22. September 2025: Digitale Sicherheit ist nationale Sicherheit

Frau Plattner, 81 % der Bürger*innen erwarten, dass der Staat genauso stark gegen Cyberkriminalität vorgeht wie gegen analoge. Weitere 70 % sagen, dass der Staat mehr Geld in moderne und effektive Cybersicherheitsmaßnahmen investieren müsse. Trotz einer großen Sorge, dass Cyberangriffe die staatliche Funktionsfähigkeit beeinträchtigen könnten (69 %), vertrauen nur rund ein Viertel der Bürger*innen der Fähigkeit staatlicher Institutionen, sich gegen Cyberangriffe zu schützen. Wo verorten Sie die Hauptursachen für diese Vertrauenslücke zwischen hohen Erwartungen und vergleichsweise geringem Zutrauen in die staatliche Cyberresilienz? Wie lässt sich das Vertrauen der Bevölkerung in die Cybersicherheitsmaßnahmen des Staates und seiner Behörden im Sinne einer nachhaltigen Digitalisierung stärken?

Dass sich Deutschland im Cyberraum resilienter aufstellen muss, liegt auf der Hand. Nicht umsonst haben wir als BSI dazu aufgerufen, in einer gesamtstaatlichen Anstrengung die Cybernation Deutschland zu bauen und dabei als eines von sechs übergeordneten Zielen dieser  Strategie die Cyberresilienz unseres Landes spürbar zu erhöhen. Wir haben es mit einer anhaltend angespannten Bedrohungslage zu tun, die vor dem Hintergrund der aktuellen politischen Konfliktlagen immer komplexer wird.

Im breiten Spektrum von Cyber Aggression erleben wir nämlich nicht nur Cyber Crime, also Straftaten im digitalen Raum, die vorrangig aus finanziellen Motiven begangen werden: Wir sind auch mit Cyber Conflict – staatlich gelenkten Angriffen mit ideologischem, politischem oder militärischem Kontext – konfrontiert, und dabei liegen Spionage und Sabotage zumeist nur einen Klick entfernt. Des Weiteren müssen wir uns zunehmend den Herausforderungen stellen, die Cyber Dominance mit sich bringt. Dabei geht es um den Einfluss, den Hersteller digitaler Produkte über den Zugriff auf Daten, Informationen und Funktionen ausüben und so unsere Digitale Souveränität bedrohen. Die Bürger*innen liegen also richtig, wenn sie hier von einem großen Nachholbedarf ausgehen. Dem spürbaren Vertrauensverlust kann man aus meiner Sicht nur durch Anpacken und Machen entgegenwirken. Was auch helfen könnte, wären klarere und besser verstehbare Zuständigkeiten in Sachen Cybersicherheit.

Zeitgleich zu einer großen Sorge vor Cybersicherheit haben nur 25 % der Bürger*innen in den letzten 12 Monaten selbst aktiv nach Informationen gesucht, wie sie ihre digitalen Geräte, Daten oder Online-Identitäten vor Cyberangriffen schützen können. Was hindert Bürger*innen Ihrer Meinung nach daran, sich stärker eigeninitiativ mit ihrer persönlichen Cybersicherheit auseinanderzusetzen?

Im aktuellen Cybersicherheitsmonitor – das ist eine repräsentative Befragung von Verbraucher*innen, die wir jedes Jahr gemeinsam mit der polizeilichen Kriminalprävention durchführen – mussten wir feststellen, dass das Informationsverhalten in der Bevölkerung rund um das Thema Cybersicherheit eine leicht rückläufige Tendenz zeigt. Dabei suchen die meisten nach Handlungsempfehlungen für den Ernstfall. Die große Mehrheit kennt zwar verschiedene Schutzmaßnahmen, wendet aber nur wenige an, weil sie als zu kompliziert empfunden werden. Außerdem hält die Mehrheit der Befragten ihr Risiko, persönlich von Cyberangriffen betroffen zu sein, für gering. Es macht sich also eine gefährliche Sorglosigkeit mit Blick auf die persönliche Sicherheit breit. Ähnliches beobachten wir übrigens in der Wirtschaft. 

Mit Blick auf passive Informationen gaben 48 % der Bürger*innen an, dass sie keine Informationen zur Cybersicherheit erhalten hätten. Knapp ein Fünftel haben Informationen über die Cybersicherheit von Anbietern digitaler Dienste und 14 % von ihren Arbeitgeber*innen, Universitäten oder Schulen erhalten. Wie kann Cybersicherheit in der breiten Gesellschaft stärker als Alltagskompetenz etabliert werden?

Cybersicherheit auf die Agenda zu heben ist das allererste der sechs Ziele, die wir uns im Rahmen der Cybernation Deutschland gesteckt haben. Man kann die Relevanz dieser Maßnahme nicht oft genug betonen, und wir als BSI tun mit gezielten, kanalübergreifenden Informations- und Sensibilisierungsangeboten unser Möglichstes, die entsprechenden Botschaften in die Welt zu tragen. Aber wie immer bei disruptiven Veränderungen kann auch diese nur im Schulterschluss zwischen Staat, Wirtschaft, Wissenschaft und Zivilgesellschaft gelingen. Ich bin der Meinung, dass ein Bewusstsein für Gefahren im digitalen Raum schon in der Grundschule geschaffen werden und dann über den gesamten Bildungsweg – sowohl im Berufs- als auch im Privatleben – weiterentwickelt werden muss.

Bleiben wir bei der Stärkung der persönlichen Cybersicherheit. Nur ein geringer Anteil der Bürger*innen (7 %) hat in den letzten 12 Monaten Informationen über die Cybersicherheit von staatlichen Stellen bekommen. Welche Rolle kann das Bundesamt für Sicherheit in der Informationstechnik in diesem Zusammenhang spielen? Und wie können Informationsangebote so gestaltet werden, dass sie möglichst viele Bürger*innen erreichen?

Wir als BSI üben unser Mandat für den Digitalen Verbraucherschutz rund um die Uhr in Form zielgruppengerechter Informationsangebote aus. Dazu sind wir sowohl in den klassischen Medien als auch in den Sozialen Netzwerken präsent. Neben unserer Sensibilisierungsarbeit ist es jedoch unser Anspruch, nicht nur auf die Eigenverantwortung der Bevölkerung setzen, sondern die Menschen im Netz aktiv zu schützen! Dies tun wir aktuell zum Beispiel mit einer breiten Aktionskampagne zur E-Mail-Sicherheit in Deutschland, die wir gemeinsam mit den Digitalverbänden bitkom und eco durchführen. Ziel ist es, den E-Mail-Verkehr in Deutschland in der Fläche sicherer zu machen. Dazu haben wir Unternehmen, die E-Mail-Infrastruktur betreiben oder anbieten, dazu aufgerufen, unsere Technischen Richtlinien zum Sicheren E-Mail-Transport und E-Mail-Authentifizierung umzusetzen – bei sich selbst und/oder für andere, die die Infrastruktur nutzen. Unternehmen, die sich durch ihre Teilnahme dazu verpflichten, ihre E-Mail-Sicherheit oder die ihrer Kunden zu verbessern, werden in einer virtuellen „Hall of Fame“ des BSI sichtbar gemacht. Darauf folgt eine multimediale Awarenesskampagne, die Verbraucherinnen und Verbraucher über den gesamten Monat September hinweg zum Thema E-Mail-Sicherheit informiert. Und natürlich stehen Hersteller digitaler Produkte in der Pflicht, Sicherheit bereits ab der Produktentwicklung mitzudenken und Verbraucherinnen und Verbraucher auf diesem Weg zu entlasten. Wenn Hersteller und Anbieter nicht den Prinzipen „Security by design“ und „Security by default“ entsprechend nachbessern, wird Sicherheit nicht in Deutschland nicht skalieren – daran können auch Informationskampagnen nichts ändern.

Digitale Angriffe auf staatliche Institutionen, kritische Infrastrukturen und Privatpersonen werden wohl in Zukunft weiter zunehmen und zeigen, wie verwundbar moderne Gesellschaften im digitalen Raum sein können. Blicken wir zuletzt in diese Zukunft: Welche Voraussetzungen müssen erfüllt sein, damit eine Gesellschaft widerstandsfähig gegenüber digitalen Angriffen wird?

Wir müssen uns gemeinsam als Gesellschaft klarmachen, dass die klassischen Weltordnungsdimensionen Wirtschaft und Sicherheit um eine dritte Dimension erweitert wurden: die digitale. Digitale Wertschöpfung – das „Digital GDP“ – entscheidet über Wettbewerbsfähigkeit und wirtschaftliche Stärke. Politische Macht – und mit ihr nationale Sicherheit - hängt ebenso von Hochtechnologie ab. Daraus folgt: Wer Sicherheit, wer Stabilität gewährleisten will – ob wirtschaftlich oder politisch – muss Technologie können. So hängen unser Schutz und unser Wohlstand von unseren digitalen Fähigkeiten ab und davon, wie gut wir den digitalen Raum gegen Cyberaggression verteidigen können. Wir müssen Digitalisierung und Sicherheit also immer zusammen denken und umsetzen. Das BSI als die Sicherheitsbehörde mit Digital-Knowhow hat dabei eine wichtige Scharnierfunktion – wir bauen Brücken zwischen beiden Welten. Um diese Aufgabe erfüllen zu können, wünschen wir uns mit Blick auf die Cybersicherheitsarchitektur in Deutschland hier und da noch ein paar Anpassungen: Um etwa die Cybersicherheitsdefizite in der Verwaltung abzubauen, ist ein strukturiertes Programm zur Behebung gravierender Cybersicherheitsmängel notwendig, und als zentraler Pfeiler der nationalen Sicherheit müsste aus unserer Sicht Cybersicherheit auf höchster politischer Ebene behandelt werden. Neben der horizontalen Zusammenarbeit auf Bundesebene braucht es zudem eine bessere vertikale Abstimmung zwischen Bund und Ländern. Besonders in puncto Krisenmanagement, Lagebild und gemeinsamer technischer Infrastruktur gibt es erheblichen Nachholbedarf. Insgesamt bin ich zuversichtlich, dass wir nun gemeinsam schnelle und große Schritte zur Stärkung der Cybersicherheit in Deutschland gehen werden.