwort der Bundesregierung - Deutscher Bundestag
2020 ITI Fortbildungs-programm - Deutschland - Straumann
2020 ITI Fortbildungs-programm - Deutschland - Straumann
Studie zu den Wünschen der Deutschen an das Auto von morgen
Studie zu den Wünschen der Deutschen an das Auto von morgen
Social health @work 2021 Erste Berichtserweiterung - Barmer
Social health @work 2021 Erste Berichtserweiterung - Barmer
Kai Berendes, Johannes Kumpf & Marc Delarue - Strategische Personalplanung und HR Analytics - CubeServ
Kai Berendes, Johannes Kumpf & Marc Delarue - Strategische Personalplanung und HR Analytics - CubeServ
Antwort der Bundesregierung - Deutscher Bundestag
Antwort der Bundesregierung - Deutscher Bundestag
Real I.S. Grundvermögen - Das Deutschland Immobilienportfolio für Privatanleger
Real I.S. Grundvermögen - Das Deutschland Immobilienportfolio für Privatanleger
Schule digital - der Länderindikator 2021 - Deutsche Telekom ...
Schule digital - der Länderindikator 2021 - Deutsche Telekom ...
Pleisweiler Gespräch am 15. Juli 2018 - Der Kampf um die Energiewende Vortrag von Rechtsanwalt Dr. Peter Becker, Kreuzbergweg 11, 34253 Lohfelden ...
Pleisweiler Gespräch am 15. Juli 2018 - Der Kampf um die Energiewende Vortrag von Rechtsanwalt Dr. Peter Becker, Kreuzbergweg 11, 34253 Lohfelden ...
Willkommen im Urlaub Seniorenreisen 2021 - CDG Homecare und Reisen
Willkommen im Urlaub Seniorenreisen 2021 - CDG Homecare und Reisen
Infobrief 1/2019 Berliner Landesprogramm "Kitas bewegen - für die gute gesunde Kita" (LggK) - für die gute gesunde Kita
Infobrief 1/2019 Berliner Landesprogramm "Kitas bewegen - für die gute gesunde Kita" (LggK) - für die gute gesunde Kita
ALLGEMEINE WARTUNGSBEDINGUNGEN - Xantaro Deutschland GmbH
ALLGEMEINE WARTUNGSBEDINGUNGEN - Xantaro Deutschland GmbH
Europawahl 2014: Spitzenkandidaten, Protestparteien und Nichtwähler
Europawahl 2014: Spitzenkandidaten, Protestparteien und Nichtwähler
Quantum Valley Lower Saxony - Strategie Mai 2021 - QVLS | Quantum Valley Lower ...
Quantum Valley Lower Saxony - Strategie Mai 2021 - QVLS | Quantum Valley Lower ...
PUNKT - Überbrückungshilfe III und Neustarthilfe: Jetzt noch bis zum 31.08.2021 Hilfen sichern! - VRT
PUNKT - Überbrückungshilfe III und Neustarthilfe: Jetzt noch bis zum 31.08.2021 Hilfen sichern! - VRT
Be dS hospitality collection 2021/22 - de Sede
Be dS hospitality collection 2021/22 - de Sede
Für eine Handvoll Euro und Daten - Deutschland kapituliert vor dem Schweizer Bankgeheimnis
Für eine Handvoll Euro und Daten - Deutschland kapituliert vor dem Schweizer Bankgeheimnis
Vortrag "Seerosen" Mannheim, Luisenpark 30.11.2018
Vortrag "Seerosen" Mannheim, Luisenpark 30.11.2018
Besteuerung natürlicher Personen im französischen Steuerrecht - Patrick GLEBOCKI (Avocat - CMS Bureau Francis Lefebvre, Straßburg) Mike HOFFMANN ...
Besteuerung natürlicher Personen im französischen Steuerrecht - Patrick GLEBOCKI (Avocat - CMS Bureau Francis Lefebvre, Straßburg) Mike HOFFMANN ...
Green Bond Reporting 2020 - Deutsche Hypo
Green Bond Reporting 2020 - Deutsche Hypo
Schienennetz-Benutzungsbedingungen der Albtal-Verkehrs-Gesellschaft mbH - Allgemeiner Teil (SNB-AT)
Schienennetz-Benutzungsbedingungen der Albtal-Verkehrs-Gesellschaft mbH - Allgemeiner Teil (SNB-AT)
Regelwerk League of Legends - A1 eSports League Austria
Regelwerk League of Legends - A1 eSports League Austria
Innovation - Verband der Chemischen Industrie
Innovation - Verband der Chemischen Industrie
Schulkongress 2018 in Rostock - Prof. Dr. Rudolf Kammerl, Friedrich-Alexander-Universität Erlangen-Nürnberg
Schulkongress 2018 in Rostock - Prof. Dr. Rudolf Kammerl, Friedrich-Alexander-Universität Erlangen-Nürnberg
Wir verwenden Cookies. Bitte beachten Sie die Datenschutzbestimmungen.