

Ausgeklügelte, hybride Angriffsvektoren, wie die toxische Mischung aus Social Engineering, Emotet-Malware, Trickbot-Botnetzen und Ryuk-Ransomware, bilden nur die Spitze des Eisbergs der Bedrohungen im Cyberraum. Mit durchschnittlich 322.000 neuen Schadprogramm-Varianten pro Tag im Jahr 2020 zeigt der Lagebericht des BSI zur IT-Sicherheit in Deutschland unmissverständlich, womit wir es zu tun haben. Die im Zuge der Pandemie erfolgte abrupte und vielerorts unvorbereitete Migration ins Homeoffice hat die Angriffsfläche für Kriminelle dabei nochmals massiv vergrößert. Dies macht deutlich: Die Sicherheit von Informationstechnologien ist in Zukunft mitentscheidend für den Erfolg, die Strahlkraft sowie die Digitale Souveränität des Wirtschaftsstandorts Deutschlands.
Im Nachgang des Pandemie-bedingten Digitalisierungsschubs müssen wir in der kommenden Legislaturperiode deutlich stärker als bisher auf die Cybersicherheit schauen. Dazu müssen wir Cybersicherheit als das begreifen, was es ist: eine Querschnittsaufgabe von sicherheitspolitischer Bedeutung. Dabei sind branchenspezifische Sicherheitsanforderungen ebenso bedeutsam wie die eingehende Beschäftigung mit neuen Technologielösungen. Wichtig ist dabei, nicht nur die Herausforderungen des Moments im Blick zu haben, sondern sich auch auf künftige Risiken einzustellen, solange diese noch nicht akut geworden sind. Im Sinne Digitaler Souveränität muss es uns darum gehen, Sicherheitstechnologien technisch zu verstehen, wirtschaftlich anzuwenden und forschungsgetrieben weiterzuentwickeln.
Deutschlands künftige Exportschlager müssen Cybersicherheit als zentralen Wesenszug in sich tragen. Dabei darf Cybersicherheit aber nicht bloß als Add-on der (End-)Produktentwicklung verstanden werden. Vielmehr muss Cybersicherheit als wichtiger Enabler für die erfolgreiche digitale Transformation wahrgenommen werden. Die kommende Bundesregierung muss den Fokus auf die „Usability“ von Sicherheit legen, einen nie zuvor dagewesenen Awareness-Schub für Cybersicherheit befördern und eine politische Zielvision etablieren, die der Ambition gerecht wird, das internationale „race to the top“ anzuführen. Hierfür braucht es einen Narrativwechsel: Wir müssen weg von einem unsicherheits- und notgetrieben Cybersicherheitsverständnis hin zu der Einsicht, dass Cybersicherheit selbst eine digitale Schlüsseltechnologie und Garant europäischer Digitaler Souveränität ist.
Neben staatlichen Institutionen ist es vor allem die hochinnovative, wissensgetriebene und häufig international-orientierte deutsche Wirtschaft, die sich auf sichere kryptografische Methoden verlassen können muss. In Anbetracht der Tatsache, dass Cybersicherheit nur durch wirksame Verschlüsselung gewährleistet werden kann, braucht es ein klares Verbot, IT staatlicherseits absichtlich zu schwächen. Es muss eine Meldepflicht entdeckter Sicherheitslücken gelten – auch für staatliche Stellen. Erst auf dieser Vertrauensbasis ist ein effizient funktionierendes Schwachstellenmanagement, als Triebfeder zur Gewährleistung der Cybersicherheit in der gesamtgesellschaftlichen Breite, realisierbar.
In einem starken, innovativen und zukunftsgerichteten Europa muss Cyber- und IT-Sicherheit global, mindestens aber gesamteuropäisch, gedacht werden. Andernfalls würden selbst gut gemeinte Maßnahmen als Sammelsurium nationaler Alleingänge ohne signifikante Steigerung des Sicherheitsniveaus ins Leere laufen. Akteursübergreifend muss klar sein: Komplexität ist der größte Feind von Sicherheit. Dies gilt einmal mehr im Cyberraum. Was es braucht, sind europaweit harmonisierte und sich an internationalen Standards orientierende Cyber-Sicherheitsvorschriften für Technologieprodukte, einheitliche Prüf- und Zertifizierungsvorgaben auf EU-Ebene sowie eine effiziente (nationale) Cybersicherheitsarchitektur und -strategie. Die kommende Bundesregierung muss klar definieren, was ihre Schutzziele im Cyberraum sind und welche gesetzgeberischen Maßnahmen konkret auf welche Schutzziele einzahlen.