Stellungnahmen 2021

Stellungnahme zur Neufassung des regulatorischen Frameworks eIDAS (electronic IDentification, Authentication and trust Services)

02.09.2021

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt den Vorschlag der Europäischen Kommission, auf Basis einer novellierten Fassung des regulatorischen Frameworks eIDAS (electronic IDentification, Authentication and trust Services) - hier subsumiert unter eIDAS 2.0 - vertrauenswürdige und sichere Digitale Identitäten für alle Europäer zu etablieren. TeleTrusT-Mitglieder aus der Arbeitsgruppe "Blockchain" und dem Arbeitskreis "Forum elektronische Vertrauensdienste" haben die am 3. Juni 2021 publizierten Entwürfe einer detaillierten Analyse unterzogen und die entstandenen Ergebnisse und Forderungen zusammengefasst.

Self-Sovereign Identity (SSI) wird berücksichtigt und ermöglicht - ein Vertrauensmodell für SSI wird geschaffen

Eine "digitale Identität" ist ein Hilfsmittel für den Menschen, mit einem Computersystem zu interagieren. Für den Computer müssen Menschen, besonders in der vernetzten Welt, erreichbar und wiedererkennbar sein. Die eIDAS schafft dafür die notwendigen gesetzlichen Rahmenbedingungen.

Mit Self-Sovereign Identity, kurz SSI, wurde das digitale Identitätsmanagement neu erfunden. SSI liefert ein gänzliches neues Paradigma: Der Nutzer verwaltet und kontrolliert seine digitale Identität selbst, Fakten über den Nutzer stellen weiterhin Drittparteien aus, vertrauensstiftende Datenpunkte werden auf einer öffentlich zugänglichen, verteilten Datenbank (Distributed Ledger Technology, DLT) verankert und publiziert. Durch SSI entstand eine Situation, die durch die aktuelle eIDAS-Fassung nur unzureichend erfasst wurde und daher nicht adäquat abgedeckt werden konnte.

In einem öffentlichen Konsultationsverfahren zur eIDAS-Novellierung im Jahr 2020 wurde abgefragt, welche Verbesserungen und Optimierungen in die eIDAS-Verordnung - auch und insbesondere im Hinblick auf SSI - aufgenommen werden sollen. Diese Vorgehensweise wurde durch die zahlreichen SSI-Stakeholder und -Interessenvertreter intensiv genutzt. In der SSI-Gemeinschaft wird überaus positiv aufgenommen, dass der Vorschlag für eIDAS 2.0 eindeutig "SSI-freundlich" ist. Die eingereichten Vorschläge und Anmerkungen haben in weiten Teilen Anklang gefunden, sodass sie durch die Europäische Kommission berücksichtigt wurden.

Die eIDAS kennt nun explizit den Begriff "Self-Sovereign Identity" und dessen inhärenten Systematiken, d. h. ein dezentralisiertes Identitätssystem als elementaren Bestandteil, die Ausgestaltung mit Electronic Ledgers sowie die Digitale Wallet ("elektronische Brieftasche"). Tatsächlich werden eine "harmonised European Digital Identity Wallet" sowie eine "Toolbox for a European Digital Identity Framework" in Aussicht gestellt. Dies wird von TeleTrusT außerordentlich begrüßt.

SSI hat im Jahr 2021 ein enormes Momentum und hohe Sichtbarkeit erreicht. In vielfältigen hochkarätigen Initiativen in Deutschland und Europa wird darauf hingearbeitet, SSI in der Privatwirtschaft und der öffentlichen Verwaltung gleichermaßen in breiten Einsatz zu bringen. Die eIDAS-Novellierung liefert dazu flankierend Schub und die unabdingbare gesetzliche Grundlage.

Implementing Acts sind zu harmonisieren und möglichst viele sind zu implementieren, um ein "Level Playing Field" zu erreichen

TeleTrusT begrüßt die umfangreiche Anzahl verpflichtender Implementing Acts für die Europäische Kommission, wie sie derzeit im Proposal der neuen eIDAS enthalten sind. Im Sinne einheitlicher Vorgaben für den europäischen Binnenmarkt wird empfohlen, diese Anzahl nicht zu kürzen. Zudem sollten die Implementing Acts, wie im aktuellen Entwurf vorgesehen, auch auf europäische Standards und Normen verweisen. Nur so können gemeinsame technische Rahmenbedingungen, eine breite Umsetzung und vor allem Interoperabilität digitaler Identitäten und Vertrauensdienste gewährleistet werden.

Neben den aktuell vorgesehenen verpflichtenden Implementing Acts sollten diese auch bei Art. 20 und 24 eIDAS vorgesehen werden. Diese sollten auf europäische Standards hinsichtlich der grundlegenden Anforderungen an die Konformitätsbewertungsstelle im Allgemeinen (z.B. ETSI EN 319 403) sowie die grundsätzliche Konformitätsbewertung (qualifizierter) Vertrauensdienste im Besonderen verweisen (z.B. EN 319 401), um eine Vergleichbarkeit der Konformitätsbewertung in den Mitgliedsstaaten zu gewährleisten.

Darüber hinaus sollte auch Art. 45i um die Verpflichtung an die Europäische Kommission zum Erlass von Implementing Acts ergänzt werden. Electronic Ledger, im Kern DLT, bilden zum einen vielfach die technische Infrastruktur selbstsouveräner digitaler Identitäten (SSI), zum anderen schafft die European Blockchain Service Infrastructure die technische Basis verteilter digitaler Ökosysteme in Europa auf Grundlage von DLT. Geprüfte wie vor allem vergleichbare und interoperable Vertrauenswürdigkeit elektronischer Ledger ist zur breiten Umsetzung und Anwendung von EBSI ebenso essentiell wie für das European Self-Sovereign Identity Framework (ESSIF). Umso mehr sollte mit verpflichtenden Implementing Acts, die wiederum auf europäische Standards und Normen verweisen (z.B. ETSI ESI, ETSI PDL, CEN JTC 19), ein gemeinsamer regulatorischer wie technischer Rahmen geschaffen werden, um eIDAS 2.0 im EWR erfolgreich umzusetzen.

Eine Umsetzungsförderung - auch der Kommunen - für Implementierung und Kommunikation sollte erfolgen

Der Erfolg der eIDAS 2.0 steht und fällt mit der Anwendung sicherer digitaler Identitäten und (qualifizierter) Vertrauensdienste. Der öffentlichen Verwaltung kommt hierbei eine Schlüsselrolle zu. Einerseits obliegt ihr die nationale Aufsicht und Verantwortung zur Informationssicherheit sowie die verpflichtende Akzeptanz bspw. des EU Digital Wallet oder aller mindestens fortgeschrittenen elektronischen Signaturen jedes qualifizierten Vertrauensdiensteanbieters. Andererseits umfassen G2B/G2C-Transaktionen einen wesentlichen Teil der Anwendungsfälle von eIDAS 2.0. In der ersten Fassung der eIDAS zeigte sich, dass Behörden zwar die Annahmepflichten umsetzten, nicht jedoch digitale Identitäten oder Vertrauensdienste selbst anwendeten. Ergebnis ist eine weiterhin begrenzte Digitalisierung der öffentlichen Verwaltung, was sich insbesondere in der Pandemie als nachteilig erwies. Um eine breite Anwendung der eIDAS 2.0 sicherzustellen, sollten öffentliche Stellen in Art. 6 und 27 eIDAS 2.0, neben den bestehenden Anerkennungsvorgaben, ebenso verpflichtet werden, digitale Identitäten und (qualifizierte) Vertrauensdienste verbindlich für die eigenen Anwendungsfälle einzusetzen. Unternehmen wie Bürger müssen die Möglichkeit erhalten jede digitale Identität, nur abhängig vom notwendigen Vertrauensniveau (LoA), jeden (qualifizierten) Vertrauensdienst bei einer Behörde einsetzen zu können und gleichzeitig darauf vertrauen zu können, dass öffentliche Stellen digitale Identitäten und (qualifizierte) Vertrauensdienste selbst einsetzen.

Zur Umsetzungsunterstützung sollten die Mitgliedsstaaten verpflichtet werden entsprechende Finanzmittel für die öffentlichen Stellen bereitzustellen und die Umsetzung digitaler Identitäten und (qualifizierter) Vertrauensdienste in öffentlichen Stellen gezielt zu fördern. Ebenso sollte eine verbindliche Umsetzungsfrist in eIDAS 2.0 definiert werden, um die zeitnahe Realisierung sicherzustellen.

EU Trusted List ist der Vertrauensanker für die Datenautobahn - sie ist eine Stärke der eIDAS und sollte der zentrale Vertrauensanker bleiben

Das übergeordnete Ziel der EU-Verordnung ist die Schaffung eines digitalen Binnenmarkts. Entsprechend sollen digitale Vertragsabschlüsse, Online-Dienstleistungen und elektronische Identitäten durch eIDAS gefördert und sicherer werden. Zu diesem Zweck definierte die Verordnung einen einheitlichen, europäischen Rechtsrahmen und vereinfachte bestehende Verfahren und Vorschriften, beispielsweise für die elektronische Unterschrift. Dabei verfolgt eIDAS einen für Innovationen offenen Ansatz und ist technologieneutral.

Ein wesentlicher Punkt ist die Schaffung der EU Trusted List auf der alle Vertrauensdienste in Europa mit ihren Vertrauensankern (beispielsweise CA-Zertifikate) gelistet sind. Die Liste ist sowohl menschenlesbar als auch maschinenlesbar. Somit wird auch technisch ermöglicht, alle Produkte die qualifizierte Vertrauensdiensteanbieter herausgeben, maschinell und kostenlos kryptographisch auf ihre Vertrauenswürdigkeit zu überprüfen. Ein praktisches Beispiel ist die Überprüfung der qualifizierten Signaturen durch den Adobe Reader, der die EU Trusted List unterstützt. Durch die offizielle Auflistung aller zugelassenen Vertrauensdienste mit ihren Vertrauensankern und der Möglichkeit diese zu jedem Zeitpunkt maschinell und kostenlos zu überprüfen, schuf die EU Kommission einen Vertrauensraum, in dem fast alle digitalen Dienste abgebildet werden können, wie z. B. DE-Mail, als sicherer E-Mail-Dienst, qualifizierte Signaturen und qualifizierte Siegel zur vertrauensvollen Sicherung von Dokumenten, natürlichen und rechtlichen Personen, nur um einige Beispiele zu nennen.

TeleTrusT fordert eine Aufnahme der Vertrauensanker der neuen Dienste wie qualified eletronic attestations of attributes (Artikel 3 (i) (45) oder qualified eletronic ledgers (Artikel 45 (i)) auf die EU Trusted List. Dies würde den bewährten Vertrauensraum auch auf die neuen Technologien erweitern und ein kostenloses öffentliches Vertrauen für neuen Technologien schaffen.

Die Verpflichtung, in Browsern Qualified Website Authentication Certificates (QWACs) anzuzeigen, wird unterstützt

Mit den eIDAS-Vertrauensdiensten ist ein Vertrauensraum entstanden, in dem Bürger, Behörden und Unternehmen sicher elektronisch kommunizieren können. Dazu gehört auch die Sicherheit, dass hinter einer Webseite eine echte und rechtmäßige Organisation steht. Zu diesem Zweck entwickelte die eIDAS-Verordnung sogenannte qualifizierte Webseiten-Zertifikate (QWAC). Technisch entsprechen sie den marktgängigen SSL-/TLS-Zertifikaten im Sicherheitsniveau und werden durch einen besonders sicheren Identifizierungsprozess von einem qualifizierten Vertrauensdiensteanbieter (qVDA) herausgegeben. Der Einsatz von QWACs wird jedoch leider bisher von den großen Browserherstellern nicht unterstützt, indem die Zertifikate weder als sicher akzeptiert oder im Browser angezeigt werden. Dies soll sich mit der eIDAS 2.0 ändern.

TeleTrusT begrüßt die Pflicht zur Anzeige der qualifizierten Webseiten-Zertifikate in Artikel 45.2. Dies fördert insbesondere den Verbraucherschutz, da es dem Verbraucher ermöglicht zu überprüfen, wem die Webseite gehört und beugt somit Phishing Attacken vor, wie eine Aachener Studie zeigt. So werden 99,6 Prozent der Phishing-Angriffe über Webseiten durchgeführt, die nicht mit EV-Zertifikaten gesichert sind. (EV-Zertifikate, sind SSL Zertifikate mit einem höheren Identifizierungsniveau, die jedoch auch nicht mehr seit 2018 von den Browsern angezeigt werden.)

Auch wäre der Missbrauch, der im April 2020 durch "Fake Corona Hilfen Antragsseiten" durchgeführt worden ist, nicht so einfach möglich gewesen, denn die Antragsteller hätten durch Verwendung von QWAC und ihrer Darstellung im Browser schneller feststellen können, dass sie sich auf einer betrügerischen Webseite befinden.

Eine Anzeige der QWAC-Zertifikate durch die Browser-Hersteller und eine Validierung dieser Zertifikate gegen die EU Trusted List, wie dies seit Jahren beim Adobe Reader üblich ist, würde die Digitalisierung ein ganzes Stück sicherer machen und Europa ein Stück digitale Souveränität zurückgeben, da nun die Rahmenbedingung der Identifizierung nicht mehr von den willkürlichen Änderungen der Bedingungen durch die Browser-Hersteller abhängen würden.

Europa hat positive Erfahrungen mit der Verwendung der QWAC-Zertifikate im Umfeld der Online-Zahlungsdienste (Payment Services Directive 2 - PSD2) gemacht. Hier wurde die Unterstützung durch QWAC ebenfalls vorgeschrieben und dies ermöglichte neue Geschäftsmodelle für FinTechs. Mit dem eIDAS Proposal und dem Artikel 45 (2) wird die vertrauensvolle Digitalisierung in einem neuen Marktsegment ermöglicht.

TeleTrusT empfiehlt die Strafbewehrung zur Durchsetzung der gesetzlichen Verpflichtungen aus der eIDAS-Verordnung.

Stellungnahme zum Referentenentwurf der "Rechtsverordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik"

13.08.2021

Wir begrüßen die weitere Ausgestaltung und Konkretisierung des IT-Sicherheitskennzeichens, welches es Verbraucherinnen und Verbrauchern ermöglicht, die IT-Sicherheit des jeweiligen IT-Produkts zu beurteilen. Nur mit transparenten Informationen zum IT-Sicherheitskennzeichen kann Vertrauen geschaffen und damit – aus Sicht des Verbrauchers – eine gut informierte Kaufentscheidung getroffen werden. Um diese Ziele zu erreichen, möchten wir Anregungen geben, die den Erfolg des IT-Sicherheitskennzeichen unterstützen sollen. 

Zu § 5 Antragsprüfung 

Die Entscheidung über die Vergabe des IT-Sicherheitskennzeichens wird maßgeblich auf Basis von Dokumenten getroffen, die vom Hersteller der Produkte eingereicht werden. In Verbindung mit § 9c Abs. 8 BSIG, der lediglich eine optionale Prüfung des Produkts vorsieht, ist eine ergänzende Prüfung der Produkte – so wie sie dem Verbraucher zum Kauf angeboten werden – empfehlenswert. Im Sinne der Durchführbarkeit der Produktprüfungen sollten automatisierte Testmethoden zum Einsatz kommen, die durch manuelle Tests begleitet werden. Ist die angeregte Produktprüfung zum gegenwärtigen Zeitpunkt nicht durchgängig möglich, so ist der Verbraucher im Sinne der Transparenz des Siegels darüber zu informieren. Dies kann beispielsweise durch Farbgestaltung, kleine Symbolbilder oder Verwendung von Kennzahlen innerhalb des Siegels erfolgen. 

Zu § 6 Vereinfachtes Verfahren 

Vereinfachte Verfahren haben grundsätzlich das Potential, die Effizienz der Vergabe des IT-Sicherheitskennzeichens zu steigern. Werden die übergeordneten Sicherheitsziele Vertraulichkeit, Verfügbarkeit und Integrität jedoch detaillierter betrachtet, so wird ersichtlich, dass unter Berücksichtigung der jeweils geltenden Gesetzgebung die Anwendung des vereinfachten Verfahrens begrenzt ist. So verlangt die Erfüllung des Sicherheitsziels der "Vertraulichkeit“ vielfach die Anwendung von Verschlüsselungsalgorithmen, deren Anwendung im globalen Kontext unterschiedlich geregelt ist. Am konkreten Beispiel der Verschlüsselung bedeutet das vereinfachte Verfahren, dass mindestens Änderungen der Gesetzgebung, Änderungen der Vergabekriterien des originären Kennzeichens, sowie Änderungen am Produkt bzw. dessen Unterlagen fortwährend zu begutachten sind. Inwieweit damit langfristig Effizienzsteigerungen möglich sind, ist fraglich. In Summe birgt der Einsatz des vereinfachten Verfahrens viele Potentiale zur Effizienzsteigerung. Gerade im Bereich der "Vertraulichkeit“ und vor dem Hintergrund einer langfristigen Anwendung einheitlicher Kriterien zur Vergabe des Sicherheitskennzeichens sollte jedoch über dessen Anwendung selektiv entschieden werden. 

Zu § 7 Gegenstand der Herstellererklärung in Verbindung mit § 8 Laufzeit des IT-Sicherheitskennzeichens und Erlöschen 

Die gegenwärtige Soft- und Hardwareentwicklung ist durch agile Vorgehensweisen geprägt. Dies hat Entwicklungszyklen zur Folge, die zum Teil kürzer als 2 Wochen sind. Diese Rahmenbedingungen verdeutlichen einerseits, dass Laufzeiten von mehr als 2 Jahren aus Perspektive der IT-Sicherheit wenig sinnvoll erscheinen. Diese Frist sollte daher als maximale Gültigkeitsdauer angegeben und durch Zertifizierungen der Entwicklungs- bzw. Herstellprozesse begleitet werden. Hieraus lässt sich eine Verstetigung der Sicherheit der resultierenden Produkte erwarten. 

Darüber hinaus werden in § 7 Hersteller lediglich verpflichtet, die erklärten Eigenschaften des Produktes zu aktualisieren, "sobald sie [beispielsweise Sicherheitslücken] ihm bekannt werden“. Im Sinne der Erhöhung der Sicherheit sollte hier stattdessen die aktive und kontinuierliche Gewährleistung der IT-Sicherheit bei den Herstellern eingefordert werden. Als Beleg hierfür eignen sich dabei nicht nur Dokumente, sondern auch die erneute und kontinuierliche Durchführung von (automatisierten) Prüfroutinen. Ferner sollten stichprobenartige Kontrollen der Prüfbehörden verankert werden.

Zu § 9 Verwendung des Sicherheitskennzeichens 

Der Widerruf des Sicherheitskennzeichens für nicht physische Produkte ist unproblematisch durch Entfernung von Links, Grafiken etc. möglich. Herausfordernder hingegen ist die Handhabung von physischen Produkten (beispielsweise Retail-Versionen von Software). Diesbezüglich wird in § 9 Abs. 4 geregelt, dass der Hersteller "keine nach dem Erlöschen hergestellten Produkte mehr mit Etikett auf den Markt [bringen darf]“. Da der Zeitpunkt der Herstellung vielfach nur schwierig nachzuvollziehen sein wird, sollten auch hier Maximalfristen, die sich nicht am Herstellungsdatum, sondern am Zeitpunkt des Entzugs des Kennzeichens orientieren, vorgegeben werden. Dies gilt insbesondere, da eine Orientierung am Herstelldatum kontraproduktiv wirken kann, da nach der Erteilung des IT-Sicherheitskennzeichens ein Anreiz zur schnellen und umfangreichen Produktion geschaffen wird. Ggf. anschließend erkannte Sicherheitslücken würden in diesem Fall erst nach dem Abverkauf der vorproduzierten Produkte geschlossen.

Zur Fälschungssicherheit des IT-Sicherheitskennzeichens 

Aus dem Referentenentwurf sind keine Informationen zur Fälschungssicherheit des IT-Sicherheitskennzeichens ersichtlich. Gerade wenn es das Ziel ist, ein Kennzeichen zu entwickeln, welches durch erhöhtes Verbrauchervertrauen verkaufsfördernd wirkt, erscheint das Risiko zur unautorisierten Nutzung hoch. Daher sind Maßnahmen zu definieren, die die Echtheit des Kennzeichens bestätigen und Kopien sowie nicht legitimierte Nutzung ausschließen oder zumindest begrenzen. 

Allgemein

Das IT-Sicherheitskennzeichen zielt auf Produkte für Endverbraucherinnen und -verbraucher ab. Es sollte nochmals klar definiert werden, dass höherwertige Prüfungen bzw. Zertifizierungen nicht geschwächt oder vom Markt verdrängt werden dürfen. Für diese höherwertigen Prüfungen bzw. Zertifizierungen ist das IT-Sicherheitskennzeichen nicht geeignet. Dies gilt insbesondere auch für die im IT-Sicherheitsgesetz adressierten Betreiber von kritischen Infrastrukturen.

Zusammenfassung

Ein Sicherheitskennzeichen, das das Vertrauen der Verbraucher genießen soll, setzt strenge Anforderungen an Hersteller. Wie den Ausführungen zu § 5 entnommen werden kann, sind diese möglicherweise nicht immer wirtschaftlich abbildbar, so dass über mögliche Abstufungen des IT-Sicherheitskennzeichens entschieden werden sollte. Eine einzig auf Dokumenten basierte Vergabe des IT-Sicherheitskennzeichens ist jedoch kritisch zu betrachten. Ferner ist die konkrete Handhabung des IT-Sicherheitskennzeichens – gerade im Kontext sehr kurzer Entwicklungszyklen – festzulegen. Neben stichprobenartigen Prüfungen der Produkte, wurden in den Ausführungen zu § 7 und § 8 automatisierte Prüfroutinen angeregt sowie die aktive und kontinuierliche Prüfung durch die Hersteller eingefordert. Zusätzliche und dauerhafte Sicherheit kann durch zertifizierte Entwicklungs- und Herstellprozesse gefördert werden. Letztlich sollten auch Maßnahmen zur Fälschungssicherheit des IT-Sicherheitskennzeichens festgelegt werden, da mit dessen Erfolg die Attraktivität für Fälschungen und unberechtigte Verwendung steigt. 

Stellungnahme und Handlungsempfehlungen zum Eckpunktepapier "Fortschreibung der Cyber-Sicherheitsstrategie für Deutschland (CSS)"

13.04.2021

Zu Handlungsfeld 1 - Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung

("Sichere "elektronische Identitäten" sind als elementarer Grundstein der Cyber-Sicherheit Voraussetzung für das hoheitliche Handeln des Staates im digitalen Zeitalter. Die Festlegung von Anforderungen an eID-Verfahren, sowie deren Absicherung sollten daher durch den Staat erfolgen.")

Kommentar TeleTrusT: Dies sollte auf solche Bereiche beschränkt bleiben, wo hoheitliches Handeln des Staates wirklich erforderlich ist. Nicht jeder Log-in oder Account erfordert eine Regulierung durch den Staat.


Zu Handlungsfeld 2 - Gemeinsamer Auftrag von Staat und Wirtschaft

Kommentar TeleTrusT: Die Wirtschaft erscheint in diesem Handlungsfeld als Objekt dargestellt, nicht als souveränes Subjekt - d.h. der Staat bestimmt und die Wirtschaft führt aus. Gemeinsames Handeln sollte dagegen auf Augenhöhe erfolgen. Es geht um die gemeinsame Umsetzung gemeinsamer Ziele. Das setzt gegenseitiges Vertrauen und gegenseitigen Respekt voraus.

Zu Handlungsfeld 3 - Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur

("Es soll eine ausgewogene, behördenübergreifende Strategie zum Umgang mit Schwachstellen nach den jeweils geltenden gesetzlichen Vorgaben bei den Strafverfolgungs- und Sicherheitsbehörden, geschaffen werden. Damit sollen auch in Zukunft über bereits vorhandene interne Behördenvorgaben hinaus die Interessen der Cyber- und Informationssicherheit sowie der Strafverfolgungs- und Sicherheitsbehörden in einen angemessenen Ausgleich gebracht werden.")

Kommentar TeleTrusT: Sofern das bedeutet, dass auch zukünftig die Möglichkeit besteht, erkannte Schwachstellen nicht öffentlich zu machen, sondern für Zwecke der Strafverfolgungs- und Sicherheitsbehörden geheim zu halten, konterkariert dies die Bemühungen für mehr IT-Sicherheit und ist nicht akzeptabel.

("Um die Verwundbarkeit des zunehmend digitalisierten Wahlumfelds und der Wahlinfrastruktur zu reduzieren, soll die Cyber-Sicherheit im Umfeld von Wahlen erhöht werden.")

Kommentar TeleTrusT: Der Schutz der Wahlen hat sicherlich hohe Bedeutung. Dennoch ist das zu kurz gesprungen. Beeinflussung von Stimmungen und Meinung durch gezielte Manipulation und Falschinformation über Online-Foren und soziale Netze, auch aus dem Ausland, finden auch ganz unabhängig von Wahlen statt und sollte unabhängig von Wahlen bekämpft werden. Das ist keine eigentliche Aufgabe von IT-Sicherheit, da die Bedrohung aber aus dem Cyberraum kommt, gehören Gegenmaßnahmen in die Cyber-Sicherheitsstrategie. 

("Der Einsatz quantentechnologischer Systeme zur Gewährleistung eines hohen IT-Sicherheitsniveaus soll vorangetrieben werden.")

Kommentar TeleTrusT: Auch der Einsatz von Post-Quantum Cryptography ist ein wichtiges zukünftiges Element zur Sicherstellung der digitalen Souveränität an und sollte mit aufgenommen werden.


Zu Steuerung der CSS 2021

Kommentar TeleTrusT: Es wird unterschieden zwischen Strategischem Controlling (Aufgabe des BMI) und der operativen Umsetzung, die "eigenständig in der Verantwortung der zuständigen Stellen" erfolgen soll. Wer verantwortet die Umsetzung von ressortübergreifenden Strategischen Zielen? Das BMI koordiniert nur. Falls ressortbezogen, bedeutet dies geteilte Verantwortung, was in aller Regel nicht gut funktioniert. Hier wäre eine zentrale Aufgabe für ein Digitalministerium.