Handlungsempfehlungen für die neue Legislaturperiode
Unser ausführliches Bitkom Forderungspapier Cybersicherheit ist hier abrufbar. Nachfolgend einige Auszüge:
Cybersicherheit als Hebel zur Stärkung souveränen Handelns begreifen
Auf die in der repräsentativen Bitkom-Unternehmensumfrage zur ‘Digitalen Souveränität 2021‘ gestellte Frage „In welche Technologien sollte Deutschland jetzt investieren, um technologisch unabhängiger zu werden?“ landete die Antwortoption IT-Sicherheitstechnologien mit 96% auf dem 1. Platz. Die Stärkung und strategische Nutzung unseres bereits exzellenten IT-Sicherheitsstandorts sowie die existierende und vertrauensvolle Zusammenarbeit mit unseren europäischen und internationalen Partnern muss Kernanliegen der kommenden Legislaturperiode sein.
- Bildung als Schlüssel zum Erfolg verstehen: Eine wesentliche Komponente sowohl von digitaler Souveränität als auch von Cybersicherheit ist die zukunftsfähige Bildung aller Menschen in Deutschland. Für eine gesunde Informationsgesellschaft müssen Medienkompetenz und IT-Know-how spätestens ab der Grundschule in die Bildungspläne integriert werden. Informatik ist als Pflichtfach ab Sekundarstufe I einzuführen.
- Dem Fachkräftemangel entgegenwirken – insbesondere durch Frauenförderung: Dem Mangel an Fach- und Führungskräften muss dringend begegnet werden. Zur Abmilderung des strukturellen Mangels muss das Potenzial der gesellschaftlichen Vielfalt genutzt und vor allem die Förderung von Frauen gestärkt werden.
- Mittelstand mitdenken: KMU verfügen häufig nicht über eigene Ressourcen, um notwendige Cybersicherheits-Vorkehrungen zu treffen. Die kommende Bundesregierung muss sich fragen: Was ist uns der Schutz des Mittelstands wert und welche gesellschaftlichen Kosten sind auf lange Sicht höher? Neben der Bereitstellung praxisnaher Unterstützungsangebote fordert Bitkom steuerliche Anreize, um Kostensynergien zu nutzen und den Einsatz von Cybersicherheitslösungen für KMU attraktiver zu machen. In Übereinstimmung mit dem BSI empfiehlt Bitkom 20 % des IT-Budgets in Cybersicherheit zu investieren.
- Verbindliche Sicherheitsanforderungen bei öffentlichen Beschaffungen festlegen: Die öffentliche Hand ist mit Abstand der größte Beschaffer im Land und sollte sich für höhere Cybersicherheit-Standards und eine Weiterentwicklung der Vergabekriterien bei der öffentlichen Beschaffung einsetzen. Bei allen Digitalisierungsprojekten ist eine Mindestquote für Investitionen in Cybersicherheit vorzusehen. Eine Orientierung an den bereits oben genannten 20 % erscheint sinnvoll.
- Starke, vertrauenswürdige Verschlüsselungstechnologien für mehr Cybersicherheit garantieren: Neben staatlichen Institutionen ist es vor allem die international orientierte deutsche Wirtschaft, die sich auf sichere, kryptografische Methoden verlassen können muss. In Anbetracht der Tatsache, dass Cybersicherheit nur durch wirksame Verschlüsselung gewährleistet werden kann, braucht es ein klares Verbot, den Cyberraum staatlicherseits zu schwächen.
- Globale Strahlkraft des Standorts Deutschland für die Cybersicherheit verinnerlichen: Wie in der UN-Resolution A/RES/73/266 dargelegt, bedarf es des verantwortlichen Handelns von Staaten im Cyberraum. Dieser Verantwortung muss sich Deutschland in der heutigen Zeit mehr denn je bewusst sein und die Vorreiterrolle annehmen. Die kommende Bundesregierung muss deshalb klar und gemeinsam mit den europäischen Partnern definieren, was ihre Schutzziele im Cyberraum sind und welche gesetzgeberischen Maßnahmen konkret auf welche Schutzziele einzahlen.
- Effizient funktionierendes Schwachstellenmanagement etablieren: Es muss eine Meldepflicht für entdeckte Sicherheitslücken gelten – auch und insb. für staatliche Stellen. Ein spezifisches Vulnerability Management muss in Abstimmung mit einer neutral agierenden Institution erfolgen und einem standardisierten Responsible Disclosure-Verfahren mit den Herstellern folgen, damit die Patch-Erstellung und -Verteilung an die Kunden klar geregelt wird. In einem solch transparenten und eindeutig geregelten Rahmen sind dann auch haftungsrechtliche Verpflichtungen denkbar, um die schnellstmögliche Schließung von Schwachstellen zu gewährleisten. Die politische Adressierung haftungsrechtlicher Verpflichtungen wird vom Bitkom grundsätzlich unterstützt, muss aber zwingendermaßen gemeinsam und im Einvernehmen mit der Wirtschaft erfolgen.
- Verschlüsselungstechnologien und Krypto-Agilität zur Priorität erklären: Mit der Entwicklung von Quantencomputern steigt die Notwendigkeit, Post-Quanten-Kryptografie zu nutzen. Die Entwicklung zukunftssicherer Verschlüsselungsverfahren muss daher Hand in Hand gehen mit staatlichen Förderbestrebungen, um die flächendeckende Migration zu Quantencomputer-resistenten Infrastrukturen in Wirtschaft und Verwaltung zu bewerkstelligen.
Regulatorische Komplexitätsreduktion umsetzen
Komplexität ist der größte Feind von Sicherheit. Was auf technischer Ebene gilt, gilt einmal mehr auf regulatorisch-administrativer Ebene. Mehr Cybersicherheit wird nicht durch gesetzgeberisches Mikromanagement erreicht. Gleiches gilt mit Blick auf die Cybersicherheitsarchitektur und die unübersichtliche Zuständigkeitsstruktur auf Bundes- und Länderebene. Je früher die Verantwortungsdiffusion angegangen wird, desto geringer die Kollateralschäden für Wirtschaft, Wissenschaft und Gesellschaft.
- Die Stärkung des digitalen europäischen Binnenmarkts zur Vorbedingung aller Vorhaben machen: Bitkom fordert EU-weit harmonisierte und sich an internationalen Standards orientierende Cybersicherheitsvorschriften für Technologieprodukte, einheitliche Prüf- und Zertifizierungsvorgaben auf EU-Ebene sowie eine tragfähige Cybersicherheitsarchitektur. EU-weit harmonisierte IT-Sicherheitsvorschriften für Produkte und Infrastrukturen stärken den digitalen Binnenmarkt, der globale Strahlkraft zur Erhöhung der IT-/Cybersicherheit entfalten kann.
Gesamtgesellschaftliche Informationsbasis zur Cyberbedrohungslage aufbauen und Meldewesen vereinfachen
Das große Potenzial der Bereitstellung von Echtzeitinformationen muss endlich genutzt werden, um die Reaktionsfähigkeit auf aktuelle und drohende Cybersicherheitsbedrohungen zu verbessern – idealerweise EU-weit. Dazu braucht es eine zentrale Anlaufstelle zur Information über Cybersicherheitsbedrohungen und -vorfälle. Diese zentrale Anlaufstelle ist eng mit dem oben skizzierten und noch aufzubauenden Schwachstellen-Management zu verzahnen. Anstelle reiner PDF-Berichte fordert Bitkom ein leicht verständliches Dashboard mit klar definierten Gefahrenindikatoren, maschinenlesbare Datensätze und entsprechende Schnittstellen (APIs), die eine Auswertung in Echtzeit ermöglichen.
