Im Bericht " Die Lage der IT-Sicherheit in Deutschland 2023" der Cybersicherheitsbehörde des Bundes stellt das BSI eine angespannte bis kritische IT-Sicherheitslage fest. Die anhaltende Digitalisierung und zunehmende Vernetzung vergrößern die Angriffsoberflächen auf die IT-Systeme in Deutschland. Dies schlägt sich in einer erhöhten Anzahl von Angriffen nieder. Die rasante Weiterentwicklung neuer und angepasster Angriffsmethoden sowie der zunehmende Dienstleistungscharakter (Cybercrime-as-a-Service) sind besorgniserregend. Auch das "Bundeslagebild Cybercrime 2023" des BKA führt vor Augen, dass die Bedrohungen durch Cybercrime weiter auf einem hohen Niveau liegen und kontinuierlich ansteigen. Dabei bleibt Ransomware die Hauptbedrohung.

BSI-Präsidentin Claudia Plattner legt im BSI-Lagebericht 2023 einige Handlungspfade vor, um den Bedrohungen standzuhalten: Resilienz erhöhen, Cybersicherheit aktiv gestalten und Digitalisierung voranbringen.

Cloud Computing als Rückgrat der Digitalisierung

Für die Digitalisierung der öffentlichen Verwaltung ist Cloud Computing das notwendige Rückgrat, wobei gleichzeitig die Cybersicherheit erhöht und die Resilienz gestärkt werden. Cloud Computing kann auch als Industrialisierung der IT bezeichnet werden. Es ermöglicht in Verwaltung und Wirtschaft, dass immer mehr IT-Dienstleistungen nicht mehr selbst erbracht werden müssen, sondern hierfür Cloud-Dienste genutzt werden können. Dadurch können Nutzerinnen und Nutzer gleichzeitig an technologischen Weiterentwicklungen, welche durch die Cloud-Anbieter umgesetzt werden, niederschwellig teilhaben.

Cloud Computing bietet hinsichtlich Funktionalität, Sicherheit und Resilienz viele Chancen und wird eine immer entscheidendere Rolle spielen. Um eine sichere Nutzung von Cloud-Diensten auch in der Bundesverwaltung zu ermöglichen und dabei den mit Cloud Computing verbundenen Risiken Rechnung zu tragen, hat das BSI eine Cloud-Strategie entwickelt. Darin wird beschrieben, welche Rolle das BSI dem Cloud Computing beimisst und wie es zum Aufbau der Cybernation Deutschland beiträgt. Das BSI leitet u. a. folgende strategische Ziele und konkrete Aufgaben für das BSI ab:

Public Clouds der Hyperscaler aktiv und sicher in Deutschland nutzen

Das BSI führt schon seit Langem regelmäßige und vertrauensvolle Gespräche mit Public Cloud-Anbietern, inklusive Hyperscalern (besonders große, global agierende Cloud-Anbieter), und erhält Einblicke in deren Infrastruktur, um Analysen und Bewertungen zu ermöglichen. Die resultierende Expertise fließt in technische und fachliche Vorgaben für Cloud-Anbieter und Cloud-Anwender ein.

Eingestufte Informationen bis VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) in Public Clouds verarbeiten

Das BSI untersucht, unter anderem im Rahmen der RED Cloud-Studie, welche Sicherheitsanforderungen und -maßnahmen einen hinreichenden Schutz für VS-NfD klassifizierte Daten in Public Clouds gewährleisten können. Des Weiteren müssen sichere, zukunftsfeste und mit dem eigenen gesetzlichen Auftrag kompatible Bewertungsmethoden vom BSI entwickelt werden, die in Cloud-Umgebungen für VS anwendbar sind. Auch die Zulassung von Cloud-Infrastrukturkomponenten spielt dabei eine Rolle.

Souveräne Nutzungsszenarien für europäische und nationale Clouds konkurrenzfähig gestalten

Das BSI entwickelt Anforderungen, deren Umsetzung Souveränität in der Cloud ermöglicht, und Anbieter bei der Ausgestaltung souveräner Cloud-Lösungen unterstützt. Schon jetzt gibt es Vorhaben zur Förderung der staatlichen Souveränität: Eine souveräne Microsoft Cloud für die Öffentliche Verwaltung (Delos Cloud) wird nach Vorgaben des BSI aufgebaut und deren Sicherheit durch das BSI geprüft. Ebenso sind seit kurzem neue Bereitstellungsmodelle wie souveräne Cloud-Angebote am Markt verfügbar bzw. entstehen zur Zeit.

Das BSI begleitet mit weiteren Cloud-Anbietern, mit denen z. T. Kooperationsabkommen bestehen, Projekte gemeinsam mit Cloud-Kunden. Mit nationalen Cloud-Anbietern finden bereits intensive Gespräche zum Thema der Souveränität statt, unter anderem im Kontext des Projekts „Cloud-Reallabor: Sichere Verarbeitung in der Cloud“ der Deutschen Rentenversicherung Bund im GovTech Campus Deutschland.

Resilienz der Digitalisierung durch sichere Cloud-Nutzung voranbringen

Hier plant das BSI, Werkzeuge zur Skalierung der sicheren Cloud-Nutzung bereitzustellen und zu unterstützen. Solche Werkzeuge können Code-Beispiele zur Umsetzung von Infrastructure as Code (Bereitstellung, Konfiguration, Aktualisierung und Löschung von Cloud-Diensten per Code) oder Compliance as Code (Formulierung und Prüfung von Compliance-Vorgaben per Code) sein, die eine sichere und Richtlinien-konforme Nutzung von Cloud-Diensten erleichtern und zur Regulierung der Digitalisierung beitragen.

Fazit

Das BSI beobachtet und antizipiert Entwicklungen im Bereich der Cloud-Sicherheit. Es hat bereits eine umfangreiche fachliche Expertise durch tiefe Einblicke in Public Clouds und ist in der Lage, deren Sicherheitseigenschaften zu bewerten. Diese Expertise nutzt das BSI, um Bundesbehörden bei der Migration in die Cloud und der sicheren Cloud-Nutzung zu unterstützen. Somit ebnet die Cybersicherheitsbehörde des Bundes den Weg für eine resiliente Digitalisierung der deutschen Verwaltung – mit Cloud Computing als Rückgrat und Treiber.