Cyberarchitektur: Stresstest für den digitalen Staat
Deutschlands Cyberarchitektur ist heute bei weitem robuster als noch vor wenigen Jahren. Trotzdem bleibt sie vor allem dort verwundbar, wo europäische und nationale ambitionierte Regulierung, föderale und institutionelle Zuständigkeiten und geopolitischer Druck aufeinandertreffen. Zwischen BSI-Lageberichten, NIS2-Umsetzung, KRITIS-Dachgesetz, dem “Cyberdome”, Cyber Resilience Act etc. entsteht ein neues sicherheitspolitisches “Betriebssystem” für den digitalen Staat. Der Stresstest in der Praxis steht vielerorts jedoch noch aus. Im Rahmen der nächsten Ausgabe von “Nachgefragt!”, werfen wir , im Gespräch mit der BSI-Präsidentin Claudia Plattner am 14. April einen Blick in die Zukunft der deutschen Cyberarchitektur.
Lange galt die deutsche Cybersicherheitslandschaft als gewachsene Sammlung von Inseln: föderale IT-Landschaften, sektorale Selbstregulierung und punktuelle Sicherheitsauflagen für Betreiber kritischer Infrastrukturen charakterisierten die Cybersicherheitswelt. Mit der jüngsten Reformwelle (öffnet in neuem Tab) soll daraus eine kohärente Architektur werden, die physische und digitale Resilienz zusammendenkt.
Zentral ist dabei der Dreiklang aus NIS2-Umsetzung, KRITIS-Dachgesetz und Cyber Resilience Act, der organisatorische Sicherheit, Resilienz kritischer Anlagen und Produktsicherheit erstmals systematisch verzahnen soll. Flankiert wird dieser Umbau von einer politisch aufgeladenen Debatte über digitale Souveränität, europäischen Technologierückstand und die Rolle Deutschlands als sicherheitspolitischer Knotenpunkt in Europa.
Folgende Gesetzesbausteine bilden dabei das Gerüst der deutschen Cybersicherheitsarchitektur:
Ergänzend zu präventiven und regulatorischen Bausteinen markiert das geplante Cyberdome‑Gesetz (öffnet in neuem Tab) einen Paradigmenwechsel hin zu stärkerer staatlicher Eingriffsbefugnis im Cyberraum. Für Betreiber großflächiger Telekommunikations‑ und Netzinfrastrukturen könnten die vorgesehenen Mitwirkungs‑ und Eingriffspflichten mit zusätzlichen organisatorischen, technischen und haftungsbezogenen Aufwänden einhergehen.
Auf europäischer Ebene bildet der Cybersecurity Act (CSA) (öffnet in neuem Tab) das ordnungspolitische Fundament der Cyberarchitektur, indem er gemeinsame Sicherheitsstandards und Zertifizierungsrahmen für digitale Produkte, Dienste und Netze schafft. Richtig ausgestaltet kann der CSA Planungs‑ und Investitionssicherheit erhöhen, indem er regulatorische Fragmentierung reduziert und Mehrfachanforderungen für europaweit tätige Netzbetreiber vermeidet. Zugleich hängt sein Beitrag zum flächendeckenden Ausbau moderner Telekommunikationsinfrastruktur maßgeblich davon ab, dass Zertifizierungen und Lieferkettenvorgaben risikobasiert, verhältnismäßig und innovationsfreundlich bleiben.
Bedrohungslage: Dauerstress als Normalzustand
Die Cybersicherheitslage in Deutschland wird in aktuellen Analysen (öffnet in neuem Tab) durchweg als angespannt bis kritisch beschrieben. Ransomware, gezielte Angriffe staatlicher APT-Gruppen (öffnet in neuem Tab) und DDoS-Kampagnen gegen Behörden (öffnet in neuem Tab), Energieversorger oder Logistik-Dienstleister sind längst fester Bestandteil des Alltags in Leitstellen und Security Operations Centern.
Aktuelle Auswertungen (öffnet in neuem Tab) zeigen, dass die Zahl gemeldeter Sicherheitsvorfälle in KRITIS-Sektoren weiter steigt. Gleichzeitig werden täglich Dutzende neue Schwachstellen in Software- und Hardwaresystemen bekannt. Besonders unter Druck stehen dabei Energie, Gesundheit, IT-Dienstleister sowie Verkehrs- und Logistiknetze. Genau jene Bereiche, in denen physische und digitale Verwundbarkeit eng ineinander greifen.
Trotz dieser Lage attestieren aktuelle Berichte (öffnet in neuem Tab) eine wachsende Resilienz: Unternehmen und Behörden investieren verstärkt in Cybersicherheitsmaßnahmen und professionalisieren ihr Sicherheitsmanagement. Viele KRITIS-Betreiber bauen Informationssicherheitsmanagementsysteme (ISMS), Business-Continuity-Management und Systeme zur Angriffserkennung auf, was höhere Reifegrade und schnellere Reaktionsfähigkeit zur Folge hat.
Gleichzeitig wirken europäische Initiativen und Gipfel zur digitalen Souveränität (öffnet in neuem Tab) als politischer Rückenwind, um kritische Daten stärker in Europa zu halten und offene, vertrauenswürdige Infrastrukturen zu fördern. In der Vision des “Deutschland-Stacks (öffnet in neuem Tab)” etwa wird deutlich, dass Cybersicherheit künftig ein integraler Bestandteil staatlicher Plattformen sein soll. Dabei sollen moderne Detection-&-Response-Fähigkeiten sowie Echtzeit-Threat-Intelligence (öffnet in neuem Tab) inkludiert werden.
Architekturschwächen: Komplexität, Lücken, Geschwindigkeit
Robust ist eine Cyberarchitektur nicht nur, wenn sie Angriffe abwehrt, sondern wenn sie unter Beschuss funktionsfähig bleibt und sich dabei schnell regeneriert. Genau an dieser Schnittstelle zwischen ambitionierter Regulierung und operativer Umsetzung zeigen sich in Deutschland mehrere Schwachpunkte.
Erstens ist die regulatorische Verdichtung zwar historisch, aber hochkomplex: NIS2, KRITIS-Dachgesetz, CRA und weitere EU-Regelwerke erzeugen ein dichtes Netz an Pflichten (öffnet in neuem Tab), das für viele Organisationen schwer zu orchestrieren ist,. Zweitens bleibt die föderale Fragmentierung von Zuständigkeiten eine Herausforderung: Von Landes-CERTs über kommunale IT-Dienstleister bis hin zu spezialisierten Bundesbehörden bleibt die Frage der Zuständigkeiten oft vage. Drittens schreitet die Professionalisierung der Angreiferseite schneller voran als der Ausbau von Detection-&-Response-Kapazitäten (öffnet in neuem Tab) in vielen mittelständischen Unternehmen und kleineren Betreibern.
Robust genug für den nächsten Stresstest?
Deutschlands Cyberarchitektur hat sich in den vergangenen Jahren von einem Flickenteppich aus Einzelmaßnahmen zu einem zunehmend strukturierten Sicherheitsgerüst entwickelt. Klare Leitplanken für Organisationen, Infrastrukturen und Produkte charakterisieren die Cyberwelt. Gleichzeitig bleibt der Alltag im Cyberraum ein permanenter Stresstest, in dem hybride Angriffe, geopolitische Spannungen und technologische Sprünge den Planungsabstand der Politik immer wieder unterlaufen.
Zusätzlich darf nicht außer Acht gelassen werden, dass mit der wachsenden Dichte an Regelwerken, sich zunehmend die Frage, wie Sicherheitspolitik, Investitionsfähigkeit und der flächendeckende Ausbau digitaler Infrastrukturen miteinander in Einklang gebracht werden können. In der wirtschaftspolitischen Abwägung wird daher entscheidend sein, ob neue Unsicherheiten und kurzfristige Eingriffsrisiken Investitionen in den flächendeckenden Ausbau leistungsfähiger Netze eher bremsen als absichern.
Ob die neue Architektur sich als wirklich robust erweist, wird sich weniger an der Zahl verabschiedeter Gesetze zeigen als daran, wie schnell Sicherheitslücken geschlossen, Vorfälle geteilt und Systeme nach Angriffen wieder hochgefahren werden können. Robustheit heißt in diesem Verständnis nicht Unverwundbarkeit, sondern die Fähigkeit, trotz unvermeidbarer Treffer handlungsfähig zu bleiben; im Staat, in der Wirtschaft und in der digitalen Zivilgesellschaft.
Event-Hinweis:
Am 14. April wird Claudia Plattner zu Gast bei BASECAMP Nachgefragt! sein, um mit Marina Grigorian zum Thema „Wie sieht Deutschlands künftige Cyberarchitektur aus?“ zu diskutieren.
Mehr Informationen:
NIS2, KRITIS und CRA: Deutschlands langer Weg zu einer umfassenden Cybersicherheitsarchitektur
Zwischen Symbolpolitik und Aufbruch: Europas Suche nach digitaler Souveränität
BASECAMP Nachgefragt!: Auf ein Wort mit Claudia Plattner – wie sieht Deutschlands künftige Cyberarchitektur aus?
Empfehlung der Redaktion
Autor:in
