Eckpunkte für die Cyber-Sicherheitsstrategie 2021
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Eckpunkte für die Cyber-Sicherheitsstrategie 2021
Inhalt 1 Einleitung ....................................................................................................................... 2 2 Handlungsfelder und Leitlinien der CSS 2021 ................................................................ 3 2.1 Handlungsfelder der CSS 2021 ............................................................................... 3 2.2 Leitlinie „Digitale Souveränität“ ................................................................................ 4 2.3 Leitlinie „Sichere Gestaltung der Digitalisierung“ ..................................................... 4 2.4 Leitlinie „Effektivität und Messbarkeit der CSS 2021“ .............................................. 5 3 Neue Ziele und Aspekte auf Ebene der Handlungsfelder ............................................... 6 3.1 Handlungsfeld 1 – Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung ......................................................................................................................... 6 3.2 Handlungsfeld 2 – Gemeinsamer Auftrag von Staat und Wirtschaft ........................ 8 3.3 Handlungsfeld 3 – Leistungsfähige und nachhaltige gesamtstaatliche Cyber- Sicherheitsarchitektur ........................................................................................................ 9 3.4 Handlungsfeld 4 – Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik ............................................................................12 4 Definition, Umsetzung und Controlling der Cyber-Sicherheitsstrategie ..........................15 4.1 Strategische Ziele und Maßnahmen .......................................................................15 4.2 Steuerung der CSS 2021 .......................................................................................16 1
1 Einleitung Dieses Dokument erläutert die Eckpunkte, die für die Fortschreibung der Cyber-Sicherheits- strategie (CSS) 2021 gelten sollen. Die Eckpunkte sollen als gemeinsame, von allen Ressorts der Bundesregierung mitgetragene Grundlage für die Erstellung der CSS 2021 dienen. Zu folgenden Aspekten werden Eckpunkte formuliert: zu den Handlungsfeldern, die die CSS 2021 strukturieren sollen, zu den inhaltlichen und operativen Leitlinien, die den strategischen Zielen der CSS 2021 zugrunde gelegt werden sollen, zu neuen Aspekten und strategischen Zielen in den einzelnen Handlungsfeldern, die in die CSS 2021 aufgenommen werden sollen, zur Formulierung und Messung der strategischen Ziele sowie zur Überprüfung der Ziel- erreichung der CSS 2021. Der erste Entwurf der Eckpunkte wurde auf Grundlage der Ergebnisse der Evaluations- workshops zur CSS 2016 erstellt, an denen neben Vertretern der Ressorts auch Vertreter der Wirtschaft, Wissenschaft und der Zivilgesellschaft beteiligt wurden. Die Eckpunkte wurden so- dann in Zusammenarbeit mit Vertretern der Ressorts ergänzt und weiterentwickelt. Die Eckpunkte werden unter Haushaltsvorbehalt (bzgl. Ausgabemitteln und Personal) gestellt. Des Weiteren wird der Haushaltsvorbehalt in die fortgeschriebene Cyber-Sicherheitsstrategie 2021 übernommen. 2
2 Handlungsfelder und Leitlinien der CSS 2021 Wie bereits die CSS 2016 soll auch die CSS 2021 anhand verschiedener Handlungsfelder gegliedert werden. Diese Handlungsfelder beschreiben strukturiert die aktuellen strategischen Herausforderungen für die Gewährleistung von Cyber-Sicherheit in Deutschland und müssen diese in ihrer Gesamtheit abdecken. Daneben wurden mit „Digitale Souveränität“ und „Sichere Gestaltung der Digitalisierung“ über- greifende neue inhaltliche Leitlinien identifiziert. Diese zentralen Querschnittsthemen lassen sich nicht gezielt auf ein Handlungsfeld begrenzen. Dementsprechend sollen sie in allen Hand- lungsfeldern durch strategische Ziele adressiert werden. Zukünftig soll durch regelmäßige Evaluierungen die Nachhaltigkeit und die Effektivität der Stra- tegie überprüft werden. Hierzu sollen die in der CSS 2021 formulierten Ziele nachvollziehbar und überprüfbar sein. Dieser Anspruch findet sich in der operativen Leitlinie „Effektivität und Messbarkeit der CSS 2021“ wieder. 2.1 Handlungsfelder der CSS 2021 Die vier Handlungsfelder aus der CSS 2016 sollen bestehen bleiben: Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung Gemeinsamer Auftrag von Staat und Wirtschaft Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Si- cherheitspolitik Da sie die zu bewältigenden Herausforderungen auch weiterhin umfassend abdecken, ist es nicht erforderlich, weitere Handlungsfelder aufzunehmen. Die sich hiervon ableitenden stra- tegischen Ziele werden jedoch aktualisiert und ergänzt. 3
2.2 Leitlinie „Digitale Souveränität“ Das Thema Digitale Souveränität hat seit 2016 deutlich an Relevanz und Aufmerksamkeit gewonnen und soll deshalb im Rahmen der CSS 2021 als Leitlinie in allen Handlungsfeldern adressiert werden. Hierfür wird in der CSS 2021 die von IT-Rat und IT-Planungsrat abgestimmte Definition der Digitalen Souveränität zugrunde gelegt: Digitale Souveränität wird definiert als „die Fähigkei- ten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“ (Entscheidung IT-PLR 32. Sit- zung). Schwerpunktbereiche zur Stärkung der Digitalen Souveränität im Kontext der CSS 2021 sind u.a.: - Anwendungsorientierte Forschung und Entwicklung sowie Forschungstransfer (Hand- lungsfeld 1), - Cyber-Sicherheit als Qualitätsmerkmal „Made in Germany“ (Handlungsfeld 2), - Staatliche Fähigkeiten zur Beurteilung von neuen Technologien, zur Beauftragung eu- ropäischer Anbieter sowie zur Eigensicherung der Verwaltung (Handlungsfeld 3), - Gemeinsame Vision und Strategie der EU für Cyber-Sicherheit und europäische Digi- tale Souveränität (Handlungsfeld 4). 2.3 Leitlinie „Sichere Gestaltung der Digitalisierung“ Im Vergleich zu 2016 hat die digitale Transformation von Staat (z.B. E-Governmentgesetz, Onlinezugangsgesetz, IT-Konsolidierung, Mobiles Arbeiten etc.), Wirtschaft (z.B. Sicherheits- anforderungen an 5G-Netze) und Gesellschaft (z.B. eID, Homeschooling etc.) wesentlich an Dynamik gewonnen. Deren sichere Ausgestaltung ist Voraussetzung dafür, dass Digitalisie- rung souverän und zum Vorteil der Menschen in Deutschland gelingt. Daher soll das Thema „Digitalisierung sicher gestalten“ in der CSS 2021 als weitere Leitlinie in allen Handlungsfel- dern durch entsprechende strategische Ziele adressiert werden. 4
2.4 Leitlinie „Effektivität und Messbarkeit der CSS 2021“ Um den Erfolg der CSS 2021 bewerten zu können, müssen ihre Ziele messbar formuliert sein und die Zielerreichung durch Indikatoren überprüft werden können. Zur Überprüfung der Gesamtzielerreichung der CSS 2021 soll ein strategisches Controlling durch ein koordinierendes Ressort (BMI) erfolgen. Die Umsetzung der einzelnen Maßnahmen zur Zielerreichung der CSS 2021 soll dezentral im Rahmen des Ressortprinzips erfolgen. Zur Steuerung und Überwachung der Umsetzung der Maßnahmen werden durch die Strategie keine Vorgaben gemacht. Um das Controlling möglichst effizient zu gestalten, sollen geeignete und bereits bestehende Erhebungen, Prüfungen und Kennzahlen zum Stand der Cyber-Sicherheit in Bund und Län- dern in die Indikatoren der CSS 2021 einfließen und gegebenenfalls ergänzt und vereinheit- licht werden. Betroffene Akteure außerhalb des Staates (z.B. Hersteller, Dienstleister, Hochschulen) sollen in den Überprüfungsprozess einbezogen werden. Hierfür sollen Kommunikationsprozesse für diese Akteure implementiert werden. 5
3 Neue Ziele und Aspekte auf Ebene der Handlungsfelder 3.1 Handlungsfeld 1 – Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung Bürgerinnen und Bürger müssen in der Lage sein, die Chancen und Risiken beim Einsatz digitaler Technologien erfassen und bewerten zu können. Ihr sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung ist ein wesentlicher Eckpfeiler für die Cyber-Sicher- heit in Deutschland. Im Fokus dieses Handlungsfelds stehen deshalb Bürgerinnen und Bürger als Teil von Gesellschaft, Wirtschaft und Staat. Im Folgenden werden diejenigen Ziele und Aspekte aufgeführt, die das Handlungsfeld 1 ge- genüber der CSS 2016 aktualisieren und ergänzen. Die CSS 2021 soll der zunehmenden Unsicherheit von KMU, Bildungs- und Sozialeinrichtun- gen, Verbänden, Vereinen, Verbraucherinnen und Verbrauchern im Umgang mit immer kom- plexer werdenden Technologien, Dienstleistungen und Geschäftsmodellen aktiv begegnen, indem Informations- und Unterstützungsangebote zu allen Fragen der Informations- und Cy- ber-Sicherheit spezifischer für verschiedene Zielgruppen ausgestaltet und weiter ausgebaut werden. Gleichzeitig sollen die staatlichen Angebote des digitalen Verbraucherschutzes ausgebaut werden, um das Vertrauen der Bürgerinnen und Bürger in die staatliche Unterstützung bei der Nutzung neuer Technologien zu stärken. Die CSS 2021 soll das Ziel adressieren, dass digitale Produkte und digitale Dienstleistungen, die im EU-Binnenmarkt angeboten werden, die Aspekte der Cyber- und Informationssicher- heit als Qualitätsmerkmale beinhalten. Sichere „elektronische Identitäten" (eIDs) sind als elementarer Grundstein der Cyber-Sicher- heit Voraussetzung für das hoheitliche Handeln des Staates im digitalen Zeitalter. Die Festle- gung von Anforderungen an eID-Verfahren, sowie deren Absicherung sollten daher durch den Staat erfolgen. In der CSS 2016 wurde das Ziel der Einführung eines nationalen IT-Sicherheitskennzeichens formuliert. In der CSS 2021 soll dieses durch das Engagement für die Einführung eines euro- paweit gültigen Kennzeichens mit verbindlichem Charakter ergänzt werden und muss sich in 6
die rechtlichen Entwicklungen auf Basis der Cyber-Sicherheitszertifizierung und des New Le- gislative Framework einbetten lassen. Die Ziele der deutschen Krypto-Strategie sollen weiterhin konsequent verfolgt werden, um den umfassenden Schutz der Bürgerinnen und Bürgern sowie unserer Wirtschaft und Institu- tionen (Gruppen und Gemeinschaften, z.B. Vereine und Organisationen) vor Cyber-Gefahren zu gewährleisten. Die Anwenderfreundlichkeit sicherheitstechnischer Lösungen leistet einen wesentlichen Bei- trag zur adressatengerechten Nutzung und zur Akzeptanz durch die Nutzer. Die CSS 2021 soll daher die Steigerung der Anwenderfreundlichkeit sicherheitstechnischer Lösungen zum Ziel haben. KI-Systeme sollen ein von ihrem jeweiligen Einsatzzweck abhängiges, möglichst hohes IT- Sicherheitsniveau erreichen. Gleichzeitig soll der Einsatz dieser Systeme zur Gewährleistung eines hohen IT-Sicherheitsniveaus vorangetrieben werden (IT-Sicherheit für KI und IT-Sicher- heit durch KI). Der Einsatz quantentechnologischer Systeme zur Gewährleistung eines hohen IT-Sicher- heitsniveaus soll vorangetrieben werden. Die Sicherheit und Beherrschbarkeit der Telekommunikationsnetze – insb. der 5G-, zukünfti- gen 6G- und weltraumbasierten Infrastruktur als Rückgrat der Digitalisierung der Gesellschaft - sollen über einen ganzheitlichen Ansatz fortlaufend evaluiert und an die neuen Gefährdun- gen angepasst werden. Dazu soll im Rahmen der CSS 2021 neben den notwendigen regula- torischen Maßnahmen auch eine Förderung von deutschen und europäischen Netzinfrastruk- tur- und Cloudanbietern sowie die Analyse und Erforschung neuer Cyber-Sicherheitsrisiken in diesen Netzen erfolgen, um ein souveränes Handeln sichern zu können. Im Bereich 6G soll früh und intensiv auf ein hohes Sicherheitsniveau hingearbeitet werden. Um die vorgenannten Ziele zu erreichen, soll in der CSS 2021 das bereits in der CSS 2016 benannte Ziel „Wissenschaft und Forschung im IT-Sicherheitsbereich vorantreiben“ um As- pekte der Ausbildung und des Wissenstransfers ergänzt und hinsichtlich der zu behandelnden Themen und einzubeziehenden Akteure geschärft werden. Im Sinne eines „Netzwerke-schüt- zen-Netzwerke“-Ansatzes sollen die Vernetzung von wirtschaftlichen, wissenschaftlichen und zivilgesellschaftlichen Akteuren untereinander gefördert, der Wissenstransfer in die Wirtschaft gesichert und das Aus- und Fortbildungs- sowie Beteiligungsangebot erweitert werden. 7
Der Cyber-Raum bietet vielfältige Ansatzpunkte für illegitime Einflussnahme. Die Cyber- und Informationssicherheit soll deshalb in der CSS 2021 verstärkt im Lichte der Bekämpfung von hybriden Bedrohungen und Desinformation betrachtet werden. Cyber-Sicherheit soll als neues Qualitätsmerkmal "Made in Germany" in der Digitalisierung etabliert werden. Insbesondere soll die Sicherheit von Schlüssel- und Zukunftstechnologien i. S. e. "Security by Design"-Ansatzes von vornherein mitgedacht und gestärkt werden. 3.2 Handlungsfeld 2 – Gemeinsamer Auftrag von Staat und Wirtschaft Ein enger Austausch zwischen Staat und Wirtschaft ist unabdingbar, um Cyber-Sicherheit in Deutschland dauerhaft auf einem hohen Niveau gewährleisten zu können. Im Fokus dieses Handlungsfeldes steht daher die Zusammenarbeit zwischen Staat und Wirtschaft. In der CSS 2021 sollen der vertrauensvolle Austausch, das zeitnahe Schließen von Sicherheitslücken und die Abwehr von Cyber-Angriffen als unverzichtbare Bausteine des gemeinsamen Auftrags von Staat und Wirtschaft zur Erhöhung der Cyber-Sicherheit Deutschlands adressiert werden. Im Folgenden werden diejenigen Ziele und Aspekte aufgeführt, die das Handlungsfeld 2 ge- genüber der CSS 2016 aktualisieren und ergänzen. Die CSS 2021 soll darauf abzielen, die Interaktion der Unternehmen mit den zuständigen Stellen in den Teilbereichen Prävention, Detektion und Reaktion der Cyber-Sicherheit weiter zu verstärken – auch, damit Unternehmen mehr zur Detektion und Aufklärung von Cyber- Sicherheitsbedrohungen beitragen können. Hierbei soll Cyber-Sicherheit integraler Bestand- teil des Wirtschaftsschutzes sein. Durch Förderung offener Basistechnologien, insbesondere offener und sicherer Standards für Hard- und Software, soll langfristig eine stärkere Technologiebasis für die Wertschöpfungs- kette etabliert werden. Mit der Implementierung neuer Prüf- und Abnahmeverfahren soll den beschleunigten Innova- tionszyklen der IT-Wirtschaft (Time-to-Market) Rechnung getragen werden, ohne Qualität der Verfahren einzubüßen. Dadurch soll die Akzeptanz für die Berücksichtigung von Sicherheits- eigenschaften erhöht werden. 8
Das Informationsangebot zur Unterstützung von Unternehmen soll weiter bedarfsgerecht aus- gebaut werden. Dies schließt KMU zukünftig verstärkt ein. Zum Schutz Kritischer Infrastrukturen sollen bestehende Anforderungen weiter ausgestaltet und die Umsetzung bei den KRITIS-Betreibern verstärkt unterstützt werden. Bestehende Min- destanforderungen an KRITIS-Betreiber müssen aufgrund der sich verändernden Bedro- hungslage stetig überprüft und bei Bedarf angepasst werden. Der sich somit verändernde Stand der Technik muss durch die Betreiber erfüllt werden. Gesetzliche Anforderungen inkl. Marktzugangsregelungen sowie Normen und Standards für Unternehmen im Bereich der Cyber-Sicherheit sollen EU-weit einheitlich definiert werden, um Doppelregulierungen zu vermeiden. Die internationale Zusammenarbeit, aber auch Gremienarbeit im Bereich der Standardisie- rung soll gestärkt werden. Die internationale Wettbewerbsfähigkeit der nationalen und europäischen Standardisierungs- und Zertifizierungsstellen soll erhöht werden, damit nationale und europäische Standardisie- rungs- und Zertifizierungsverfahren international führend bleiben. 3.3 Handlungsfeld 3 – Leistungsfähige und nachhaltige gesamtstaatli- che Cyber-Sicherheitsarchitektur Der Staat muss Sicherheit, Recht und Freiheit in unserem Land auch im Cyber-Raum ge- währleisten. Hierzu bedarf es einer zeitgemäßen Cyber-Sicherheitsarchitektur, die die ver- schiedenen Akteure auf Bundesebene wirksam verzahnt und daneben Länder, Kommunen und Wirtschaft im Blick behält. Im Folgenden werden diejenigen Ziele und Aspekte aufgeführt, die das Handlungsfeld 3 ge- genüber der CSS 2016 aktualisieren und ergänzen. Die Cyber-Sicherheitsarchitektur des Bundes wird strukturell und prozessual einer Bewertung durch die Bundesregierung unterzogen. Hierbei werden auch Schnittstellen zu Akteuren au- ßerhalb der Bundesverwaltung berücksichtigt, um die gesamtstaatliche Handlungsfähigkeit zu stärken. 9
Zur Stärkung des insb. ressortübergreifenden Informationsaustauschs zu Cyber-Angriffen, Cyber-Bedrohungen und Cyber-Gefahren werden die Grundlagen für den behördenübergrei- fenden Austausch von Informationen angepasst, der Austausch intensiviert und soweit sinn- voll weitere Partner in die Arbeit des Cyber-AZ integriert. Durch den intensivierten Austausch und dadurch verbesserte bedarfsgerechte Analysen soll die strategische Berichterstattung des Cyber-AZ erweitert und verbessert werden, um insbesondere zu Cyber-Angriffen in und Cyber-Gefahren für Deutschland stets einen ganzheitlichen Überblick zu gewährleisten. In diesem Zuge sind auch die behördenübergreifende interdisziplinäre Fallbearbeitung und die Koordinierung von Maßnahmen im Rahmen des geltenden Rechts weiter auszubauen. Um die effektive Zusammenarbeit zwischen Bund und Ländern weiter zu vertiefen, wird an- gestrebt, das BSI in seinem bestehenden Aufgabenbereich zu einer Zentralstelle im Bund- Länder-Verhältnis auszubauen und somit – neben dem BKA im Polizeiwesen und dem BfV im Verfassungsschutzverbund – zur dritten Säule einer föderal integrierten Cyber-Sicherheits- architektur weiterzuentwickeln. Der verbindliche Austausch von Informationen innerhalb der Cyber-Sicherheitsarchitektur, insbesondere zwischen Bund und Ländern, sollte weiter intensiviert und ergänzt werden. Wo dies erforderlich und rechtlich möglich ist, sollten hierfür gesetzliche Grundlagen geschaffen werden (z.B. für eine Verbunddatenbank für Indicators of Compromise beim BSI). Der Bund wird zudem sein Angebot an Kompetenzen und Werkzeugen zur Bekämpfung von Cyber- Kriminalität an die Länder weiter ausbauen und die Zentralstellenfunktion des BKA in diesem Bereich stärken. Es soll eine ausgewogene, behördenübergreifende Strategie zum Umgang mit Schwachstel- len nach den jeweils geltenden gesetzlichen Vorgaben bei den Strafverfolgungs- und Sicher- heitsbehörden, geschaffen werden. Damit sollen auch in Zukunft über bereits vorhandene interne Behördenvorgaben hinaus die Interessen der Cyber- und Informationssicherheit sowie der Strafverfolgungs- und Sicherheitsbehörden in einen angemessenen Ausgleich gebracht werden. Die Sicherheitsbehörden des Bundes müssen ihre gesetzlichen Aufgaben zum Schutz der Bevölkerung und zur Verfolgung von Straftaten in der digitalen Welt genauso wie in der ana- logen Welt wahrnehmen können. Hierzu benötigen sie ausreichende Kompetenzen und Be- fugnisse. 10
Die zentrale Forschung und Entwicklung eigener Werkzeuge und Methoden wird bei der Zent- ralen Stelle für die Informationstechnik im Sicherheitsbereich (ZITiS) im Rahmen des gelten- den Rechts weiter ausgebaut. Gleichzeitig werden auch die weiteren Behörden anderer Res- sorts ihre Vorhaben bei der Forschung und Entwicklung im Rahmen des jeweils geltenden Rechts weiter intensivieren. Soweit kommerzielle Produkte zur Erfüllung des gesetzlichen Auftrages bei Polizeien, Nach- richtendiensten und im Geschäftsbereich des BMVg zum Einsatz kommen, sollen diese zur Erhöhung der Einsatzsicherheit möglichst umfassend geprüft werden. Um die Verwundbarkeit des zunehmend digitalisierten Wahlumfelds und der Wahlinfrastruktur zu reduzieren, soll die Cyber-Sicherheit im Umfeld von Wahlen erhöht werden. Es soll ein stetiger gesamtstaatlicher „Risk Assessment“-Prozess aufgebaut werden, mit dem Cyber-Gefahren identifiziert und bewertet werden können, um situationsangepasst Maßnah- men zu Vorsorge und Abwehr treffen zu können. Dabei soll weiterhin die Untersuchung und Generierung von Prozessen für den Übergang von Cyber-Abwehr zu Cyber-Verteidigung bei komplexen Cyber-Lagen erfolgen. Die Entwicklung und Einführung zukunftsweisender Technologien (z.B. Open-RAN) ist von hoher strategischer Bedeutung für die Wahrung der Digitalen Souveränität in Deutschland und der EU. Um das zu ermöglichen, sollen entsprechende offene Standards und interope- rable Schnittstellen aktiv von staatlicher Seite gefördert und mit geeigneten Regulierungsan- sätzen begleitet werden. Um die institutionalisierte Zusammenarbeit zwischen dem BSI und den Ländern zeitnah zu stärken, wird der Abschluss von Kooperationsvereinbarungen angestrebt, die die Felder In- formationsaustausch, Sensibilisierung und Fortbildung, Beratung sowie das Zurverfügung- stellen von technischer Expertise und Systemen durch das BSI umfassen sollen. Um die technisch-operative Cyber-Sicherheit auf nationaler Ebene auch in der Detektion zu- kunftsfähig auszugestalten, sollten sich das Bundes Security Operations Center (BSOC) im BSI und die SOCs von Ländern und Wirtschaft in einem SOC-Verbund organisieren. Die Digitale Souveränität soll langfristig in den Projekten zur konsolidierten IT des Bundes und zur konsolidierten Netzinfrastruktur des Bundes für eine sichere und zukunftsfähige Be- arbeitung und Kommunikation besonders schutzbedürftiger Informationen berücksichtigt wer- den. 11
Die Nationalen Kompetenzzentren der IT-Sicherheitsforschung – ATHENE, CISPA und KAS- TEL – werden als international anerkannte Forschungseinrichtungen weiterentwickelt und de- ren weitere Vernetzung mit relevanten nationalen und internationalen Akteuren gefördert. Um die Möglichkeiten zur Gefahrenabwehr bei Cyber-Angriffen zu verbessern, ist die Schaf- fung einer erweiterten Gesetzgebungs- und Verwaltungskompetenz des Bundes zur Abwehr von Gefahren zu prüfen, die von besonders schweren/bedeutenden Cyber-Angriffen ausge- hen. Regelungen zu entsprechenden Aufgaben und Befugnissen der (Sicherheits-) Behörden des Bundes sind in Betracht zu ziehen. Die bereits in der CSS 2016 festgehaltene Rolle des Nationalen Cyber-Sicherheitsrats (NCSR) als höchstrangig besetztes Gremium in der deutschen Cyber-Sicherheitsarchitektur gilt es zu konkretisieren. Hierzu zählt insbesondere die Stärkung seiner Impulsgeberrolle, für die es geeignete Maßnahmen zu entwickeln gilt. Es werden Vorschläge erarbeitet, wie der NCSR seine Bündelungsfunktion als Multi-Stake- holder Gremium weiterentwickeln und bestmöglich nutzen kann, um die vielfältigen, auf die Stärkung der Cyber-Sicherheit in Deutschland gerichteten Akteure und Aktivitäten zu unter- stützen. Diese beinhalten auch Möglichkeiten zur Herstellung von mehr Verbindlichkeit im NCSR. 3.4 Handlungsfeld 4 – Aktive Positionierung Deutschlands in der euro- päischen und internationalen Cyber-Sicherheitspolitik Ein hohes Niveau der Cyber-Sicherheit ist angesichts der transnationalen Vernetzung in einer digitalisierten Welt nur durch Einbettung der nationalen Maßnahmen in die entsprechenden europäischen, regionalen und internationalen Prozesse erreichbar. Während diese Einbettung in allen Handlungsfeldern mitbedacht werden muss, adressiert Handlungsfeld 4 diejenigen Ziele, für die sich Deutschland aktiv in die europäische und internationale Cyber-Sicherheits- politik einbringen wird. Im Folgenden werden diejenigen Ziele und Aspekte aufgeführt, die das Handlungsfeld 4 ge- genüber der CSS 2016 aktualisieren und ergänzen. 12
Die CSS 2021 soll inhaltliche Vorgaben europäischer Regelwerke zur Cyber-Sicherheit, wie insbesondere der NIS-Richtlinie, umsetzen und – soweit zeitlich bereits möglich und sachge- recht –Vorgaben aus dem Entwurf der NIS 2-Richtlinie berücksichtigen. Die CSS 2021 soll ein Verzeichnis enthalten, welches die Erfüllung europäischer Vorgaben für nationale Cyber- Sicherheitsstrategien nachvollziehbar macht. Auch die Cyber-Sicherheitsstrategie der EU für die digitale Dekade (EU-Cyber-Sicherheitsstrategie) ist zu berücksichtigen. Soweit die CSS 2021 Ziele der EU-Cyber-Sicherheitsstrategie aufgreift, soll dies an geeigneter Stelle in der CSS 2021 kenntlich gemacht werden. In allen Handlungsfeldern der CSS 2021 sollen die europäischen Ziele in diesem Kontext auf nationale Ziele heruntergebrochen werden. Gleichzeitig soll sich die CSS 2021 auch in allen Handlungsfeldern daran ausrichten, natio- nale Standards und Best-Practice-Ansätze der Cyber-Sicherheit im Sinne einer wirksamen europäischen und internationalen Cyber-Sicherheitspolitik aktiv in europäische Vorhaben, EU-Regulierungen und NATO-Standardisierung einfließen zu lassen. Deutschland soll sich bei der Entwicklung einer gemeinsamen Vision und Strategie der EU für Cyber-Sicherheit und europäische Digitale Souveränität einbringen und diese aktiv mit fortentwickeln. Hierzu zählen insbesondere die in der EU-Cyber-Sicherheitsstrategie identifi- zierten drei Handlungsbereiche (1) Resilienz, technologische Souveränität und Führungs- rolle, (2) Aufbau operativer Kapazitäten zur Prävention, Abschreckung und Reaktion und (3) Förderung eines globalen, offenen Cyber-Raums. Deutschland sollte mit den anderen Mitgliedstaaten darauf hinwirken, dass sich die EU aktiv in der internationalen Cyber-Sicherheitspolitik positioniert. Basis ist die EU Cyber-Sicherheits- strategie und eine gemeinsame Vision, sowie die Weiterentwicklung des Cyber-außenpoliti- schen Instrumentariums der EU. Der völkerrechtliche und normative Rahmen für den Cyber-Raum soll gestärkt, sowie auf ein international gemeinsames Verständnis über die Anwendung von Völkerrecht im Cyber-Raum und über verantwortliches Staatenverhalten hingewirkt werden. Es sollten Maßnahmen zur Wahrung internationaler Stabilität im Cyber-Raum und zum Schutz von Menschenrechten gefördert werden. Deutschland sollte sich für ein freies, offenes, globales und sicheres Inter- net einsetzen. Der Reaktionsrahmen auf internationale Normenverletzung soll sowohl national als auch in der EU und in internationalen Institutionen weiterentwickelt werden. 13
Maßnahmen zur internationalen Vertrauensbildung sollen gestärkt werden, um Eskalations- gefahren zu begegnen und Kooperation zu ermöglichen. Die europäische und internationale operative Zusammenarbeit (wie etwa im Rahmen der Eu- ropean Governmental CERT Group) sollte als wichtiger Baustein einer wirksamen Cyber-Ab- wehr strategisch ausgebaut werden. Die effektive Bekämpfung internationaler Cyber-Kriminalität soll gestärkt und Möglichkeiten der grenzüberschreitenden Strafverfolgung sollen verbessert werden. Die Zusammenarbeit zwischen Forschungs- und Entwicklungsbereichen europäischer Si- cherheitsbehörden soll gestärkt werden. Die bilaterale und regionale Zusammenarbeit zum Aufbau von Cyber-Kapazitäten soll weiter- entwickelt werden, um das Potential der Digitalisierung nutzbar zu machen und Vulnerabilitä- ten zu senken. Die CSS 2021 soll hierzu nach Möglichkeit konkrete Beispiele benennen. Die Cyber-Verteidigungspolitik der NATO als Eckpfeiler der nationalen und euro-atlantischen Sicherheit soll angesichts eines sich verändernden Sicherheitsumfelds weiterentwickelt wer- den. Handlungsfelder hierbei sind vor allem die Steigerung der Cyber-Resilienz der Alliierten durch Umsetzung des Cyber Defense Pledge, der Schutz von NATO-Netzen sowie die Wei- terentwicklung des Cyber-Raums als Domäne der Operationsführung im Rahmen des defen- siven Mandats der NATO und im Einklang mit dem Völkerrecht. Auf Stärkung der EU-NATO-Zusammenarbeit in den Bereichen Cyber-Verteidigung und Resi- lienz gegenüber Cyber-Bedrohungen soll hingewirkt werden. 14
4 Definition, Umsetzung und Controlling der Cyber-Sicher- heitsstrategie Im Rahmen des Strategieprozesses zur CSS 2021 sollen grundlegende Strukturen für Umset- zung und Erfolgsmessung der Strategie definiert werden (vgl. Leitlinie „Effektivität und Mess- barkeit der CSS 2021“). Diese Strukturen werden im Folgenden dargestellt. 4.1 Strategische Ziele und Maßnahmen Die CSS 2021 unterscheidet zwischen strategischen Zielen und operativen Maßnahmen. Beide sollen in der aktuellen Fortschreibung erarbeitet werden. Strategische Ziele werden jeweils einem Handlungsfeld zugeordnet und adressieren die zentralen Herausforderungen des Handlungsfeldes. Die strategischen Ziele sollen SMART (spezifisch, messbar, aktiv beeinflussbar, realistisch und terminiert) definiert sein. Insbeson- dere muss die Zielerreichung anhand definierter Indikatoren gemessen werden können. Maßnahmen beschreiben Aktivitäten, mit denen die strategischen Ziele erreicht werden sol- len. Sie müssen in ihrer Gesamtheit geeignet sein, das jeweilige strategische Ziel in der Laufzeit der CSS 2021 vollständig zu erreichen. Das Strategiedokument definiert die strategischen Ziele, die in der Laufzeit der Strategie hinsichtlich der Cyber-Sicherheit in Deutschland erreicht werden sollen. Das Strategiedokument definiert keine konkreten Maßnahmen zur Umsetzung dieser Ziele, da die Entwicklung und Umsetzung individuell in der Hand der zuständigen Ressorts liegen. Die Maßnahmen werden nach abgeschlossener Erhebung in Form eines fortzuschreiben- den Anhangs der Strategie beigefügt. Den Maßnahmen werden die verantwortlichen Res- sorts zugeordnet. Die Ressorts sind zuständig für - die konkrete Umsetzung der strategischen Ziele in ihrem Zuständigkeitsbereich, - die Festlegung von Indikatoren zur Messung der Zielerreichung für diese Ziele, hier- bei ist jedoch die Kompatibilität mit dem strategischen Controlling zu gewährleisten (s.u.), - die Definition von Maßnahmen (Projekte oder fortlaufende Maßnahmen) zur Umset- zung der strategischen Ziele der CSS 2021 in ihrer Zuständigkeit. 15
Die Maßnahmenplanung kann in der Laufzeit der Strategie durch die Ressorts angepasst werden, bspw. um geänderten Rahmenbedingungen Rechnung zu tragen. 4.2 Steuerung der CSS 2021 Im Rahmen der CSS 2021 wird zwischen zwei Steuerungsebenen unterschieden: - Strategisches Controlling: Es wird ein strategisches Controlling etabliert. Das BMI übernimmt die Koordinie- rungsfunktion und bindet die betroffenen Ressorts ein. - Operative Umsetzung: Die Maßnahmenumsetzung und die Überprüfung des Errei- chens der Einzelziele erfolgen eigenständig in der Verantwortung der zuständigen Stellen (Ressorts bzw. Geschäftsbereichsbehörden). Berichtswesen: Die zuständigen Ressorts übermitteln dem BMI eine Zusammenfassung des aktuellen Standes der erreichten Ziele anhand der definierten Indikatoren bis März ei- nes Jahres. Das BMI konsolidiert die Einzelberichte der Ressorts in einem Gesamtbericht über den Umsetzungsstand der CSS 2021. Strategisches Controlling: Das BMI bewertet mit den betroffenen Ressorts auf Basis des Gesamtberichtes den Umsetzungsstand der CSS 2021 und prüft, ob sich aus möglichen Än- derungen der Bedrohungslage ein Anpassungsbedarf für die CSS ergibt. Zusätzlich erfolgen in Abhängigkeit der laufenden Legislaturperiode anlassbezogene Evaluierungen (sowohl während als auch am Ende der Laufzeit der Strategie). Operative Umsetzung: Die zuständigen Ressorts verantworten die Umsetzung und Nach- verfolgung unterhalb der strategischen Zielebene. Dies kann z.B. im Rahmen der bestehen- den Fachaufsicht oder anderer, bereits bestehender Zielsetzungs- und Monitoring-Prozesse erfolgen. Im Ergebnis sollen die für das strategische Controlling notwendigen Informationen bereitgestellt werden. 16
Sie können auch lesen