Cybersicherheit hat sich als zentraler Bestandteil der deutschen Innen- und Außen- sowie der Sicherheits- und Verteidigungspolitik etabliert. Im Laufe der Zeit hat sich ein dichtes Akteursnetzwerk mit zahlreichen Verknüpfungen auf nationaler und internationaler Ebene herausgebildet. Wir haben es uns zur Aufgabe gemacht, dieses komplexe Ökosystem zu kartografieren und verständlich aufzubereiten. Wir sind davon überzeugt, dass ein umfassender Überblick über die Akteurslandschaft eine wichtige Voraussetzung ist für eine kluge, strukturierte und nachhaltige Cybersicherheitspolitik.
Die ersten Grundsteine der deutschen Cybersicherheitsarchitektur wurden bereits Ende der 1980er-Jahre mit der Einrichtung einer sich mit IKT-Sicherheit befassenden Arbeitsgruppe und der nachfolgenden Gründung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Jahre 1991 gelegt.
Seitdem hat sich einiges getan: Cybersicherheit ist für die deutsche Außen- und Innen- sowie auch die Sicherheits- und Verteidigungspolitik ein elementarer Bestandteil geworden, was sowohl zu der Entstehung vieler neuer (inter)nationaler Akteure als auch dem Wachstum von untereinander bestehenden Verbindungen geführt hat. In den öffentlichen Fokus geriet die deutsche Cybersicherheitspolitik insbesondere im Jahr 2011 durch die Veröffentlichung der ersten Cybersicherheitsstrategie für Deutschland, die in den Jahren 2016 und 2021 aktualisiert wurde.
Keine der drei bisherigen Cybersicherheitsstrategien beinhaltet dabei eine grafische oder anderweitige Übersicht über die immer komplexer werdende Architektur deutscher Behörden mit Aufgaben und Kompetenzen sowie ihren relevanten internationalen Schnittstellen und Verbindungen im Cyberraum. Erstmalig wurde 2020 durch das Bundesministerium des Innern, für Bau und Heimat (BMI) im Rahmen des Nationalen Pakts Cybersicherheit (NPCS) eine Auflistung von Akteuren und Initiativen im Bereich der Cybersicherheit aus Staat, Zivilgesellschaft, Wissenschaft und Wirtschaft als Online-Kompendium vorgelegt, seither jedoch nicht erneut aktualisiert.
Für eine effektive und effiziente deutsche Aufstellung im Cyberraum bleibt, gerade auch vor dem Hintergrund begrenzter Ressourcen, eine strukturierte politische Herangehensweise unverzichtbar. Im Rahmen unserer Arbeit zu Cybersicherheitspolitik bei Interface (ehm. Stiftung Neue Verantwortung) möchten wir hierzu einen Beitrag leisten und stellen in dieser seit 2018 bestehenden und kontinuierlich überarbeiteten sowie aktualisierten Publikation folgende Inhalte zur Verfügung:
Die Cybersicherheitsarchitektur eines Landes beinhaltet alle Akteure – Behörden, Plattformen, Organisationen usw. – die gemäß der nationalen Definition von Cybersicherheit ein Teil des (inter)nationalen Ökosystems sind.
Dieser Datensatz hat dabei den Anspruch, jeweilige Ebenen für den Bereich der Cybersicherheitspolitik so umfassend und vollständig wie möglich und als sinnvoll erachtet darzustellen. Zur Aufnahme eines Akteurs innerhalb der internationalen Ebenen (EU, NATO, UN und Weitere) ist die Identifikation einer Verbindung mit Akteuren innerhalb der deutschen Ebenen (Bundes-, Länder- und Kommunalebene) idealerweise vorhanden, stellt aber kein Ausschlusskriterium dar. In der vorliegenden Veröffentlichung führen wir dabei nur den staatlichen Teil der Cybersicherheitsarchitektur auf, das bedeutet alle staatlichen und die direkt damit verbundenen Akteure.
In Fällen, in denen es für einen Akteur deutsche und englische offizielle Abkürzungen gibt, werden in dieser Publikation bewusst die deutschen Pendants verwendet. Erläuterungen für alle hier genannten Akteure finden sich auf den jeweiligen Ebenen und unter entsprechenden Suchkriterien in alphabetischer Reihenfolge im Akteursverzeichnis. Kursiv gedruckte Institutionen befinden sich entweder in der Planung oder im Aufbau.
Unter Policies werden hierbei beispielsweise auf Bundes-, Länder-, Kommunal- und EU-Ebene relevante Gesetzgebung und Strategien oder auf internationaler Ebene anderweitig relevante wichtige Dokumente wie beispielsweise Konventionen oder Abschlussberichte verstanden. In Einzelfällen können weitere Formen von Policy-Outputs als sinnvolle Aufnahme bewertet werden. Das angegebene Jahr bezieht sich in Fällen mehrerer Optionen auf das Inkrafttreten oder die letzte Änderung.
Die identifizierten Verknüpfungen repräsentieren unterschiedliche Beziehungsaspekte und rangieren von der Entsendung von Mitarbeiter:innen in die verknüpfte Organisation über eine Mitgliedschaft im Beirat sowie finanziellen Zuwendungen bis hin zur Fach- und Rechtsaufsicht.
Zusätzlich zu der Beschreibung der Akteure und Erklärung ihrer Verbindungen, ermöglicht die Kategorisierung einen vertieften und transparenten Ein- und Überblick in die deutsche Cybersicherheitsarchitektur. Darüber hinaus können beispielsweise gemeinsame Handlungsfelder unterschiedlichster Akteure identifiziert und diese dadurch entsprechenden Clustern zugeordnet werden.
Akteuren sind einer oder mehrerer dieser sechs Kategorien zugeordnet:
Akteure, die Aus- und Weiterbildungsangebote, -formate oder -plattformen für verschiedene Zielgruppen organisieren bzw. zur Verfügung stellen. Dieser Wissensaustausch und -transfer kann u.a. Trainings, Kurse oder Fortbildungen in den Bereichen Cybersicherheit oder -verteidigung umfassen.
Akteure, die aktiv in die Forschung von IT- und cybersicherheitsrelevanten Themen involviert sind, beispielsweise als Forschungsinstitut, oder diese von außen durch entsprechende Förderung, u.a. durch die Finanzierung von Kompetenzzentren oder die Etablierung bzw. das Management von inhaltlich relevanten Forschungsprogrammen, unterstützen.
Akteure, die sich dem Teilen von Informationen, und/oder der Vernetzung, und/oder der Verbesserung von Beziehungen sowie der Zusammenarbeit zur Stärkung von IT- und Cybersicherheit verschrieben haben. Entsprechende Foren und Netzwerke können mit thematischen Schwerpunkten, aber auch themenübergreifend mit unterschiedlichen Institutionalisierungsgraden etabliert sein.
Akteure, die an der Entwicklung und Vereinbarung von Normen, Standards und Zertifizierungen für auf IKT-basierten Anwendungen, Systemen und Netzwerken arbeiten, die IT- und cybersicherheitsrelevante Vorgaben beinhalten.
Akteure, die operativ Maßnahmen umsetzen, die zu mehr IT- und Cybersicherheit führen sollen, u. a. Prävention und Detektion von sowie Reaktion auf Vorfälle(n), Bekämpfung von Cyberkriminalität oder auch das Verhängen von Bußgeldern für die Missachtung von Richtlinien.
Akteure, denen die inhaltliche Politikgestaltung sowie die Festlegung von Policy-Zielen im Bereich der IT- und Cybersicherheit obliegt und zudem häufig die Verantwortung für die Erarbeitung relevanter Gesetzgebung, Richtlinien und/oder Strategien tragen. Die Entscheidungen und Outputs dieser Akteure stellen oftmals die Weichen für viele andere Akteure innerhalb der Cybersicherheitsarchitektur. Darüber hinaus fallen hierunter Akteure, die Inputs in politische Prozesse, wie zum Beispiel Beratung, liefern.
Basis dieser Veröffentlichung bilden fast ausschließlich öffentlich verfügbare Informationen. Wir freuen uns daher über jeden Hinweis. Änderungs- und Ergänzungsvorschläge können per Mail an Frederic Dutke oder am jeweiligen Akteurseintrag über die Funktion “Änderung vorschlagen” entrichtet werden. Die Inhalte werden auch künftig periodisch aktualisiert, um den neuesten Entwicklungsstand abzubilden und zusätzliche Erweiterungen vorzunehmen.