Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Welcome to the Cyberdome : Wird ein umfassender nationaler Cybershield zum neuen Paradigma der Verteidigung?

Ohne „Cyber“ geht heute nichts mehr – weder in Angriff noch in Verteidigung. Da ist es an sich wenig überraschend, wenn auch der „Sicherheitsminister“ Deutschlands eine gemeinsame Abwehr im militärischen und zivilen Bereich unter den Schutz eines wirksamen Cyberdomes stellen möchte. Doch wie könnte so ein umfassender Schutzschild für die Zivilgesellschaft aussehen? Unser Autor erörtert Anforderungen und Möglichkeiten.

Ramon MörlBedrohungenComplianceManagement und WissenSecurity-ManagementSicherheitspolitik
Lesezeit 12 Min.

Bundesinnenminister Alexander Dobrindt sagte bei einem Besuch beim BSI: „Uns geht es darum, dass wir einen Cyberdome für Deutschland entwickeln“, das heiße, „dass wir den militärischen Schutz und den Cyberschutz – den zivilen Schutz – zusammen denken“ [1]. An anderer Stelle wird der Bundesinnenminister konkreter: Beim Thema Cyberdome sollen „die Cyberabwehrfähigkeiten, die Drohnenabwehr und der Bevölkerungsschutz ausgebaut werden“, so beschreibt es die dts Nachrichtenagentur [2]; demzufolge betonte Dobrindt auch, dass „militärische Verteidigung allein nicht ausreicht und ein signifikantes Aufrüsten des Zivilschutzes notwendig ist.“

Diese Ankündigung ist mehr als erfreulich, denn Bürger*, ansässige Industrie und öffentliche Verwaltung haben schon lange auf eine strategische Initiative gehofft, die den richtig gesetzten Themen in der „Nationalen Sicherheitsstrategie“ [3], auch Taten folgen lässt. Welche Aktionen von welchen Akteuren nötig sind und welche Erkenntnisse sich für sinnhafte Handlungsweisen von IT-Abteilungen in Deutschland ergeben, wird in diesem Beitrag diskutiert.

Militärischer Schutz und Drohnenabwehr haben wesentliche IT-Komponenten und benötigen deshalb eine ausgefeilte IT – diese soll in diesem Artikel jedoch nicht Thema sein. Hier sollen vielmehr Cyberkomponenten im zivilen Schutz und beim Bevölkerungsschutz analysiert werden. Zudem möchte der Autor detaillierter auf den Cyberschutz eingehen – im Folgenden auch als „Cybershield“ bezeichnet. Dass nicht alle Bedrohungen im Cyberraum Angriffe auf IT-Komponenten sind, wurde bereits auch im im mehrteiligen Beitrag „Krieg ohne Grenzen? Schutz und Verteidigung gegen Gefahren aus dem Cyberraum – eine gesamtgesellschaftliche Aufgabe“ [4,5,6,7] dargestellt. Darin wurde auch auf die Gefährdung der Demokratie durch aus dem Ausland eingesteuerte Fake News hingewiesen, die im Zivilschutz und beim Erhalt der sozialen Sicherheit ebenfalls eine wesentliche Rolle spielen.

Dreiklang für die Cyberwelt

Verteidigung wird häufig dreigeteilt: Es gilt innere, äußere und soziale Sicherheit zu gewährleisten (vgl. auch [8,9]). Auch soziale Zersetzung mittels Desinformation war schon immer ein Element der Kriegsführung. Heute befinden wir uns zwar nicht in einem Kriegszustand, haben aber zu viele Unsicherheiten und niederschwellige Eingriffe, die von ausländischen, staatlichen Stellen ausgehen, um klar eine Friedenszeit festzustellen.

Es gilt daher, diesen Dreiklang auch in der Cyberwelt abzubilden und Strukturen so aufzubauen, dass alle voneinander profitieren. Das gemeinsame Arbeiten an der Verbesserung der Cybersicherheit ist ein zentrales Anliegen der „Nationalen Sicherheitsstrategie“: In dieser wird die Kooperation zwischen Politik, öffentlichen Auftraggebern, Wissenschaft und Industrie gefordert. Dazu fehlen stand heute allerdings Plattformen, die diese Kooperation ermöglichen und sie incentivieren.

Herausforderung für IT-Abteilungen

Es ist bekannt, dass steuerliche Mittel in der Cybersecurity-Forschung viel zu selten in nationale Wertschöpfung umgesetzt werden. Häufig wird vom „Tal des Todes“ bei Forschungsergebnissen gesprochen. In der Cybersicherheit kämpft man häufig mit Themen der Ergonomie und der Integration in komplexe Systeme. Diese Themen gelten nicht als valide Forschungsergebnisse, weil die notwendigen Innovationshöhen fehlen. Der Markt der Cybersecurity-Lösungen ist sehr zersplittert und von vielen hochinnovativen, meist mittelständischen Unternehmen geprägt – so entstehen viele einzelne Produkte.

Für IT-Abteilungen in Organisationen trägt die Cybersicherheit selten zur Wertschöpfung, aber fast immer zu erhöhter Komplexität bei. Zudem müssen sich alle IT-Organisationen mit vielen verschiedenen Teilthemen in der Cybersecurity beschäftigen: Firewall, VPN, EPS, EDR, NDR, XDR, DLP, Verschlüsselung von Festplatten, E‑Mails und Datenträgern sind nur einige der Technologien, um die eigenen Ziele sowie Auflagen der Regulierung umzusetzen. Integration von den vielen einzelnen Themen zu einer Lösung ist deshalb der Wunsch vieler IT-Organisationen – dieser ist aber nicht förderfähig.

Eine Initiative kann nun versuchen, Forschungsergebnisse direkt von den Forschern zur Produktqualität weiterzuentwickeln und im Markt anzubieten. Ohne den Anreiz der Integration in bestehende Systeme wird der Flickenteppich dadurch aber noch größer und keinem ist gedient. Wer könnte nun diese wünschenswerte Integration befördern? Am einfachsten natürlich Bedarfsträger, die bereits eine geeignete Landschaft implementiert haben und die Komplexität beim Betrieb verschiedener Lösungen beschreiben können – und daher die Eingliederung bestehender Lösungen vorantreiben könnten. Dieses Verhalten wird aber nicht forciert, obwohl es politisch gewollt ist.

Unklare Zuständigkeiten

Für die Verbesserung dieses Zustands kommen als Treiber das Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) sowie das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) infrage. Die Cybersicherheits-Verantwortung im Bereich der inneren Sicherheit liegt beim Bundesministerium des Innern (BMI) mit maßgeblicher Verantwortung im Bundesamt für Sicherheit in der Informationstechnik (BSI).

Für die äußere Sicherheit ist das Bundesministerium der Verteidigung (BMVg), für Cyber-Außenpolitik und Cyberdiplomatie sind Auswärtiges Amt (AA) und der neue, im Bundeskanzleramt angesiedelte Nationale Sicherheitsrat verantwortlich. Im zivilen Bereich ist ebenso das BMI mit maßgeblicher Verantwortung im Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) verantwortlich.

Interface (vormals Stiftung Neue Verantwortung, SNV) hat mit seiner als „Wimmelbild“ bekannt gewordenen Darstellung der Zuständigkeiten für Cybersecurity in Deutschland (www.cybersicherheitsarchitektur.de) bereits seit vielen Jahren aufgezeigt, dass es an zentraler Verantwortung fehlt. Zur operativen Ausgestaltung des Cyberdomes mit den Cyberfähigkeiten ist deshalb eine entscheidungsfähige und entscheidungswillige möglichst kleine Struktur wünschenswert. Diese sollte als zentrale Einheit eingerichtet werden und über Know-how zum Markt sowie den Bedarf der IT-Organisationen verfügen. Ziel dieser „Klammer“ sollte es sein, fähige und willige Organisationen aus Wissenschaft, öffentlichen Auftraggebern und Industrie mit operativ wirkfähigen Schutzmechanismen zu versorgen.

Schlüsseltechnologie: Schutz im Cyberraum

Die Rückmeldung aus allen einschlägigen Cybersecurity-Konferenzen lautet jedenfalls, dass die Zeit des Beobachtens vorbei ist und wir schnell eine Umsetzung der Erkenntnisse brauchen! Zur Herstellung der Fähigkeiten im Cyberraum mag auch ein Blick in den Koalitionsvertrag beitragen, der im Kapitel „Resilienz stärken“ folgenden Inhalt hat: „Fähigkeiten und Produkte mit dem Ziel, Schutz im Cyberraum zu gewährleisten, gelten als Schlüsseltechnologie“ (www.koalitionsvertrag2025.de , siehe auch S. 55).

Bereits in der letzten Legislaturperiode wurde beschlossen, dass Schlüsseltechnologien – wann immer möglich – aus nationaler oder europäischer Produktion kommen sollten [3]. Insofern sollten wir uns auf dieser Basis eigentlich keine Sorgen machen müssen, uns nach der Abhängigkeit von russischem Gas wieder in neue Abhängigkeiten zu begeben.

Anforderungen an einen Cybershield

In den Augen des Autors muss ein zu errichtender Cybershield allem voran fünf Aufgaben erfüllen:

Digitale Prüfinstanz

Für Bürger, Einrichtungen zur sozialen Stabilität und kleinere Marktteilnehmer muss es eine digitale Prüfinstanz geben, die in Echtzeit verfügbar ist und Fragen zu folgenden Sachverhalten beantwortet:

  • Entscheidung über Fake News, also den Wahrheitsgehalt einer Nachricht, wozu auch Phishing und ähnliche Angriffsarten zählen
  • Angriffsfreiheit oder Sauberkeit eines Dokuments, also das ungefährliche Öffnen eines Dokuments oder eines digitalen Inhalts (sog. Datenwäsche)
  • Bewertung der Authentizität (Code Integrity) und Freiheit von gefährdendem Code (z.B. nach CVE), also automatisierte CVE-Prüfung in einer Form, die einer Ampel mit rot, gelb und grün entspricht – für übermittelten Code wird eine Software-Bill-of-Materials (SBOM) erstellt und diese SBOM ebenfalls per Ampelfunktion bewertet
  • automatisierte Prüfung übermittelter Inhalte und enthaltener Links bezüglich der Vertrauenswürdigkeit der Domains – ebenfalls mit Ampelfunktion für die Unschädlichkeit (z.B. rot = eliminiert, gelb = nicht klickbar, aber wiederherstellbar, grün = bleibt erhalten)
  • offene „Einwurfschnittstelle“ (wie bspw. bei Virus Total oder Datawashing über E‑Mail oder als Portal), um einen barrierefreien Übergang zu gewährleisten – der Service selbst muss signiert angeboten werden, um ihn vor Trittbrettangriffen zu schützen
  • sichere Integration von KI-Innovationen

Vertrauenswürdige Kommunikationsinfrastruktur

Für Einrichtungen zur sozialen Stabilität muss zusätzlich eine vertrauenswürdige Kommunikationsinfrastruktur geschaffen werden, die

es ehrenamtlichen Mitarbeitern ermöglicht, nach einem herausfordernden Einsatz Berichte auf beliebiger nicht-vertrauenswürdiger Hardware in einer dort vertrauenswürdig etablierten Umgebung zu erstellen kontextbezogene Ad-hoc-Verbindungen zu verschiedenen Einrichtungen in vertrauenswürdiger Art herstellt so bereits Teile der digitalen Infrastruktur für einen „Operationsplan Deutschland“ (OPLAN DEU) zur Verfügung stellt, die im Krisen- und Konfliktfall hilft, die Handlungsfähigkeit kritischer Infrastruktur aufrechtzuerhalten.

Abbildung 1: Ein Cybershield als digitale Prüfinstanz zur Nutzung sicherer Daten könnte Bund, Ländern, Kommunen und sonstigen Organisationen gleichermaßen helfen.

Funktionen für Mittelstand und Kommunen

Für den Mittelstand und Kommunen muss es:

  • Schnittstellen geben, die diese Funktionen konfigurierbar über Schnittstellen (APIs) nutzbar machen: Diese müssen überall eingebunden werden können, wo es Zulauf von Daten und Software in sensible Umgebungen gibt (Download aus nicht-vertrauenswürdigen Netzen, E‑Mail, mobile Datenträger sowie Kommunikationsanwendungen wie s-ftp, Fachverfahren etc.). Essenziell ist dabei das Erkennen verschlüsselter oder verschleierter Bereiche (ggf. nach erzwungenem Entschlüsseln), da die genannten Prüfungen nur auf Klartextinformation operieren können. Um die Cybersicherheit nicht als blockierend wahrzunehmen, ist es sinnvoll, bei problematischen Objekten eine Umformung („Datenwäsche“) vorzunehmen, sodass der Anwender ein Objekt in Nutzung hat, das dem problematischen möglichst ähnlich ist.
  • das Nachhalten von Veränderungen gelieferter Informationen ermöglichen: Beispielsweise soll ein Bedrohungsvektor/CVE, der erst nach der ersten Anfrage bekannt wird, sofort bei Bekanntwerden allen früheren Anfragenden zur Verfügung gestellt werden, sodass die lokale Reaktion (z.B. Applikation auf eine Blacklist setzen) automatisiert durchgeführt werden kann. Das kann über ein Polling des Anfragenden oder eine zentrale Pushfunktion an alle früheren Anfragen realisiert werden – beides hat Vor- und Nachteile.
  • optimalerweise eine Funktion geben, die über die Angriffsoberfläche der eigenen digitalen Repräsentation informiert: Dazu zählen zum einen standardisierte Penetrationstests für Außen- und Innentäter, zum anderen aber auch Open-Source-Intelligence (OSINT) sowie Darknet-Informationen über die eigene Organisation. Im besten Fall ist Letzteres unmittelbar mit einer Ermittlung des Wahrheitsgehalts verbunden, denn Fake News können die Wirtschaftskraft einer Organisation signifikant schwächen. So könnte beispielsweise eine Falschmeldung über die Verunreinigung des Trinkwassers einer vom Tourismus abhängigen Kommune deren Umsatz signifikant gefährden – eine etwaige Gegendarstellung wäre hier zeitkritisch, weshalb eine API zur Lieferung von Fake News bezüglich der eigenen Organisation eine wichtige Möglichkeit zur Reaktion und „Heilung“ böte.

Profi-Funktionen für den KRITIS-Sektor

Organisationen der kritischen Infrastruktur (KRITIS) müssen die obigen Funktionen in hoher Qualität angeboten bekommen und zusätzlich in ihrem Risikomanagement Folgendes vorsehen:

  • Segmentierung der Daten, Services, Infrastruktur nach Kritikalität
  • besondere Maßnahmen eines Cybershields beim Übergang von einem weniger geschützten zu einem sensiblen Segment
  • Analyse von Inhalten aus Internet und Darknet, um festzustellen, ob sensible Daten kursieren (bspw. verkauft werden) oder Aufrufe zu Angriffen jedweder Form (DDOS, Brandanschlag etc.) direkt auf die betreffende Organisation oder auf die Branche im Umlauf sind
  • Kommunikaion des Bekanntwerdens von Angriffen über definierte, vertrauliche Kanäle, sodass eventuell weitere Betroffene sofort informiert und bei hoher Kritikalität Ad-hoc-Task-Forces eingerichtet werden, die weitere Betroffene und Know-how-Träger zur Bekämpfung inkludieren. Überdies müssen neue Erkenntnisse fortlaufend in die Fähigkeiten des Cybershields einfließen – für solche Fälle sollte eine automatisierte Anonymisierung der Daten zur Verfügung stehen, um sowohl Geschwindigkeit als auch Vertraulichkeit zu respektieren.

Schnelle und proaktive Frühwarnsysteme

Innere und äußere Sicherheit müssen an der Spitze dieser technologischen Anforderungen operieren und gegebenenfalls bezugsberechtigte Organisationen, die nach aktuellen Erkenntnissen schon heute oder zumindest bald betroffen sein könnten, geeignet informieren.

Dafür sind Prozesse und digitale Infrastrukturen zu schaffen, die für alle beteiligten Parteien kooperationsstiftend und vertrauenswürdig sind. Etablierte Einrichtungen wie beispielsweise die Allianz für Cyber-Sicherheit (www.allianz-fuer-cybersicherheit.de), die Deutsche Cyber-Sicherheitsorganisation (www.DCSO.de) oder die „Zentralen Ansprechstellen Cybercrime“ (ZAC) vieler Polizeien und Staatsanwaltschaften könnten hierfür infrage kommen.

Cyberschutz als zyklischer Prozess

Bei alldem wäre es wünschenswert, wenn Erkenntnisse des inneren Schutzes, also der in einer Organisation selbst aufgebaute „Cybershield“, über die Kette beteiligter Instanzen jeweils „durchsickert“, sodass die Qualität des Schutzes sukzessive steigt. Dies reflektiert auch die Erkenntnis, dass Schutz im Cyberraum immer ein erkenntnisgetriebener zyklischer Prozess sein muss: Jede Organisation kann auch ihr eigenes Risikomanagement an den genannten Fähigkeiten ausrichten, geeignete Segmentierungen vornehmen und nach obigem Schema noch unvollständige Teillösungen im Markt ergänzen.

Kooperation für mehr Sicherheit

In der „Nationalen Sicherheitsstrategie“ (NSS, [3]) ist festgehalten, dass die Kooperation zwischen Politik, Wissenschaft und Industrie ein wesentlicher Faktor zur Verbesserung der Sicherheitslage ist. Einer hybriden Gefährdungslage durch multiple Krisenherde wird dabei der Begriff der „Cybernation“ entgegengesetzt. Bei Entwicklung der NSS im Jahr 2023 war die Kostenfrage noch nicht beantwortbar. Mit den aktuell verabschiedeten finanziellen Möglichkeiten zu Infrastruktur und Verteidigung könnten obige Punkte hingegen zentral umgesetzt werden.

Wesentlich ist dabei, dass Kostenkontrolle, inhaltliche Führung des Themas und Organisation der benötigten Aspekte der NSS sowie des Koalitionsvertrags in vertrauenswürdigen Dialogkreisen von einem zentralen, schlagkräftigen und entscheidungsfähigen Gremium gebildet werden. Die Interessen des BMDS verfolgen die Digitalisierung im Allgemeinen – Cybersecurity wird dabei oft als Hemmnis wahrgenommen. Sinnhaft erscheint deshalb eine kleine dialogbildende Task-Force aus BMI, BMVg, Wissenschaft mit Marktkenntnis sowie wesentlichen Industrievertretern – beispielsweise mit geheimschutzbetreuten Cybersecurity-Herstellern, die es mit ihren Angeboten zu integrieren gilt.

Wie eine genaue Architektur aussieht, ist zum aktuellen Zeitpunkt noch off en und müsste demnach erst entwickelt werden. Dazu gilt es auch zu definieren, wo die zentralen Prüfinstanzen verortet sind: zentral oder dezentral oder eine Kombination aus beidem.

Fazit

Fasst man den Bedarf des Cybershields an hohe Geschwindigkeit und umfangreiche Fähigkeiten zusammen, entsteht folgendes Bild: Um der notwendigen Geschwindigkeit Rechnung zu tragen, müssen bestehende Lösungen (gem. Koalitionsvertrag vorrangig aus nationaler Herstellung), deren Wirkfähigkeit und operative Betriebsfähigkeit nachgewiesen sind, gebündelt – also integriert – und im derart integrierten Zustand im Markt verfügbar gemacht werden.

Dadurch entstünden automatisch Konsortien, die verschiedene vollumfängliche Lösungen anbieten. Diese Bewegung zahlt durch die quasi nebenbei entstehende Multi-Vendor-Situation auch auf die digitale Souveränität ein. Die Konsortialführer beziehungsweise die Legal Entities, welche die Konsortien im Markt vertreten, müssen auf die Einhaltung des Koalitionsvertrags und auf ein „Best of Breed“ incentiviert werden, um zu vermeiden, dass allem voran hohe Margen und Umsätze die Teilnehmer an einem Konsortium bestimmen – im besten Fall unterliegen alle Mitglieder eines Konsortiums dem gleichen Vertrags- und Margenmodell.

Ramon Mörl ist Geschäftsführer der itWatch GmbH

Hinweis: Der Autor hält zum Thema Cyberdome am Mittwoch, dem 8. Oktober 2025 um 12:00 Uhr einen Vortrag mit anschließender Q&A-Session im Forum  F (Halle  9, Stand 445) der it-sa Expo&Congress (wird auch gestreamt).

Literatur

[1] dpa, Dobrindt will mehr in Cyber-Sicherheit investieren, Süddeutsche Zeitung online, Juli 2025, https://sz.de/dpa.urn-newsml-dpa-com-20090101- 250703-930-753738

[2] dts Nachrichtenagentur, Dobrindt stellt Fünf-Punkte-Plan für „Cyber Dome“ auf, IT Fachportal, Juni 2025, www.it-fachportal.de/66633-dobrindt-stellt-fuenfpunkte-plan-fuer-cyber-dome-auf/

[3] Bundesregierung der Bundesrepublik Deutschland, Wehrhaft, Resilient, Nachhaltig, Integrierte Sicherheit für Deutschland, Nationale Sicherheitsstrategie, Juni 2023, www.nationalesicherheitsstrategie.de

[4] Ramon Mörl, Stefanie Frey, Krieg ohne Grenzen? (1), Schutz und Verteidigung gegen Gefahren aus dem Cyberraum – eine gesamtgesellschaftliche Aufgabe, 2023# 3, S.  14, www.kes-informationssicherheit.de/print/ausgabe-3-2023/krieg-ohne-grenzen-1/ (CC-BY-SA)

[5] Ramon Mörl, Stefanie Frey, Krieg ohne Grenzen? (2), Schutz und Verteidigung gegen Gefahren aus dem Cyberraum – eine gesamtgesellschaftliche Aufgabe, 2023# 4, S.  60, www.kes-informationssicherheit.de/print/titelthema-supply-chain-security-integritaetdigitaler-artefakte/krieg-ohne-grenzen-2/ (<kes>+)

[6] Ramon Mörl, Krieg ohne Grenzen? (4), Schutz und Verteidigung gegen Gefahren aus dem Cyberraum – eine gesamtgesellschaftliche Aufgabe, 2023# 5, S.  24, www.kes-informationssicherheit.de/print/titelthema-erschoepfung-nach-erpressung-it-teams-am-limit/krieg-ohne-grenzen-3/ (<kes>+)

[7] Dr. Stefanie Frey, Krieg ohne Grenzen? (4), Schutz und Verteidigung gegen Gefahren aus dem Cyberraum – eine gesamtgesellschaftliche Aufgabe, 2023# 6, S. 71, www.kes-informationssicherheit.de/print/2023-6/krieg-ohne-grenzen-4/ (<kes>+)

[8] Bundesministerium für wirtschaftliche Zusammenarbeite und Entwicklung (BMZ), Das Menschenrecht auf soziale Sicherheit, Oktober 2023, www.bmz.de/de/themen/soziale-sicherung/menschenrecht-sozialesicherheit-125134

[9] Deutscher Bundestag – Wissenschaftliche Dienste, Zum „Grundrecht auf Sicherheit“, Ausarbeitung WD 3 – 3000 – 180/08, Juni 2008, www.bundestag.de/resource/blob/423604/6bc141a9713732fc4bb4334b6d0269 3b/wd-3-180-08-pdf-data.pdf

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.