Cybersicherheitsstrategien

Bild: Erstellt mit der OpenAI DALL-E, welche Bilder aus Textbeschreibungen erstellen kann.

Aufgrund der globalen Vernetzung und unserer steigenden Abhängigkeit von komplexen digitalen Systemen zählt der Global Risks Report 2022 des World Economic Forums Cyberangriffe und Datenmissbrauch zu einem der größten kurz- und mittelfristigen globalen Risiken. Diese stehen somit vor ökonomischen Risiken und nach den an erster Stelle genannten umweltbezogenen und sozialen Risiken. Cyber-Risiken entstehen vor allem durch individuelles, menschliches Handeln, können aber vor allem auf Regierungsebene nationale und globale Konflikte auslösen. 

Menschen in Ländern des globalen Südens sind besonders von Cyberrisiken betroffen. Denn für Cyberangriffe anfällige mobile Geräte sind hier weit verbreitet, gut ausgebildete Fachkräfte jedoch nicht immer vorhanden. Häufig fehlt auch entsprechende Sensibilisierung. Gleichzeitig sind Schutz- und Industriestandards niedrig und Regulierungen nicht ausreichend vorhanden. So haben laut dem Global Cybersecurity Index (2020) der International Telecommunication Union (ITU) nur wenige der afrikanischen Staaten Gesetze oder Strategien, um Cybersicherheit zu fördern, auch wenn in entsprechenden Digitalagenden die Bedeutung von Cybersicherheit gern hervorgehoben wird. So verfügen nach Angaben der ITU 37 von 55 afrikanischen Ländern über Cybersicherheitsverordnungen und nur 13 Länder über eine entsprechende Strategie.  

Um den Risiken zu begegnen und die Sicherheit des digitalen Raums zu gewährleisten, müssen koordinierte Maßnahmen seitens der Regierungsbehörden mit Einbindung des Privatsektors und der Zivilgesellschaft umgesetzt werden. Die Grundlage hierfür stellt eine umfassende Cybersicherheitsstrategie dar, die Vision, Ziele, Grundsätze und Prioritäten, die ein Land beim Umgang mit der Cybersicherheit leiten, spezifiziert.

DasNational Cybersecurity Strategies Repository enthält nationale Cybersicherheitsstrategien. Diese umfassen einzelne oder mehrere Dokumente oder sind integraler Bestandteil einer umfassenderen IKT- oder nationalen Sicherheitsstrategie.

Eine gute Übersicht über nationale Cybersicherheitsstrategien und ihre Hintergründe bietet UNIDIRs Cyber Security Portal. Pro Land werden relevante Strategiedokumente und Implementierungsrahmen, nationale Strukturen, rechtliche Rahmenbedingungen sowie vorhandene Kooperationen vorgestellt.

Tools zur Entwicklung und Bewertung von Cybersicherheitsstrategien

Die Entwicklung einer Cybersicherheitsstrategie ist immer komplex. Sie umfasst wichtige Regelungen (häufig mit Grundrechtseingriffen) im gesetzgeberischen Bereich, ggf. die Einrichtung neuer staatlicher Stellen und Behörden, die Planung und Umsetzung von nationalen Kampagnen und vieles mehr.

Doch sind Werkzeuge verfügbar, die dabei helfen, sich in die Entwicklung und Bewertung solcher Strategien einzufinden. Zwei dieser Tools sollen hier kurz vorgestellt werden.

Guide to Developing a National Cybersecurity Strategy 

Der von der ITU herausgegebene Guide to Developing a National Cybersecurity Strategy (2021) wurde mit zwölf globalen Partnern aus Forschung, dem Privatsektor, internationalen Organisationen und der Zivilgesellschaft entwickelt. Der Guide möchte Führungskräften und politischen Entscheidungsträger*innen Hilfestellungen für die Erarbeitung ihrer nationalen Cybersicherheitsstrategie bieten. Auf umfangreichen Erfahrungen aufbauend bietet er einen Überblick darüber, was erfolgreiche Cybersicherheitsstrategien ausmachen. Hierbei versucht er alle Aspekte von Cybersicherheit (politische, operative, technische und rechtliche) zu berücksichtigen.

Weiterhin betrachtet der Leitfaden übergreifende Prinzipien wie Menschenrechte, Inklusion, Resilienz oder Vertrauensaufbau in das nationale Ökosystem und stellt hierfür Gute Praktiken vor.

Der Guide diente bereits als Grundlage zur Entwicklung der Cyberstrategie Bhutans sowie zur Bewertung der Cyberstrategien in der Karibik, Zentral- und Südamerika sowie dem Westbalkan.

Trust4Cyber 

Das Flagship-Vorhaben Trust4Cyber hat es sich zum Ziel gesetzt, die Fähigkeiten von Akteur*innen aus Regierung, Privatwirtschaft und Zivilgesellschaft im Bereich der Cybersicherheit zu stärken.

Zum Beispiel wurden im Vorhaben Cybersicherheitspolitikübungen mit einzelnen Ländern (Ruanda, Südafrika, Kenia, Elfenbeinküste, Ghana, Mexiko und Jordanien) durchgeführt. Zur Vorbereitung dieses Planspiels wurden detaillierte Länderprofile zum Thema erarbeitet.

Zusätzlich wurden E-Learning-Kurse zu internationaler Cybersicherheitspolitik entwickelt. Diese stehen auf der E-Learning Plattform atingi kostenlos zur Verfügung.