Liebe Leserinnen und Leser des BayWiDI-Blogs, das Team von BayWiDI 2.0 wünscht Ihnen ein frohes und erfolgreiches neues Jahr. Wir tun unser Möglichstes, dass es auch ein sicheres Jahr wird. Zu Beginn des neuen Jahres wollen wir Sie mit diesem Beitrag über die Trends und Meilensteine der Cybersecurity im Jahr 2023 informieren.
Die schlechten Nachrichten zuerst: Die 2022 vom BSI in ihrem Lagebericht der IT-Sicherheit in Deutschland festgestellte Bedrohungslage wird auch im neuen Jahr nicht besser. Viele Analyst:innen und Cybersicherheitsexpert:innen erwarten eine Zunahme der Angriffe, insbesondere unter Verwendung von Ransomware. Wichtiger Treiber dieser verschlechterten Sicherheitslage ist, dass sich mittlerweile ein ganzes wirtschaftliches Ökosystem an Cyberkriminalität gebildet hat, bei dem viele kriminelle Tätigkeiten inzwischen professionell zugekauft werden können (sog. Crime-as-a-Service). Im Threat Report 2023 des IT-Sicherheitsdienstleisters Sophos werden die zentralen Angebote in diesem Gebiet als „naughty nine“ aufgezählt. Auch der Fachkräftemangel im Bereich der Cybersecurity wird sich 2023 verschärfen und zunehmend zum eigenständigen Sicherheitsrisiko. Besonders mittelständische Firmen haben am Arbeitsmarkt Probleme, geeignete Expert:innen anheuern zu können. Doch gerade hier würden diese am dringendsten gebraucht.
2023 wird aber auch das Jahr, in dem die Politik der angestiegenen Bedrohungslage mit zahlreichen politischen Initiativen und Gesetzesvorschlägen zur Regulierung von IT-Sicherheit begegnen wird. Noch zum Ende des Jahres 2022 wurde die neue NIS 2-Richtlinie im Amtsblatt der Europäischen Union veröffentlicht. Sie zwingt den deutschen Gesetzgeber bis zum 17. Oktober 2024 zu einer Umsetzung der Vorgaben in deutsches Recht. Mit der Richtlinie werden große Teile volkswirtschaftlich bedeutender Wirtschaftssektoren wie die Herstellung elektronischer Geräte, der Fahrzeugbau und seine Zulieferer und der Maschinenbau zu kritischen Infrastrukturen und haben deshalb gesteigerte Anforderungen an ihre IT-Sicherheit zu erfüllen. Wie laut Tagesspiegel Background Cybersecurity am Rande der Jahresauftaktklausur der SPD-Bundestagsfraktion bekannt wurde, sollen Eckpunkte eines NIS2-Umsetzungsgesetz schon im ersten Halbjahr 2023 vorgestellt werden. Hierin soll auch eine gesetzliche Grundlage der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) geregelt werden.
Ein weiteres Projekt auf europäischer Ebene ist der 2022 von der EU-Kommission vorgeschlagene Cyber Resilience Act (CRA). Diese Verordnung stellt erstmals horizontal an alle Produkte mit digitalen Elementen Cybersicherheitsanforderungen für deren gesamten Lebenszyklus. Der CRA ist das vorerst „letzte Puzzlestück“ der europäischen IT-Sicherheitsregulierung und komplettiert die Regelungen des Cybersecurity Acts und der NIS 2-Richtlinie. Zentrale Pflichten der Hersteller von Produkten werden in Zukunft eine Updatepflicht und ein Schwachstellenmanagement ihrer Produkte sein. Bereits bei der Entwicklung von Produkten ist in Zukunft auf „Security by Design“ zu achten. 2023 wird dieses ambitionierte Gesetzesprojekt entscheidende Schritte im Gesetzgebungsverfahren machen und bei schneller Beratung und Umsetzung in wenigen Jahren zu einer verbesserten digitalen Produktsicherheit führen und womöglich einen globalen Standard setzen.
Auch auf nationaler Ebene ist viel Bewegung im IT-Sicherheitsrecht. Wohl als Erstes wird die derzeit vakante Stelle einer oder eines Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) neu besetzt werden. Im Anschluss daran steht die Neuordnung der staatlichen Cybersicherheitsarchitektur und die Stellung des BSI im Gefüge der Sicherheitsbehörden an. Im zweiten Halbjahr 2023 ist ein Eckpunktepapier des Bundesinnenministeriums (BMI) in Bundeskabinett zu erwarten, welches das BSI zur Zentralstelle der Sicherheitsbehörden von Bund und Ländern im Bereich der IT-Sicherheit ausbauen will. Für diese Aufgabenerweiterung müsste/muss das Grundgesetz geändert werden. In einem zweiten Schritt soll, wie bereits im Koalitionsvertrag von 2021 und der Cybersicherheitsagenda des BMI aus dem Sommer 2022 beschrieben, das BSI unabhängiger vom BMI werden, was Fachkreise bereits seit vielen Jahren fordern.
Bei den Themen des staatlichen Schwachstellenmanagements und der Konzeption einer aktiven Cyberabwehr durch die Behörden sind aktuell noch keine Entwürfe angekündigt, die Arbeit im Hintergrund läuft aber bereits und im Jahr 2023 darf man diesbezüglich spannenden Debatten entgegensehen. Nach Informationen aus der SPD-Bundestagsfraktion soll ein Eckpunktepapier zum Schwachstellenmanagement noch im ersten Halbjahr 2023 vorgestellt werden. Auch im Bereich der Außenpolitik ist die Cybersicherheit ein zentrales Thema. Zwar ist der Veröffentlichungszeitpunkt der nationalen Sicherheitsstrategie noch unklar, doch klar ist bereits heute, dass IT und Datensicherheit, etwa mit Ideen einer Datenbotschaft, eine wichtige Rolle einnehmen werden.
Cybersicherheit und physischer Schutz von Infrastrukturen hängt stark zusammen. Die Verletzlichkeit kritischer Infrastrukturen wurde durch zahlreiche Vorkommnisse im Jahr 2022 mehr als deutlich. Für einen gesamtheitlichen Schutz hat das BMI noch Ende 2022 Eckpunkte eines KRITIS-Dachgesetzes veröffentlicht. Hier ist 2023 mit einem Referentenentwurf zu rechnen. 2023 wird definitiv das Jahr der kritischen Infrastrukturen. Dies auch, weil bereits 2023 mit Arbeiten an der Umsetzung der NIS 2-Richtlinie in deutsches Recht begonnen werden muss, welche durch ein IT-Sicherheitsgesetz 3.0 im Jahr 2024 erfolgen könnte.