Bundeskabinett beschließt Cybersicherheitsstrategie 2021

Hogan Lovells
Contact

Hogan Lovells

Das Bundeskabinett hat am 8. September 2021 die vom Bundesministerium des Inneren, für Bau und Heimat (BMI) vorgelegte neue Cybersicherheitsstrategie 2021 beschlossen. Die neue Cybersicherheitsstrategie wird die deutsche Cybersicherheitsstrategie 2016 ersetzen und beschreibt die grundsätzliche Ausrichtung der Cybersicherheitspolitik der Bundesregierung für die kommenden fünf Jahre. Ziel der neuen Cybersicherheitsstrategie ist es, Bürgerinnen und Bürgern auch zukünftig die sichere, freie und selbstbestimmte Nutzung digitaler Technologien zu ermöglichen. Dabei soll, insbesondere durch ein hohes Cybersicherheitsniveau die digitale Souveränität des Staates, der Wirtschaft, der Wissenschaft und der Gesellschaft gestärkt werden, also die "Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können".

Die neue Cybersicherheitsstrategie sieht dafür erstmalig neben den Handlungsfeldern konkrete Leitlinien, Maßnahmen und Ziele vor, mittels derer laut BMI die Herausforderungen und Risiken einer digitalisierten Welt mit Technologien wie Künstlicher Intelligenz und vernetzten Geräten gemeistert werden sollen.[1] Das BMI erklärt Cybersicherheit dabei zu einer gesamtgesellschaftlichen Aufgabe. Adressat der neuen Cybersicherheitsstrategie sind dabei Staat, Wirtschaft, Wissenschaft und Gesellschaft gleichermaßen.[2]

Handlungsfelder und Leitlinien der neuen Cybersicherheitsstrategie

Die Cybersicherheitsstrategie 2021 wird zunächst die vier Handlungsfelder der Cybersicherheitsstrategie 2016 beibehalten:

  • Mit Handlungsfeld 1 setzt sich die Cybersicherheitsstrategie 2021 zum Ziel, die "Cybersicherheitskompetenz" der Gesellschaft zu steigern. So sollen etwa die Anwenderfreundlichkeit von IT-Sicherheitslösungen verbessert, die Angebote des digitalen Verbraucherschutzes ausgebaut, elektronische Identitäten und elektronische Kommunikation besser geschützt werden.[3] KI kommt dabei eine Doppelrolle zu: Einerseits soll KI als Instrument genutzt werden, um zur It-Sicherheit beizutragen; andererseits soll auch KI selbst durch spezifische It-Sicherheitsanforderungen geschützt werden.[4]
  • Weiter ist mit Handlungsfeld 2 die Stärkung des Nationalen Cyber-Sicherheitsrates vorgesehen, die durch die Verbesserung der Zusammenarbeit von Staat, Wirtschaft, Wissenschaft und Zivilgesellschaft im Bereich der Cybersicherheit sowie die Stärkung der deutschen digitalen Wirtschaft und der Schutz deutscher Unternehmen erreicht werden soll.[5]
  • Daneben soll mit Handlungsfeld 3 die Gesetzgebungskompetenz des Bundes zur Gefahrenabwehr und die Zusammenarbeit zwischen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Ländern ausgeweitet werden.[6] Auch sollen die Strafverfolgung im Cyberraum intensiviert[7] und Zugriffsmöglichkeiten der Sicherheitsbehörden auf verschlüsselte Kommunikation geschaffen werden[8]. Das Telekommunikations- und Telemedienrecht soll an den technologischen Fortschritt angepasst werden.[9]
  • Die Cybersicherheitsstrategie 2021 sieht weiter mit Handlungsfeld 4 eine aktive Mitgestaltung Deutschlands bei der Weiterentwicklung geltender Strategien und Regelungen vor (etwa der EU-Cybersicherheitsstrategie oder der Netzwerk- und Informationssicherheitsrichtlinie, die aktuell überarbeitet wird), um einen unionsweiten hohen Cybersicherheitsstandard zu erreichen.[10] Auch auf NATO-Ebene will Deutschland auf die stetige Weiterentwicklung der Cybersicherheitspolitik hinwirken.[11]

Neu ist, dass insgesamt vier Leitlinien die vier Handlungsfelder der Cybersicherheitsstrategie flankieren, die wiederum erstmalig durch 44 strategische Ziele konkretisiert werden . Diese Leitlinien lauten:

  • Cybersicherheit als eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft etablieren;
  • Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken;
  • Digitalisierung sicher gestalten und
  • Ziele messbar und transparent gestalten.[12]

Für Unternehmen mit am interessantesten sind dabei die 13 strategischen Ziele des zweiten Handlungsfeldes. Darunter fallen Ziele wie „Schutz Kritischer Infrastrukturen weiter verbessern[13], „Unternehmen in Deutschland schützen[14], „Cybersicherheitszertifizierung[15] sowie „Forschung und Entwicklung resilienter, sicherer IT-Produkte, Dienstleistungen und Systeme für den EU-Binnenmarkt fördern[16].

Eine wichtige Rolle spielt dabei etwa die IT-Sicherheit von Produkten. Indem diese erhöht werden soll, bzw. Produkte zur Erhöhung ihrer IT-Sicherheit geschaffen werden sollen, zielt das BMI insbesondere auf eine Stärkung der folgenden Wirtschaftszeige samt Lieferketten ab: Mobilitäts- und Automobilindustrie, Energiewirtschaft, Smart Home beziehungsweise IoT und Smart Cities, Industrie 4.0, Gesundheitswesen, Finanzwesen und die IT-Sicherheits-Industrie mit den Feldern Biometrie, Langzeitsicherung und Quantentechnologie.[17]

Um die Erreichung der festgesetzten strategischer Ziele innerhalb der Handlungsfelder zu bewerten und die Umsetzung der Cybersicherheitsstrategie 2021 durch operative Maßnahmen kontinuierlich verfolg- und überprüfbar zu machen, beinhaltet die neue Cybersicherheitsstrategie erstmals auch konkrete Messbarkeitskriterien. Ausgehend von diesen Vorgaben zur Bewertung berichten die für die Umsetzung zuständigen verschiedenen Ressorts dem BMI über den Fortschritt bei der Erreichung der strategischen Ziele.[18]

So soll etwa ein Rückgang der von Cyberangriffen betroffenen Privatpersonen oder die Reichweite der Informationsangebote des BSI für Verbraucher als Indikator für den Erfolg bei der Umsetzung des Ziels dienen, digitale Kompetenzen bei allen Anwenderinnen und Anwendern zu fördern.[19] Ob das Ziel, Unternehmen in Deutschland zu schützen, erreicht wird, will das BMI daran ablesen, wie Förderprogramme für die IT-Sicherheit von KMU, konkret nachgefragt werden, ob die Anzahl von Nutzenden der Unterstützungsangebote des BSI steigt sowie daran, dass die „Initiative Wirtschaftsschutz“ Projekte zum ganzheitlichen Schutz der Wertschöpfungskette vor Know-how- und Informationsabfluss etabliert.[20]

Ausblick

Nachdem das BMI bereits im Juni 2021 einen Entwurf der Cybersicherheitsstrategie veröffentlicht hatte, waren unter anderem die Aufnahme der "digitalen Souveränität" als Leitlinie[21] und die geplante Verbesserung der Zusammenarbeit zwischen Staat, Wirtschaft und Zivilgesellschaft[22] von Interessensverbänden ausdrücklich begrüßt worden. Kritisiert worden war dagegen die geplante Ausweitung der Zugriffsmöglichkeiten deutscher Sicherheitsbehörden auf verschlüsselte Kommunikation[23] bzw. eine mögliche Schwächung von Sicherheitstechnologien zugunsten von staatlichen Eingriffsmöglichkeiten[24] sowie der Ausbau von Überwachungsbefugnissen auf Kosten der IT-Sicherheit, insbesondere unter dem Gesichtspunkt, dass ausländischen Nachrichtendienste und Cyberkriminelle Sicherheitslücken ausnutzen könnten.[25]

Ob und wie trotz oder gerade wegen der den Ressorts eingeräumten Handlungsspielräume die strategischen Ziele der Cybersicherheitsstrategie 2021 in den nächsten Jahren erreicht werden können, wird sich zeigen. Um zwischenzeitlich einen aktiven Austausch zwischen Staat und Wirtschaft zu gewährleisten, verweist die Cybersicherheitsstrategie 2021 unter anderem auf Initiativen wie die „Initiative IT-Sicherheit in der Wirtschaft“ des Bundeswirtschaftsministeriums (BMWi), die Allianz für Cybersicherheit (ACS) oder das vom BMI und vom Bundesverband der Deutschen Industrie (BDI) ins Leben gerufene „Cyberbündnis mit der Wirtschaft“.[26] Wir halten Sie über aktuelle Entwicklungen auf dem Laufenden.

Auch passend zum Thema:

Am 4. November bietet Hogan Lovells den Mitgliedern der ACS ein Webinar zum Thema „Standard und Anforderungen an vernetzte Verbraucherprodukte“ an. Sie sind Mitglied? Dann melden Sie sich jetzt zu unserem Webinar an. Weitere Informationen und die Möglichkeit zur Registrierung erhalten Sie hier.

[1] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 3 (S. 8).

[2] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.1.10 (S. 50 ff.).

[3] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.2 (S. 53 ff.).

[4] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.3.14 ff. (S. 111 ff.).

[5] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.4.1 (S.114 ff.).

[6] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.4.2 (S. 117 ff.).

[7] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 2 (S. 6).

[8] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.2.11 (S. 77 ff.).

[9] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.2.5 (S. 63 ff.).

[10] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.2.12 (S. 79 f.)

[11] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.2.7 (S. 68 ff.).

[12] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.2.4 (S. 63).

[13] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 9 (S. 129 ff.).

[14] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.2.4 (S. 62).

[15] Stellungnahme des Verbands der Elektrotechnik, Elektronik und Informationstechnik e.V. (VDE), https://www.vde.com/resource/blob/2070148/e0b59657872bb4226331c49c0cd 89cb2/stellungnahme-cyber-sicherheitsstrategie-2021---download-data.pdf, S. 1.

[16] Stellungnahme Reporter ohne Grenzen, https://www.reporter-ohne-grenzen.de/ fileadmin/Redaktion/Dokumente/Internetfreiheit/RSF-Stellungnahme_zum_ Entwurf_der_Cybersicherheitsstrategie_2021.pdf, S. 1.

[17] Stellungnahme Reporter ohne Grenzen, https://www.reporter-ohne-grenzen.de/ fileadmin/Redaktion/Dokumente/Internetfreiheit/RSF-Stellungnahme_zum_ Entwurf_der_Cybersicherheitsstrategie_2021.pdf, S. 1.

[18] Stellungnahme der Gesellschaft für Informatik e.V. (GI), https://gi.de/fileadmin /GI/Allgemein/PDF/2021-06-16_GI-StN_CSS_2021.pdf.

[19] Pressemitteilung des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. zu einem gemeinsamen offenen Brief von knapp 40 Verbänden an die Bundesregierung.

[20] Cybersicherheitsstrategie für Deutschland 2021, Kapitel 8.2.4 (S. 61).

[View source.]

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Hogan Lovells | Attorney Advertising

Written by:

Hogan Lovells
Contact
more
less

Hogan Lovells on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide

This website uses cookies to improve user experience, track anonymous site usage, store authorization tokens and permit sharing on social media networks. By continuing to browse this website you accept the use of cookies. Click here to read more about how we use cookies.