3. Cybersicherheitsarchitektur modernisieren

Typ: Artikel , Schwerpunktthema: cio-bund

Cybersicherheit ist die zentrale Voraussetzung für eine gelungene Digitalisierung in Staat, Wirtschaft und Gesellschaft. Die stetig wachsende Bedrohungslage unterstreicht die Bedeutung dieses Themas weiter. Wir sorgen für eine effektive und effiziente Aufstellung im Cyberraum und ein höchst­mögliches Schutzniveau in der Cybersicherheit. Dazu passen wir die gesetzlichen und organisatorischen Voraussetzungen an, stärken das Bundesamt für Sicherheit in der Informationstechnik und modernisieren die staat­lichen Netzinfrastrukturen unter Beachtung der föderalen Zuständigkeiten.

1. Förderung der Digitalen Souveränität

Ziel des Projektes:
Als Querschnittsaufgabe im Bereich der Cybersicherheit wird die Förderung der digitalen Souveränität unter anderem über folgende Handlungsstränge verfolgt:

  • Die Sicherheit und technologische Souveränität von 5G-Mobilfunknetzen soll durch die Prüfung der Vertrauenswürdigkeit von Herstellern kritischer Komponenten verbessert werden.
  • die Agentur für Innovation in der Cybersicherheit (Cyberagentur) auf die Entwicklung von disruptiven Technologien zum Nutzen der Äußeren und Inneren Sicherheit hin. Dazu beauftragt die Cyberagentur unter anderem Forschungsprojekte in den Bereichen Sichere Gesellschaft, Sichere Systeme und Schlüsseltechnologien. BMI führt gemeinsam mit BMVg das Beteiligungsmanagement der Cyberagentur aus.

Projekt abgeschlossen

Aktueller Umsetzungsstand:
Im Bereich Prüfung der Sicherheit und technologischen Souveränität von 5G-Mobilfunknetzten hat das BMI nach umfangreichen Ermittlungen für die Bundesregierung in den vergangenen Wochen individuelle Verhandlungen mit den Mobilfunkbetreibern Deutsche Telekom, Vodafone und Telefónica geführt. Die Verhandlungen über den weiteren Einsatz kritischer Komponenten in den 5G-Mobilfunknetzen konnte das BMI nun mit einer Einigung abschließen. Öffentlich-rechtliche Verträge mit allen drei Betreibern werden aktuell unterzeichnet.  Die Verträge verpflichten die Mobilfunkbetreiber, bis spätestens Ende 2026 keine kritischen Komponenten der Hersteller Huawei und ZTE mehr in ihren 5G-Kernnetzen einzusetzen. Außerdem sind die Mobilfunkbetreiber verpflichtet, bis Ende 2029 die kritischen Funktionen der 5G-Netzwerkmanagementsysteme der Hersteller Huawei und ZTE in ihren Zugangs- und Transportnetzen des 5G-Mobilfunknetzes durch technische Lösungen anderer Hersteller zu ersetzen.

Die Cyberagentur wurde 2020 gegründet. Nach dem erfolgreichen Aufbau der Agentur werden zunehmend Forschungsprojekte beauftragt bzw. stehen vor der Beauftragung. Mit einer ersten Beauftragung im Themenfeld Gehirn-Computer-Schnittstellen sollen Erfahrungen im Bereich der sicheren Mensch-Maschine-Interaktion gesammelt werden.

2. Ausbau des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu einer Zentralstelle im Bund-Länder-Verhältnis

Ziel des Projektes:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zur Zentralstelle im Bereich der IT-Sicherheit ausgebaut werden, um die föderale Zusammenarbeit deutlich zu vertiefen. Eine Zentralstelle erlaubt, dass Bund und Länder auf Dauer angelegt und institutionalisiert kooperieren. Dies umfasst die laufende gegenseitige Unterrichtung und Auskunftserteilung, die wechselseitige Beratung sowie gegenseitige Unterstützung und Hilfeleistung sowie organisatorische Verbindungen, gemeinschaftliche Einrichtungen und gemeinsame Informationssysteme zwischen Bund und Ländern. Zur Umsetzung ist eine Änderung des Grundgesetzes und des BSIG erforderlich.

Projektstatus Rot

Aktueller Umsetzungsstand:
Zur Grundgesetzänderung werden Gespräche im parlamentarischen Raum und mit den Ländern geführt. Die Fortführung des Vorhabens ist abhängig vom Ausgang dieser Gespräche.

3. Weiterentwicklung der Nationalen Cybersicherheitsstrategie für Deutschland 2021

Ziel des Projektes:
Der Koalitionsvertrag (KoaV) sieht eine Weiterentwicklung der auf fünf Jahre angelegten Cybersicherheitsstrategie für Deutschland 2021 (CSS) vor. Diese wurde im September 2021 vom Kabinett beschlossen und ist damit grundsätzlich weiter gültig. Die durch den KoaV beabsichtigten Änderungen im Bereich Cybersicherheit, die Zeitenwende, aber auch die Anforderungen aus der NIS-2-Richtlinie sollen durch Weiterentwicklung der bestehenden Strategie berücksichtigt werden. Außerdem muss die Strategie kongruent zur Nationalen Sicherheitsstrategie des AA sein.

Projektstatus gelb

Aktueller Umsetzungsstand:
Anfang 2023 wurde mit der Weiterentwicklung der Strategie und den Abstimmungen zwischen BSI, BMI und den beteiligten Ressorts begonnen. Der Abstimmungsprozess dauert an.

4. Digitale Innovationen und digitale Infrastruktur: Fortentwicklung der Vorgaben zur Informationssicherheit

Ziel des Projektes:
Die Vorgaben der Informationssicherheit für die Bundesverwaltung müssen aufgrund struktureller Veränderungen in der Bundesverwaltung aktualisiert und fortentwickelt werden. Dies umfasst sowohl eine Überarbeitung des UP Bund als auch die Weiterentwicklung der Mindeststandards Bund und des IT-Grundschutzes.

Projektstatus grün

Aktueller Umsetzungsstand:
Die Überarbeitung des UP Bund ist abhängig von den Inhalten des NIS-2-Umsetzungs-und-Cybersicherheitsstärkungsgesetzes, für das nach dem Beschluss des Regierungsentwurfs durch die Bundesregierung im Juli 2024 die parlamentarische Befassung erfolgt. Die Weiterentwicklung der Mindeststandards Bund und des IT-Grundschutzes wird durch das BSI verfolgt.

5. Einrichtung der Funktion CISO Bund

Ziel des Projektes:
Im Zuge der Umsetzung der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union ("NIS-2 Richtlinie") in nationales Recht soll für die Ebene der Bundesverwaltung ein Chief Information Security Officer (CISO Bund) gesetzlich festgeschrieben werden.

Projektstatus grün

Aktueller Umsetzungsstand:
Die Einrichtung der Funktion des CISO Bund ist im Rahmen des "Entwurf[s] eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" ("NIS2UmsuCG")  vorgesehen, für das nach dem Beschluss des Regierungsentwurfs durch die Bundesregierung im Juli 2024 die parlamentarische Befassung erfolgt.

6. Stärkung der Informationssicherheit in den Bundesbehörden

Ziel des Projektes:
Um der gestiegenen Bedrohungslage zu begegnen und das Informationssicherheitsniveau der Bundesverwaltung zu steigern, ist ein Verstärkungsprogramm zum Umbau der IT-Sicherheitsarchitektur des Bundes geplant. Auf operativer Ebene sollen die Umsetzungskapazitäten der Cybersicherheit und des BSI ausgebaut werden; zentral durch den Aufbau eines "Kompetenzzentrums Operative Sicherheitsberatung Bund" (KoSi Bund) sowie dezentral durch die Schaffung einer gesetzlichen Grundlage für die Rolle der Informationssicherheitsbeauftragten der Bundesverwaltung. Damit das Informationssicherheitsniveau der Bundesverwaltung nachweisbar gestärkt werden kann, ist als Teil des Verstärkungsprogramms auf Basis der Kontrollrechte des BSI nach § 4a BSI-Gesetz ein erhöhtes Maß an "geprüfter Sicherheit" sukzessive risikobasiert in der Bundesverwaltung zu etablieren.

Projektstatus grün

Aktueller Umsetzungsstand:
Ein Konzept zur Einrichtung eines KoSi Bund sowie ein Prüfkonzept zu § 4a BSI-Gesetz wurden bereits erstellt. Der Aufbau des KoSi Bund musste zurückgestellt werden. Die ersten Pilotprüfungen nach § 4a BSI-Gesetz werden derzeit durchgeführt; flächendeckende Prüfungen sind derzeit nicht realistisch. Für das laufende Jahr ist die gesetzliche Verankerung der Rolle der Informationssicherheitsbeauftragten im Rahmen des NIS2-Umsetzungs-und-Cybersicherheitsstärkungsgesetzes geplant, für das nach dem Beschluss des Regierungsentwurfs durch die Bundesregierung im Juli 2024 die parlamentarische Befassung erfolgt.