Cyber-Sicherheitsstragie
für Deutschland
2016
 

Einleitung

 

Die Digitalisierung in Staat, Wirtschaft und Gesellschaft hat Deutschland in nur wenigen Jahren grundlegend verändert. Neue Möglichkeiten der Kommunikation, des Wissenszugangs und der innovativen Gestaltung führen zu mehr sozialer Interaktion, neuen Geschäftsmodellen und neuen Feldern für Forschung und Entwicklung. Vernetzte elektronische Geräte prägen verstärkt den Lebens- und Arbeitsalltag der Menschen.

Durch die zunehmende maschinelle Erzeugung von Daten sowie die zunehmende Verbreitung von intelligenten Zählern und Sensoren entstehen riesige Datenmengen. Selbstlernende Maschinen können immer komplexere Aufgaben übernehmen. Abläufe, Verfahren und Produktionsprozesse werden zunehmend vernetzt, Innovationszyklen immer kürzer. Der grenzüberschreitende Cyber-Raum erfordert neue Ansätze.

Der Staat hat die Pflicht, diese Veränderungsprozesse im Interesse der Bürgerinnen und Bürger gemeinsam mit der Wirtschaft und weiteren Akteuren zu bewerten, aktiv zu gestalten und Rahmenbedingungen zu schaffen, um diese Veränderungsprozesse weiter zu entwickeln. Die Digitalisierung eröffnet Chancen, birgt Risiken und braucht daher Vertrauen. Eine umfassende Sicherheit ist nicht erreichbar, ein Missbrauchspotential wird stets existieren. Aufgabe des Staates und der Wirtschaft ist es, die Grundlagen für dieses Vertrauen zu schaffen. Sicherheit ist hierbei ein wesentlicher Aspekt.

 

 
 

Handlungsfeld 1

Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung

In einer digitalisierten Umgebung sicher und selbstbestimmt handeln zu können, ist ein wesentlicher Eckpfeiler von Cyber-Sicherheit. Die Bürgerinnen und Bürger müssen – ebenso wie Unternehmen, Staat und sonstige Akteure in Deutschland – in der Lage sein, die Chancen und Risiken beim Einsatz von Informationstechnik zu erfassen, zu bewerten und ihr Handeln daran auszurichten (Beurteilungskompetenz). Hierfür müssen die entsprechenden vertrauenswürdigen Technologien und Rahmenbedingungen vorliegen.

 

Die Möglichkeit zu einem sicheren und selbstbestimmten Handeln im Cyber-Raum steht im Kontext technologischer oder digitaler Autonomie. Grundlage hierfür ist eine gezielte digitale Bildung für alle Alters- und Anwendergruppen. Cyber-Sicherheit muss fest im Bewusstsein der Gesellschaft verankert werden, um digitaler Sorglosigkeit entgegenzuwirken.

Um die Chancen der Digitalisierung zu nutzen, muss für alle Anwendergruppen die Möglichkeit bestehen, auf vertrauenswürdige und sichere IT-Systeme zugreifen zu können und so die digitalen Verwundbarkeiten zu minimieren.

Nutzerfreundliche und handhabbare Lösungen – gerade auch „Made in Germany“ – auf Basis global nutzbarer technischer Architektur sind hier ein wichtiger Baustein, ebenso wie eine zielgerichtete IT-Sicherheitsforschung und –entwicklung, eine bedarfs- und anwendergerechte Zertifizierungspolitik sowie die Förderung von sicheren elektronischen Identitäten und der Verschlüsselung sowohl von elektronischer Kommunikation als auch von über das Internet angebotenen Diensten. Nationale Regelungen sind bei Bedarf den jeweils aktuellen Sicherheitserfordernissen anzupassen. Gleichzeitig wird sich die Bundesregierung in der Europäischen Union und in internationalen Organisationen auch weiterhin für angemessene und einheitliche IT-Sicherheitsstandards und wirksame gesetzliche Regelungen einsetzen.

 
 
Gesellschaft – Staat – Wirtschaft
 
 
 

Handlungsfeld 2
Gemeinsamer Auftrag von Staat und Wirtschaft

Eine vertrauensvolle Zusammenarbeit und ein enger Austausch zwischen Staat und Wirtschaft sind unabdingbar, um Cyber-Sicherheit in Deutschland dauerhaft auf einem hohen Niveau gewährleisten zu können. Dabei sind im Sinne eines kooperativen Ansatzes auch neue Wege zu beschreiten, um die jeweiligen Kompetenzen zu bündeln und zu nutzen.

 
 

Die Unternehmen in Deutschland müssen in der Lage sein, sich selbst und ihre Kunden wirksam vor Cyber-Angriffen zu schützen. Besonderes Augenmerk gilt dabei den Betreibern Kritischer Infrastrukturen. Aber auch andere Unternehmen können für Staat, Wirtschaft und Gesellschaft von hoher Relevanz sein und müssen besonders geschützt werden. Hierfür sind im Wege des mit dem ITSicherheitsgesetz etablierten kooperativen Ansatzes die erforderlichen Rahmenbedingungen fortzuentwickeln und bei Bedarf auf andere Bereiche der Wirtschaft zu erweitern. Bei der Entwicklung und Durchsetzung wirksamer und bedarfsgerechter IT-Sicherheitsstandards müssen Staat und Wirtschaft vertrauensvoll und eng zusammenarbeiten.

Das Fundament hierfür ist eine starke deutsche IT-Wirtschaft, die durch eine moderne Wirtschaftspolitik zu fördern ist. Die Bundesregierung wird zudem Maßnahmen erarbeiten, um die im internationalen Vergleich schwächer ausgeprägte Gründungskultur für Startups im Bereich IT-/Cyber-Sicherheit in Deutschland zu verbessern. Der Einbeziehung von Providern und nationalen IT-Sicherheitsdienstleistern kommt bei der Erkennung und Abwehr von Cyber-Angriffen eine Schlüsselrolle zu.

 
Staat – Wirtschaft
 
 
 
 

Handlungsfeld 3

Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur

Der Staat muss Sicherheit, Recht und Freiheit in unserem Land auch im Cyber-Raum gewährleisten. Hierzu bedarf es einer zeitgemäßen Cyber-Sicherheitsarchitektur, die die verschiedenen Akteure auf Bundesebene wirksam verzahnt und daneben die Länder, Kommunen und die Wirtschaft im Blick behält.

 

Die fortschreitende Digitalisierung führt dazu, dass heute eine Vielzahl von staatlichen Stellen in Bund und Ländern mit Fragen der Cyber-Sicherheit befasst ist. Das Aufgabenfeld ist breit und reicht – unter Beachtung der verfassungsrechtlich gebotenen Grenzen – von der Prävention, der Gefahrenabwehr und der Strafverfolgung über die Spionageabwehr und nachrichtendienstliche Aufklärung bis zur Cyber-Verteidigung. Dabei sind sowohl innere wie äußere Sicherheit im Cyber-Raum gleichermaßen betroffen. Der Staat muss seine Institutionen so aufstellen, dass sie ihren Schutzauftrag für die Gesellschaft auch im Zeitalter der Digitalisierung wahrnehmen können, und sich selbst wirksam gegen Cyber-Angriffe sichern.

Eine moderne Cyber-Sicherheitsarchitektur begreift Cyber-Sicherheit vor diesem Hintergrund als permanente gesamtstaatliche Aufgabe, die gemeinsam zu bewältigen ist. Wesentlich ist, dass im Bedarfsfall Informationen verteilt werden und die Aufgabenwahrnehmung effizient koordiniert wird. Föderalen, ressort- und behörden- sowie grenzübergreifenden Synergien kommt besondere Bedeutung zu. Das Nationale Cyber-Abwehrzentrum bietet auf Bundesebene bereits die entsprechende Struktur, unter deren Dach die einzelnen Akteure im Rahmen ihrer jeweiligen Zuständigkeiten zusammenarbeiten. Es gilt, diese Zusammenarbeit zu intensivieren und die Länder künftig stärker einzubinden. Die Bundesregierung wird dabei die rechtlichen Zuständigkeiten sowie die technischen und personellen Fähigkeiten überprüfen, eng aufeinander ausrichten und – wo erforderlich – anpassen. Nur so kann die staatliche Handlungsfähigkeit zur Prävention, Erkennung, Aufklärung, Abwehr und Verfolgung von Cyber-Angriffen auch im Zeitalter der Digitalisierung erhalten bleiben.

 
 
Bund – Länder – Kommunen
 
 
 

Handlungsfeld 4
Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik

Ein hohes Niveau an Cyber-Sicherheit ist angesichts der transnationalen Vernetzung in einer digitalisierten Welt nur durch Einbettung und Verstärkung der nationalen Maßnahmen in die entsprechenden europäischen, regionalen und internationalen Prozesse erreichbar. Deutschland wird sich hierfür auch weiterhin aktiv in die europäische und internationale Cyber-Sicherheitspolitik einbringen. Ein klarer Rechtsrahmen, Vertrauensbildung sowie größere Resilienz in Europa und weltweit bedeuten auch mehr Schutz für Deutschland.

 
 

Sicherheit muss insbesondere im Zeitalter der Digitalisierung auch global gedacht werden. Deutschland wird sich bei Maßnahmen zur Stärkung nationaler bzw. regionaler Cyber-Sicherheitsfähigkeiten auch für interoperable Cyber-Sicherheitsarchitekturen und Standards einsetzen. Auf europäischer Ebene ist für einen sicheren europäischen Cyber-Raum der digitale Binnenmarkt mit Schwerpunkt auf dem Austausch sicherer und interoperabler Daten von entscheidender Bedeutung. Entsprechendes gilt – im Rahmen bestehender Unionskompetenzen – in Bezug auf die polizeiliche und justizielle Zusammenarbeit sowie eine entsprechend gestaltete Gemeinsame Außen- und Sicherheitspolitik und die Vernetzung der europäischen IT-Sicherheitsforschung.

Zusätzlich setzt Deutschland sich in den entsprechenden Foren für mehr Cyber-Sicherheit ein. Bei der Cyber-Verteidigungspolitik der NATO sind die Resilienz des Bündnisses und der Schutz der NATO-eigenen Netze das zentrale Ziel.

Im Rahmen der Vereinten Nationen wird sich Deutschland auch weiterhin engagiert an der Klärung zahlreicher neuer Fragestellungen zur Anwendung des Völkerrechts im Cyber-Raum und seiner Weiterentwicklung und für den Erhalt und die Stärkung eines offenen, sicheren und rechtlich gestalteten Cyber-Raums einsetzen. Bilaterale Cyber-Konsultationen sowie die Zusammenarbeit mit ausgewählten Partnerländern der deutschen Entwicklungszusammenarbeit können diesen Prozess vertiefen und ein globales Minimum an Cyber-Sicherheit erreichen. Der Stärkung der internationalen Strafverfolgung kommt zudem besondere Bedeutung zu.

Bei Cyber-Angriffen unter Ausnutzung ausländischer Systeme sind regelmäßig auch die Nutzung diplomatischer Kanäle neben Maßnahmen zum Schutz und zur Wiederherstellung der beeinträchtigten Systeme und zur Verfolgung der Täter in Erwägung zu ziehen.

 
Internationales Handeln