Kennen Sie den CRA? CSA, DORA, RED, NIS-2? Hinter all diesen Abkürzungen stecken Gesetze, Verordnungen und Richtlinien zur Cybersicherheit in Europa. Einige sind jüngst in Kraft getreten, andere stehen kurz davor. Und bei NIS-2 droht die Umsetzung des wichtigsten Cybersicherheitsgesetzes durch den Bruch der Ampelkoalition deutlich verzögert zu werden.
Offensichtlicher Handlungsbedarf
Diese Regulierungen gehen auf den immensen Handlungsbedarf zurück, den wir mit Blick auf Cyberangriffe und IT-Sicherheitsvorfälle haben: Die Notwendigkeit und auch die Dringlichkeit, auf breiter Front zu handeln, ist offensichtlich. Erst Ende Juli ist es durch ein fehlerhaftes Update eines Crowdstrike- Produktes zum Ausfall von rund 8,5 Millionen Windows-Systemen weltweit gekommen. Krankenhäuser mussten Operationen absagen, Supermärkte mussten schließen, Flugzeuge blieben am Boden. Das BSI hat gemeinsam mit dem BITKOM herausgefunden, dass fast die Hälfte der in Deutschland betroffenen Unternehmen durchschnittlich für 10 Stunden ihre Dienstleistungen nicht anbieten konnten. Die wirtschaftlichen Schäden sind bis heute nicht genau bezifferbar, ebenso wenig wie der Schaden, den das Vertrauen in unsere digitalisierte Welt erlitten hat. Und dabei müssen wir uns immer vor Augen führen: Es handelte sich dabei nicht um einen Cyberangriff, sondern „nur“ um einen operativen Fehler. Dieser Vorfall hat beinahe lehrbuchhaft gezeigt, dass und auf welche Art die Verantwortung für eine sichere Digitalisierung auf mehreren Schultern verteilt liegt: Bei den Herstellern für sichere und fehlerfreie Produkte. Bei den Betreibern für resiliente IT-Infrastrukturen und Prozesse. Bei den staatlichen Einrichtungen für Schutz und Prävention, eine schnelle und ganzheitliche Lageerfassung und angemessene reaktive Maßnahmen. Erst, wenn wir alle guten Gewissens behaupten können, dass wir dieser Verantwortung gerecht werden, erst dann dürfen und müssen wir darüber sprechen, welchen Teil jede einzelne Bürgerin und jeder einzelne Bürger zu einer sicheren Digitalisierung beitragen kann.
Kooperation gewinnt
Die genannten Regulierungen unterstützen uns dabei, diese Verantwortung zu schultern. Sie schützen uns. Der Cyber Resilience Act (CRA) wird dazu führen, dass Hersteller, die für ihre Produkte das bereits etablierte CE-Kennzeichen erhalten wollen, dafür Sorge tragen müssen, dass diese Produkte auch cybersicher sind. Mit Inkrafttreten von NIS-2 (Richtlinie zur Netzwerk- und Informationssicherheit) werden wir als BSI uns um rund 30.000 Betriebe und Organisationen kümmern, die uns künftig IT- Sicherheitsmaßnahmen nachweisen und IT-Sicherheitsvorfälle melden müssen. Auch die weiteren Regulierungsprojekte wollen unsere digitale Welt sicherer machen: etwa bei Cloud-Produkten, funkfähigen Geräten oder im Finanzsektor. Selbstverständlich bringen Regulierungen immer auch Aufwände mit sich – für Unternehmen und Hersteller und auch für die Aufsichtsbehörden. Das BSI wird sich dabei konsequent und in höchstem Maße kooperativ, beratend und helfend für die Stärkung der Cybersicherheit in Deutschland und Europa einsetzen – und das nicht nur von der Seitenlinie, sondern mitten auf dem Spielfeld.
Gefährdungslage bleibt besorgniserregend
Eines unserer wichtigsten Vorhaben für die kommenden Jahre ist es, die Cybersicherheit in Deutschland messbar zu machen – denn was man messen kann, das kann man auch verbessern. Grundstein dafür ist unser diesjähriger Bericht zur Lage der IT-Sicherheit in Deutschland, den wir gerade im November veröffentlicht haben. Er zeigt: Die Gefährdungslage ist und bleibt besorgniserregend, aber wir sind den Bedrohungen aus dem Cyberraum nicht schutzlos ausgeliefert! Genau deswegen ist es nun entscheidend, nicht nachzulassen, sondern gemeinsam noch eine Schippe draufzulegen. Unternehmen und Hersteller, Wissenschaft, Zivilgesellschaft und staatliche Institutionen: Wir alle müssen zusammen an einem sicheren digitalen Heute und Morgen arbeiten. Daher verfolgen wir im BSI so nachdrücklich das Ziel der Cybernation Deutschland. Lassen Sie uns diese Vision gemeinsam zur Wirklichkeit machen. ■
