Cybersecurity 2018-2020: Proposals for action for the CDU/CSU and SPD
←
→
Page content transcription
If your browser does not render page correctly, please read the page content below
DSI Industrial & Policy Recommendations (IPR) Series
Cybersecurity 2018–2020: Proposals for
action for the CDU/CSU and SPD
Martin Schallbruch, Sandro Gaycken, Isabel Skierka (Digital Society Institute, ESMT Berlin)
Issue 1, 2018
1. Initial situation
(a) Incalculable cybersecurity risk
From 2013 to 2017, cybersecurity has deteriorated dra- (b) Political implementation deficits
matically. While the penetration of all areas of life with From 2013 to 2017, no progress could be made on cy-
digital technology is advancing ever faster, the quality bersecurity at the global level. Negotiations at the UN
of technology has not improved. Unsafe products from have failed; multilateral efforts and multi-stakeholder
the office world are increasingly being used in indust- processes have not produced effective results. Little
rial plants. New areas of digitalization such as the progress has been made at EU and national levels. The
“Smart Home” and the “Internet of Things” (IoT) are commitment of critical infrastructures to cybersecurity
characterized by low-cost products with significant sa- measures and the implementation of the General Data
fety flaws. High pressure from investors forces startups Protection Regulation will force cybersecurity to be
to develop quickly without quality assurance, even in more thoroughly debated in many companies. In rea-
areas with the highest security requirements, such as lity, it will only slightly raise the level of IT security,
health and finance. The complexity of IT and network- due to low protection goals as well as lack of clarity
ing is growing unchecked and growing insecurity expo- and uncertainties of regulations and implementation.
nentially. The effectiveness of IT security products is Security authorities have assumed better powers, more
less and less resilient; through their own security vul- staff, and better equipment, but have become very li-
nerabilities, they themselves become risks. Despite in- mited in their efficiency due to the dramatically poor
creasing investments in IT security, risks are not meas- staffing of IT security and an underdeveloped supply
urably reduced. market. There is no discernible increase in European
At the same time, cyber attacks are increasing and and national digital sovereignty. Collaboration
becoming more serious. Gigantic data theft and extor- between security agencies and between the state and
tion attacks with massive data loss are commonplace. industry on cyber defense has only marginally improved
Critical infrastructures and production lines are in- – the current cybersecurity architecture is charac-
creasingly under attack – including their accident pre- terized by competence wrangling.
vention mechanisms. Intelligence cyberattack tools are
lost. Everyday items become cyberattack platforms. (c) Political opportunities
The exponential growth of vulnerabilities, the poor Germany has great opportunities to make decisive pro-
effectiveness of security technology, and the many op- gress in cybersecurity in the period 2018–2020. The
tions for cyber attackers make it unforeseeable for an good economic situation and the favorable budgetary
indefinite time what cybersecurity is and how to create situation of its federal and state governments allow
it. Cybersecurity is a pre-condition for digitization and considerable investments in cybersecurity and secure
at the same time poses an incalculable risk to the eco- digitization. The cybersecurity policy of federal
nomy and society. government’s grand coalition will hardly be politically
Page 1 of 10DSI Industrial & Policy Recommendations (IPR) Series
Cybersecurity 2018–2020: Proposals for action for the CDU/CSU and SPD
controversial. Essential areas of life will be fundamen- (d) Economic opportunities
tally digitized in the coming years and offer the option The paradigm of reliable secure digitization can realize
to develop, economically scale, and standardize safe global economic opportunities and establish a credible
technologies from the ground up: transport systems, and unique selling proposition for the German business
health care, energy, municipal infrastructure, and gov- community in technical markets. German industry, in
ernment services. cooperation with the federal government, can imple-
Even the coalition agreement of the CDU/CSU and ment many meaningful development and investment
SPD in 2013 had prominently addressed cybersecurity projects. But the effectiveness of security technology
but did not yet implement large parts of the former must become verifiable, and the IT security market.
projects. (See also the evaluation of the coalition
agreement 2013 in the annex.)
2. Objectives
The cybersecurity policy of a new coalition in the
federal government should set six priorities: (c) Coherently define security in large-scale
digitization projects
(a) Promote demonstrable secure technologies State and business digitization projects should be based
The issue of cybersecurity can only be resolved with a on secure architectures and use high-security technol-
long-term policy of demanding and promoting secure ogies. This concerns, for example, the digitization of
technologies. Research efforts and the promotion of the transport systems, health care, energy supply, building
industrialization of highly secure solutions need to be technology, and industrial facilities. State support for
significantly strengthened. The core must be technolo- market solutions with a particularly high level of secu-
gies and systems with verifiable security. Hot topics rity should be given preference over in-house develop-
such as big data, AI, or blockchain, which make rather ments. Investments in state digitization projects should
indistinct or small contributions to the reduction of also foster the parallel development of particularly
cyber risks, must be assessed more competently. promising IT security technologies, ensuring their bet-
ter scaling and market acceptance.
(b) Legally require IT security of products
The vulnerability of IT arises from poor technical qual- (d) Better coordinate national cyber defense
ity, which would be largely avoidable, but whose avoid- The competence disputes in cyber defense should be
ance is costly. The lack of regulation of these quality solved by a newly defined joint structure of the federal
deficiencies saves the IT industry development costs at government (including the armed forces), the state
the expense of the safety of private and industrial IT governments, and industry. It's too early to find a final
users. The liability for poor quality must be therefore and long-term definition of cybersecurity architecture.
strengthened, and available methods of quality assur- Therefore, the previous structures should be preserved,
ance and the prevention of vulnerabilities must be re- although better coordinated (and tighter). Cooperation
quired by law. with the private sector should also be massively ex-
Two principles must be established for the digitiza- panded.
tion of technologies that hold potential danger for life
and limb: (1) Safety first – protection mechanisms for (e) Actively address offensive capabilities
health and safety must be in no way digitally vulnera- When properly developed and used, cyber weapons are
ble. Their cybersecurity needs to be prioritized and can ideal, non-lethal military weapons. They can provide
only be considered as achievable through verifiably se- crucial input to avoid conflicts at an early stage or make
cure technologies. (2) The protection of IT systems them technically impracticable. High deterrence po-
against attacks and the protection against accidents tential or cyberattack weapon systems can help to
must be the same; the protection objectives of both make warfare less violent. In law enforcement and in-
collaterals must be coherent. telligence work, the capabilities of targeted hacking,
embedded in carefully defined powers and authorities,
Page 2 of 10DSI Industrial & Policy Recommendations (IPR) Series
Cybersecurity 2018–2020: Proposals for action for the CDU/CSU and SPD
can provide a wealth of valuable insight and help clear cyberspace. We could give the go-ahead for greater in-
up and prevent crime, and reduce damage. ternational acceptance of rules in cyberspace. This in-
cludes strengthening the protection of privacy in inter-
(f) Establish international leadership in national cyber policy. Data protection must be
security and privacy recognized as a human right, and digital surveillance
Following the failure of UN efforts to commit itself to states should be denounced on the world stage.
international cybersecurity, Germany should work with
France, our European partners, and other states for bi-
lateral agreements on responsible behavior by states in
3. Action areas
In order to achieve the above goals, ten action areas IT systems of important state functions (e.g., elec-
are proposed for the CDU/CSU and SPD coalition agree- tions, tax administration), security assessments should
ment: be made transparent.
5. We will set up a KfW "IT Security Industry" fund-
(a) Secure technologies ing program that supports IT security measures in com-
1. We will oblige manufacturers of hardware and soft- panies (following the example of the energy-saving pro-
ware to take appropriate security measures in line with motion programs) with consulting services, investment
the product’s intended purpose and to ensure the long- subsidies, and low-interest loans. We favor high-secu-
term security of their products, in particular, to pro- rity technologies in this program.
vide security updates and security information. Anyone
who manufactures or sells equipment that is intended (c) Better coordinate national cyber defense
for connection to the internet must take special care. 6. We will completely reorganize cyber defense to-
The IT security of digital systems with the potential to gether with state governments and industry. We will
threaten health and life must be based on proven safe strengthen the police forces, intelligence services, and
anchors. the Federal Office for Information Security (BSI) in the
2. We will significantly expand the promotion of re- further development of their cyber capabilities and, at
search and development of highly secure, especially the same time, will create a coordination unit for cyber
verifiable IT systems and promote the consideration of defense with its own personnel, which integrates the
high security in all IT support programs. Companies military, security agencies of the federal and state gov-
that present transparent plans for the market introduc- ernments as well as the private sector. It will incorpo-
tion of highly secure solutions are supported by invest- rate existing cooperation structures.
ment grants and loss guarantees. We will create incen- 7. We will create a legal basis for the federal secu-
tives for investors to invest in IT security companies. A rity authorities to take active cyber-defense measures
prerequisite are verifiable safety features of the prod- in cases of concrete dangers (to life and limb or the
ucts. free democratic order) that emanate from a cyber at-
tack. Military and security agencies will develop their
(b) Secure architectures for digitization offensive capabilities in close cooperation with each
3. We will promote providers of trustworthy services, other, with the participation of the federal government
which are compliant with European data protection and and independent experts.
IT security law, and give them a high degree of prefer- 8. The use of hardware and software vulnerabilities
ence and priority in government procurement and in- creates significant cybersecurity risks. To the extent
frastructure projects (such as transport, health, edu- that government authorities use such vulnerabilities for
cation, energy). For government IT services, European the performance of their duties, this should be in-
trust and payment service providers will be used. cluded in a statutory vulnerability equities process.
4. We will extend IT security legislation to other in-
dustries and also cover the public administration. For
Page 3 of 10DSI Industrial & Policy Recommendations (IPR) Series
Cybersecurity 2018–2020: Proposals for action for the CDU/CSU and SPD
(d) Expertise for cybersecurity (e) International leadership
9. The federal government will propose to state gov- 10. Germany will work with France as well as our other
ernments, business, and trade unions a program to pro- European and international partners to develop a
mote cybersecurity expertise, comprising school edu- model code of good governance in cyberspace and to
cation, professional training, joint human resources engage in bilateral negotiations and multilateral agree-
development, staff exchanges between government ments. The code will also contain clear rejections of
and business, and exemptions from civil service law. mass human rights violations and propaganda manipu-
lations of democratic processes.
Annex
Coalition agreement of the CDU/CSU and SPD 2013, statements on IT security
What was not, partially, or fully implemented?
A central office for phishing and similar offenses should bodies, especially those of internet architecture and
improve prevention and facilitate investigations. internet governance.
We will examine the extent to which a sale of na-
IT infrastructure and digital data protection tional expertise and know-how in key security technol-
We will create an IT security law with binding minimum ogies can be prevented.
requirements for IT security for critical infrastructures We will initiate a top-level research cluster
and the obligation to report significant IT security inci- called "IT security and critical IT infrastructure".
dents. We are also committed to this at the EU level as To ensure that users are adequately informed
part of the European cybersecurity strategy. about the security risks, internet service providers
In order to protect freedom and security on the in- should re-port to their customers if they have
ternet, we will strengthen and design the internet in- evidence of mal-ware or the like. In addition, we will
frastructure of Germany and Europe as a trusted space. strive for a secure legal framework and a
Therefore we are in favor of a European cybersecurity certification for cloud infra-structures and other
strategy, take action for recovery of technological security-related systems and ser-vices.
sovereignty, support the development of trusted IT and To safeguard technological sovereignty, we
network infrastructure as well as the development of encour-age the use of nationally developed IT
secure software and hardware and secure cloud tech- security tech-nologies by citizens.
nology, and also welcome offers of national as well as The further development and distribution of chip
European routing. card readers, cryptography, DE-Mail (the German e-
We are building the capacities of the BSI and the government communications service), secure end-to-
Cyber Defense Center. We will improve the IT equip- end encryption, and trustworthy hardware and soft-
ment of the German security agencies. ware need to be considerably expanded.
In order to better protect and safeguard citizen IT manufacturers and service providers should be li-
data, we will strive to bundle the federal IT networks able for data privacy and IT security flaws in their prod-
in a uniform "Federal Network" platform. We want to ucts.
merge IT and telecommunications security. We want to bring to life the right to guarantee con-
Federal agencies will be required to use ten percent fidentiality and integrity of information technology sys-
of their IT budgets for the security of their systems. tems developed by the Federal Constitutional Court.
To restore confidence, standardization bodies must The use of methods for anonymization, pseudonymiza-
become more transparent. In addition, Germany must tion, and data economy must become binding rules.
become more involved in these and other international
Page 4 of 10DSI Industrial & Policy Recommendations (IPR) Series
Cybersecurity 2018–2020: Proposals for action for the CDU/CSU and SPD
The DSI Industrial & Policy Recommendations (IPR) Series is published by the Digital Society Institute of ESMT Berlin,
http://dsi.esmt.org.
© 2018 ESMT European School of Management and Technology GmbH.
This paper may be distributed freely according to the CreativeCommons license Attribution-NonCommercial-NoDe-
rivatives 4.0 International. https://creativecommons.org/licenses/by-nc-nd/4.0/
Page 5 of 10DSI Industrial & Policy Recommendations (IPR) Series
Cybersicherheit 2018-2020: Handlungsvorschläge
für CDU/CSU und SPD
M artin Schallbruch, Sandro Gaycken, Isabel Skierka (Digital Society Institute, ESMT Berlin)
Ausgabe 1, 2018
1. Ausgangslage
und die vielen Optionen für Angreifer lassen auf unab-
(a) Unkalkulierbares Risiko Cy bersicherheit sehbare Zeit unklar, was Cybersicherheit ist und wie sie
Von 2013 bis 2017 hat sich die Lage der Cybersicherheit herzustellen ist. Cybersicherheit ist Bedingung der Digi-
dramatisch verschlechtert. Während die Durchdringung talisierung und gleichzeitig ein unkalkulierbares Risiko
aller Lebensbereiche mit digitaler Technologie immer für Wirtschaft und Gesellschaft.
schneller voranschreitet, ist die Qualität der Technolo-
gie in der Fläche nicht besser geworden. Unsichere Pro- (b) Polit ische Umsetzungsdefizite
dukte aus der Office-Welt werden zunehmend auch in Von 2013 bis 2017 konnten auf globaler Ebene bei der
industriellen Anlagen eingesetzt. Neue Bereiche der Di- Cybersicherheit keine Fortschritte erzielt werden. Die
gitalisierung wie SmartHome oder IoT sind durch low- Verhandlungen in der UNO sind gescheitert, multilate-
cost-Produkte mit erheblichen Sicherheitsmängeln ge- rale Anstrengungen und M ulti-Stakeholder-Prozesse er-
kennzeichnet. Hoher Druck durch Investoren zwingt zielten keine wirksamen Ergebnisse. Auf EU- und natio-
Startups zu schneller Entwicklung ohne Qualitätssiche- naler Ebene sind nur kleine Fortschritte erzielt worden.
rung, selbst in Bereichen mit höchsten Sicherheitsan- Die Verpflichtung kritischer Infrastrukturen zu Cybersi-
forderungen wie Gesundheit und Finanzen. Komplexität cherheitsmaßnahmen und die Umsetzung der Daten-
der IT und Vernetzung wachsen ungebremst und erhö- schutz-Grundverordnung erzwingen für viele Unterneh-
hen Unsicherheit exponentiell. Die Effektivität von Si- men eine gründlichere Auseinandersetzung mit
cherheitsprodukten ist immer weniger belastbar; durch Cybersicherheit, heben aber aufgrund der niedrig ange-
eigene Sicherheitslücken werden sie selbst zu Risiken. legten Schutzziele, der Interpretationsoffenheit der Re-
Trotz immer höherer Investitionen in IT-Sicherheit wer- gelungen und der Implementierungsunsicherheiten die
den Risiken nicht messbar reduziert. IT-Sicherheit faktisch nur auf ein geringfügig höheres
Gleichzeitig nehmen die Angriffe zu und werden im- Niveau. Die Sicherheitsbehörden sind mit besseren Be-
mer gravierender. Gigantische Datendiebstähle und Er- fugnissen, mehr Personal und besseren Ausstattungen
pressungsangriffe mit massenhaften Datenverlusten bedacht worden, aufgrund der dramatisch schlechten
sind an der Tagesordnung. Kritische Infrastrukturen und Personalsituation in der IT-Sicherheit und einem unter-
Produktionsstraßen werden zunehmend angegriffen – entwickelten Zuliefermarkt dennoch nur sehr begrenzt
einschließlich ihrer M echanismen für Unfallschutz. effizienter geworden. Eine Steigerung europäischer und
Nachrichtendienstliche Angriffswerkzeuge gehen verlo- nationaler Souveränität bei digitalen Technologien ist
ren. Alltagsgegenstände werden zu Angriffsplattfor- nicht feststellbar. Die Zusammenarbeit zwischen den
men. Sicherheitsbehörden und zwischen Staat und Wirtschaft
Das exponentielle Wachstum der Verwundbarkei- bei der Cyberabwehr ist nur marginal verbessert, Kom-
ten, die schlechte Effektivität der Sicherheitstechnik petenzgerangel kennzeichnet die gegenwärtige Cyber-
sicherheitsarchitektur.
Seite 6 von 10DSI Industrial & Policy Recommendations (IPR) Series
Cybersicherheit 2018-2020: Handlungsvorschläge für CDU/CSU und SPD
(c) Polit ische Chancen adressiert, allerdings große Teile der damaligen Vorha-
Deutschland hat große Chancen, im Zeitraum 2018-2020 ben noch nicht umgesetzt (siehe auch die Auswertung
bei der Cybersicherheit entscheidend voranzukommen. des Koalitionsvertrages 2013 im Anhang).
Die gute wirtschaftliche Lage und die günstige Haus-
haltslage von Bund und Ländern erlauben erhebliche In- (d) Wirt schaftliche Chancen
vestitionen in Cybersicherheit und sichere Digitalisie- Das Paradigma einer zuverlässig sicheren Digitalisierung
rung. Cybersicherheitspolitik wird in einer großen kann globale wirtschaftliche Opportunitäten realisieren
Koalition im Bund politisch kaum strittig sein. Wesent- und einen glaubhaften und eigenen USP für die deut-
liche Lebensbereiche werden in den kommenden Jah- sche Wirtschaft auf den technischen M ärkten etablie-
ren grundlegend digitalisiert und bieten die Option, von ren. Die deutsche Wirtschaft kann in Kooperation mit
Grund auf sichere Technologien zu entwickeln, ökono- dem Bund viele sinnvolle Entwicklungs- und Investiti-
misch zu skalieren und als Standards zu etablieren: die onsvorhaben umsetzen, allerdings muss die Effektivität
Verkehrssysteme, das Gesundheitswesen, die Energie- der Sicherheitstechnik belegbar werden und der IT-
versorgung, kommunale Infrastrukturen, staatliche Sicherheitsmarkt muss sehr viel dynamischer entwickelt
Dienstleistungen. werden.
Schon der Koalitionsvertrag von CDU/CSU und SPD
im Jahr 2013 hatte die Cybersicherheit prominent
2. Ziele
Die Cybersicherheitspolitik einer neuen Koalition im festgehalten werden: (1) Safety First – Schutzmechanis-
Bund sollte sechs Schwerpunkte setzen: men für Leib und Leben (Safety) dürfen in keiner Weise
digital angreifbar sein. Ihre Cybersicherheit muss prio-
(a) Beweisbar sichere Technologien fördern risiert und darf nur durch belegbar sichere Technolo-
Nur mit einer langfristig angelegten Politik der Forde- gien als erfüllbar gelten. (2) Der Schutz von IT-
rung und Förderung sicherer Technologien kann das Systemen gegen Angriffe und der Schutz gegen Unfälle
Problem der Cybersicherheit gelöst werden. Die For- muss gleich hoch sein, die Schutzziele beider Sicherhei-
schungsanstrengungen und die Förderung der Industria- ten müssen kohärent sein.
lisierung hochsicherer Lösungen müssen erheblich ver-
stärkt werden. Kern müssen Technologien und Systeme (c) Sicherheit in Großprojekten der
mit beweisbarer Sicherheit darstellen. Hype-Themen Digit alisierung kohärent fest legen
wie Big Data, KI oder Blockchain, die eher undeutlich Digitalisierungsprojekte des Staates und der Wirtschaft
oder kleine Beiträge zur Reduzierung der Cyberrisiken sollten auf sicheren Architekturen beruhen und eine
leisten, müssen kompetenter bewertet werden. Nutzung hochsicherer Technologien vorsehen. Das be-
trifft beispielsweise die Digitalisierung von Verkehrssys-
(b) IT-Sicherheit von Produkten geset zlich temen, Gesundheitsversorgung, Energieversorgung, Ge-
vorschreiben bäudetechnik und Industrieanlagen. Einer staatlichen
Die Verwundbarkeit der IT entsteht durch schlechte Förderung von M arktlösungen mit besonders hohem Si-
technische Qualität, die weitgehend vermeidbar wäre, cherheitsniveau sollte der Vorzug vor Eigenentwicklun-
deren Vermeidung allerdings kostenintensiv ist. Die gen gegeben werden. Investitionen in Digitalisierungs-
mangelnde Regulierung dieser Qualitätsdefizite spart projekte des Staates sollten zugleich die parallele
der IT-Industrie Entwicklungskosten auf Kosten der Si- Entwicklung besonders vielversprechender IT-
cherheit der privaten und industriellen IT-Anwender. Sicherheitstechnologien fördern, so dass deren bessere
Die Haftung für mangelnde Qualität muss daher ver- Skalierung und Abnahme im M arkt gewährleistet wird.
schärft werden, verfügbare M ethoden der Qualitätssi-
cherung und der Vermeidung von Schwachstellen ge- (d) Cy berabwehr besser koordinieren
setzlich vorgeschrieben werden. Die Kompetenzstreitigkeiten bei der Cyberabwehr soll-
Für die Digitalisierung von Technologien mit Gefah- ten durch eine neu definierte gemeinsame Struktur von
renpotential für Leib und Leben müssen zwei Prinzipien
Seite 7 von 10DSI Industrial & Policy Recommendations (IPR) Series
Cybersicherheit 2018-2020: Handlungsvorschläge für CDU/CSU und SPD
Bund (einschließlich Bundeswehr), Ländern und Wirt- (f) Int ernationale Vorreiterrolle in Sicherheit
schaft gelöst werden. Es ist zu früh, eine abschließende und Dat enschutz
und langfristige Definition der Cybersicherheitsarchi- Nach dem Scheitern der UNO-Bemühungen um Verbind-
tektur zu finden. Daher sollten die bisherigen Struktu- lichkeit in der internationalen Cybersicherheit sollte
ren erhalten, jedoch besser (und straffer) koordiniert sich Deutschland gemeinsam mit Frankreich, unseren
werden. Die Zusammenarbeit mit der Wirtschaft sollte europäischen Partnern und anderen Staaten um bilate-
auch operativ massiv ausgebaut werden. rale Abkommen für verantwortungsvolles Verhalten der
Staaten im Cyberraum mit einer eigenen Normenpolitik
(e) Offensive Fähigkeiten aktiv adressieren bemühen. Wir könnten den Startschuss geben für eine
Cyberwaffen sind – richtig entwickelt und gebraucht – verstärkte internationale Akzeptanz von Regeln im Cy-
ideale, nicht-letale militärische Wirkmittel. Sie können berraum. Dazu gehört auch die stärkere Verankerung
entscheidende Beiträge liefern, Konflikte frühzeitig zu des Schutzes der Privatheit in der internationalen Cy-
vermeiden oder technisch undurchführbar zu machen. berpolitik. Datenschutz muss als M enschenrecht aner-
Hohe Abschreckungspotentiale oder über einen Cy- kannt, digitale Überwachungsstaaten von der Außenpo-
berangriff abgeschaltete Waffensysteme helfen Kriege litik sichtbar gemacht und angeklagt werden.
weniger gewaltsam zu machen. In der Strafverfolgung
und nachrichtendienstlichen Aufklärung können Fähig-
keiten des gezielten Hacking, eingebettet in sorgfältig
gesetzten Befugnissen, eine hohe Zahl wertvoller Er-
kenntnisse liefern und helfen Verbrechen aufzuklären,
zu vermeiden und Schäden zu reduzieren.
3. Handlungsfelder
Zur Erreichung der oben genannten Ziele werden für die Sicherheitsunternehmen schaffen. Voraussetzung sind
Koalitionsvereinbarung von CDU/CSU und SPD zehn belegbare Sicherheitseigenschaften der Produkte.
Handlungsfelder vorgeschlagen:
(b) Sichere Architekturen für die
(a) Sichere Technologien Digit alisierung
1. Wir werden die Hersteller von Hardware und Soft- 3. Wir werden Anbieter vertrauenswürdiger, europäi-
ware verpflichten, dem Einsatzzweck entsprechende, schem Datenschutz- und IT-Sicherheitsrecht in beson-
belegbar sichere Sicherheitsmaßnahmen zu ergreifen derem M aße entsprechender Dienste fördern und diese
sowie für die Sicherheit ihrer Produkte längerfristig ein- bei staatlicher Beschaffung und in Infrastrukturprojek-
zustehen, insbesondere Sicherheitsupdates und Sicher- ten (z.B. Verkehr, Gesundheit, Bildung, Energie) bevor-
heitsinformationen bereitzustellen. Wer Geräte her- zugt berücksichtigen. Für staatliche Anwendungen wer-
stellt oder vertreibt, die zum Anschluss an das Internet den Vertrauens- und Zahlungsdienste europäischer
gedacht sind, muss besondere Sorgfalt obwalten lassen. Anbieter genutzt.
Die IT-Sicherheit digitaler Systeme mit Gefährdungspo- 4. Wir werden das IT-Sicherheitsrecht um weitere
tential für Leib und Leben muss auf belegbar sicheren Branchen erweitern und auch die öffentliche Verwal-
Ankern beruhen. tung einbeziehen. Für IT-Systeme für wichtige staatli-
2. Wir werden die Förderung der Forschung und Ent- che Funktionen (z.B. Wahlen, Steuerverwaltung) sollen
wicklung hochsicherer, insbesondere beweisbarer IT- Sicherheitsbewertungen transparent gemacht werden.
Systeme erheblich ausbauen und in allen IT- 5. Wir werden ein KfW-Förderprogramm „IT-
Förderprogrammen die Berücksichtigung von Hochsi- Sicherheit der Industrie“ aufsetzen, welches nach dem
cherheit begünstigen. Unternehmen, die nachvollzieh- Vorbild der Förderprogramme zur Energieeinsparung
bare Planungen zur M arkteinführung hochsicherer Lö- mit Beratungsleistungen, Investitionszuschüssen und
sungen vorlegen, werden mit Investitionszuschüssen zinsverbilligten Darlehen IT-Sicherheitsmaßnahmen in
und Ausfallbürgschaften gefördert. Wir werden Anreize Unternehmen unterstützt. Dabei begünstigen wir Hoch-
für Investoren zur Beteiligung an IT- sicherheitstechnologien.
Seite 8 von 10DSI Industrial & Policy Recommendations (IPR) Series
Cybersicherheit 2018-2020: Handlungsvorschläge für CDU/CSU und SPD
(c) Cy berabwehr besser koordinieren für ihre Aufgaben nutzen, soll dies in einen gesetzlich
6. Die Cyberabwehr werden wir gemeinsam mit den geregelten Abwägungsprozess eingebunden sein.
Ländern und der Wirtschaft umfassend neu organisie-
ren. Wir stärken Polizeien, Nachrichtendienste und BSI (d) Spit zenkompetenz für Cy bersicherheit
in der Weiterentwicklung ihrer Cyberfähigkeiten und 9. Der Bund wird den Ländern, der Wirtschaft und den
schaffen gleichzeitig eine Koordinierungseinheit für Cy- Gewerkschaften ein Programm zur Förderung von Spit-
berabwehr mit eigenem Personalkörper, in welche die zenkompetenz in der Cybersicherheit vorschlagen, das
Bundeswehr, Sicherheitsbehörden des Bundes und der Ausbildung, Weiterbildung, gemeinsame Personalent-
Länder sowie Gemeinschaftseinrichtungen der Wirt- wicklung, Personaltausch zwischen Staat und Wirt-
schaft eingebunden sind. In ihr gehen die bisherigen Zu- schaft sowie Ausnahmeregelungen im Dienst- und Tarif-
sammenarbeitsstrukturen auf. recht umfasst.
7. Wir schaffen eine gesetzliche Grundlage für die
Sicherheitsbehörden des Bundes, zur Abwehr konkre- (e) Int ernationale Vorreiterrolle
ter, von einem Cyberangriff ausgehender Gefahren für 10. Deutschland wird gemeinsam mit Frankreich, unse-
Leib und Leben oder die freiheitlich demokratische ren europäischen und anderen internationalen Partnern
Grundordnung, aktive M aßnahmen der Cyberabwehr zu einen M usterkodex für verantwortliches staatliches Ver-
ergreifen. Bundeswehr und Sicherheitsbehörden wer- halten im Cyberraum entwickeln und in bilaterale Ver-
den ihre offensiven Fähigkeiten in enger Abstimmung handlungen und multilaterale Vereinbarungen einbrin-
miteinander und unter Beteiligung des Deutschen Bun- gen. Der Kodex wird auch eindeutige Absagen an
destages und unabhängiger Experten ausbauen. menschenrechtswidrige M assenüberwachungen und
8. Die Nutzung von Schwachstellen in Hardware und propagandistische M anipulationen demokratischer Pro-
Software schafft erhebliche Risiken für die Cybersicher- zesse enthalten.
heit. Soweit staatliche Stellen solche Schwachstellen
Anhang
Koalit ionsvertrag von CDU/CSU und SPD 2013, Aussagen zur IT-Sicherheit
Was wurde nicht, teilweise, ganz umgesetzt?
Eine zentrale M eldestelle für Phishing und ähnliche De- Wir bauen die Kapazitäten des Bundesamtes für Si-
likte soll die Prävention verbessern und Ermittlungen cherheit in der Informationstechnik (BSI) und auch des
erleichtern.
Cyber-Abwehrzentrums aus. Wir verbessern die IT-
IT-Infrastruktur und digitaler Datenschutz Ausstattung der deutschen Sicherheitsbehörden.
Wir schaffen ein IT-Sicherheitsgesetz mit verbindlichen Um Bürgerdaten besser zu schützen und zu sichern,
M indestanforderungen an die IT-Sicherheit für die kriti- werden wir die Bündelung der IT-Netze des Bundes in
schen Infrastrukturen und der Verpflichtung zur M el- einer einheitlichen Plattform „Netze des Bundes“ an-
dung erheblicher IT-Sicherheitsvorfälle. Dafür setzen streben. IT- und TK-Sicherheit wollen wir zusammen-
wir uns auch auf der EU-Ebene im Rahmen der europä-
ischen Cybersicherheitsstrategie ein. führen.
Um Freiheit und Sicherheit im Internet zu schützen, Die Bundesbehörden werden verpflichtet, zehn Pro-
stärken und gestalten wir die Internet-Infrastruktur zent ihrer IT-Budgets für die Sicherheit ihrer Systeme
Deutschlands und Europas als Vertrauensraum. Dazu zu verwenden.
treten wir für eine europäische Cybersicherheitsstrate- Um Vertrauen wieder herzustellen müssen die Stan-
gie ein, ergreifen M aßnahmen zur Rückgewinnung der dardisierungsgremien transparenter werden. Zudem
technologischen Souveränität, unterstützen die Ent- muss sich Deutschland stärker in diesen und anderen in-
wicklung vertrauenswürdiger IT- und Netz-Infrastruktur ternationalen Gremien beteiligen, besonders solchen
sowie die Entwicklung sicherer Soft- und Hardware und der Internetarchitektur und Internet-Governance.
sicherer Cloud-Technologie und begrüßen auch Ange-
bote eines nationalen bzw. europäischen Routings.
Seite 9 von 10DSI Industrial & Policy Recommendations (IPR) Series
Cybersicherheit 2018-2020: Handlungsvorschläge für CDU/CSU und SPD
Wir prüfen, inwieweit ein Ausverkauf von nationaler Sicherheitstechnologien bei den Bürgerinnen und Bür-
Expertise und Know-how in Sicherheits-Schlüsseltech- gern.
nologien verhindert werden kann. Die Weiterentwicklung und Verbreitung von Chip-
Wir initiieren ein Spitzencluster „IT-Sicherheit und kartenlesegeräten, Kryptographie, DE-M ail und siche-
kritische IT-Infrastruktur“. ren Ende-zu-Ende-Verschlüsselungen sowie vertrauens-
Um zu gewährleisten, dass die Nutzerinnen und Nut- würdiger Hard- und Software gilt es erheblich
zer über die Sicherheitsrisiken ausreichend informiert auszubauen.
sind, sollen Internetprovider ihren Kunden melden, IT-Hersteller und -Diensteanbieter sollen für Daten-
wenn sie Hinweise auf Schadprogramme oder ähnliches schutz- und IT-Sicherheitsmängel ihrer Produkte haf-
haben. Darüber hinaus streben wir einen sicheren ten.
Rechtsrahmen und eine Zertifizierung für Cloud-Infra- Wir wollen das vom Bundesverfassungsgericht ent-
strukturen und andere sicherheitsrelevante Systeme wickelte Grundrecht auf Gewährleistung der Vertrau-
und Dienste an. lichkeit und Integrität informationstechnischer Systeme
Zur Wahrung der technologischen Souveränität för- mit Leben füllen. Die Nutzung von M ethoden zur Ano-
dern wir den Einsatz national entwickelter IT- nymisierung, Pseudonymisierung und Datensparsamkeit
müssen zu verbindlichen Regelwerken werden.
Die DSI Industrial & Policy Recommendations (IPR) Series wird herausgegeben vom Digital Society Institute der ESMT
Berlin, http://dsi.esmt.org.
© 2018 ESM T European School of M anagement and Technology GmbH.
Diese Veröffentlichung darf frei verbreitet werden zu den Bedingungen der CreativeCommons Lizenz Attribution-
NonCommercial-NoDerivatives 4.0 International. https://creativecommons.org/licenses/by-nc-nd/4.0/
Seite 10 von 10You can also read
