DruckenTeilen
Buchstaben und Zahlen leuchten auf einem Bildschirm, auf dem ein Hacker-Programm geöffnet ist. © Sina Schuldt/dpa
Bis Anfang 2026 soll der IT-Grundschutz modernisiert werden, um Behörden und kritische Infrastrukturen besser vor Angriffen zu schützen. Die Kolumne „Gastwirtschaft“.
Hybride Angriffe auf Deutschland werden häufiger. Russland, China, autokratische Regime und zunehmend auch nichtstaatliche Akteure attackieren digitale Systeme mit dem Ziel, Vertrauen zu erschüttern, Prozesse zu stören und Kontrolle zu gewinnen. Um dem entgegenzuwirken, hat die EU mit der NIS2-Richtlinie und der CER-Direktive einen klaren Ordnungsrahmen gesetzt.
Cybersicherheit ist staatliche Pflicht
Und endlich zeigt sich Deutschland entschlossen, diesen Rahmen umzusetzen. Sollten bisher Behörden von einigen Vorgaben ausgenommen werden, gilt laut dem neuen Gesetzentwurf der IT-Grundschutz künftig verpflichtend für alle Bundesbehörden. Bis zum 1. Januar 2026 soll er außerdem modernisiert werden, um den Umsetzungsaufwand zu minimieren. Eine wichtige Entwicklung, denn bisher gab es durch die Taktik der „Empfehlung statt Verpflichtung“ riesige Unterschiede: Man erinnere sich an den Hackerangriff, durch den der Landkreis Anhalt-Bitterfeld den Katastrophenfall ausrufen musste, während man die Bundesagentur für Arbeit als Leuchtturm in Sachen IT-Sicherheit bezeichnen kann.
Uwe Rühl. © konturlicht – Volker Lau
Cybersicherheit ist staatliche Pflicht. Sie beginnt im Hier und Jetzt – in föderalen Strukturen, in kommunalen IT-Abteilungen, in Behörden. Wer ausgerechnet den öffentlichen Sektor ausklammert, riskiert einen Systembruch: Gemeinsame Infrastrukturen bleiben ungeschützt, Angriffsflächen bestehen fort, Vertrauen geht verloren.
Es braucht jetzt klare Zuständigkeiten und Verbindlichkeit in der Umsetzung
Ausnahmen senden das falsche Signal – an Angreifer wie an Unternehmen, die ebenfalls mit der Umsetzung der umfangreichen NIS2-Richtlinie ringen. Viele von ihnen sind klein und benötigen echte Unterstützung statt bürokratischen Hürden.
Statt Komplexität als Ausrede zu bemühen, braucht es jetzt klare Zuständigkeiten und Verbindlichkeit in der Umsetzung. Die geplante Einrichtung eines neuen Koordinators für Informationssicherheit (CISCO Bund), der die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützt und halbjährlich an den Bundestag berichtet, ist daher eine sinnvolle Maßnahme. Denn Cybersicherheit gelingt nur, wenn sie als gesamtgesellschaftliche Aufgabe verstanden wird – ohne Sonderregeln, Behördenwirrwarr und politischen Eiertanz.
Der Autor ist Experte für Krisenmanagement und Resilienz. Er ist Geschäftsführer des Resilience Operations Centers und ehemaliger Einsatzleiter im Katastrophenschutz.