Ist der Cyber-Aktionsplan der Regierung zweckmäßig?

Von Phil Muncaster • 12 Februar 2026

Es kommt nicht oft vor, dass die Regierung einen Fehler eingesteht. Doch zu Beginn des Jahres wurden wir Zeugen eines seltenen Falles. mea culpa: die Erkenntnis, dass das zuvor angestrebte Ziel, Whitehall bis 2030 gegen alle bekannten Schwachstellen und Angriffsmethoden widerstandsfähig zu machen, nicht erreichbar sein würde. Dieses Eingeständnis wurde im Text versteckt. der Cyber-Aktionsplan (CAP), die jüngste Maßnahme der aktuellen Regierung zur Verbesserung der Sicherheitslage der Zentralregierung.

Es ist ein detaillierter Plan mit vielversprechenden Aussichten, dessen Auswirkungen weit über den öffentlichen Sektor hinausreichen werden. Aber reicht das aus?

Warum die Regierung einen Plan braucht

Dass die Regierung einen Plan zur Stärkung der Cybersicherheit benötigt, steht außer Frage. Eine Bewertung der Government Security Group (GSG) aus den Jahren 2023/24 ergab, dass 58 kritische IT-Systeme verschiedener Ministerien erhebliche Sicherheitslücken aufwiesen, die ein extrem hohes Risiko darstellten. Ein separater Bericht des National Audit Office (NAO) bestätigte dies. berichten Eine Studie aus dem letzten Jahr ergab, dass bei 28 % von 228 älteren IT-Systemen ein hohes Risiko für Betriebs- und Sicherheitsrisiken besteht. Fachkräftemangel und Finanzierungslücken hätten die Situation verschärft, hieß es.

Seitdem kam es zu schwerwiegenden Sicherheitslücken bei der Rechtsberatungsstelle, ein afghanisches Siedlungsprogramm was den Steuerzahler Geld kosten könnte Hunderte Millionen Pfund und mindestens zwei schwerwiegende Sicherheitsvorfälle bei Auftragnehmer des VerteidigungsministeriumsIn Zeiten knapper Kassen und sinkender öffentlicher Dienstleistungen kann sich die Regierung kostspieligere Verstöße und alles, was die dringend benötigte digitale Transformation gefährdet, kaum leisten.

Der CAP weist auf mehrere Mängel hin:

Institutionalisierte Fragmentierung
Anhaltende Altlasten, Cybersicherheits- und Resilienzrisiken
Isolierte Daten
Unterdigitalisierung
Uneinheitliche Führung
Ein Mangel an digitalen Kompetenzen
Diffuse Kaufkraft
Veraltete Finanzierungsmodelle

Was ist im CAP enthalten?

Der Cybersecurity Action Plan (CAP) verspricht einen „starken, zentralisierten Ansatz mit klarer Ausrichtung und aktiver Führung“, der klare Erwartungen an das Sicherheits- und Resilienzmanagement der einzelnen Abteilungen durch messbare Ziele und Ergebnisse festlegt. Das übergeordnete Ziel ist eine verbesserte Transparenz der Cyberrisiken und ein stärkeres, zentralisiertes Vorgehen bei den größten Herausforderungen (die die Abteilungen nicht allein bewältigen können). Der CAP verspricht eine schnellere und qualitativ hochwertigere Reaktion auf Sicherheitsvorfälle sowie zentrale Unterstützung bei der Behebung bestehender Probleme.

Um seine Ziele zu erreichen, sieht die GAP drei Phasen für die Umsetzung vor:

Phase 1 (bis April 2027): Einrichtung einer staatlichen Cyber-Einheit, Implementierung von Verantwortlichkeitsrahmen, Einführung eines behördenübergreifenden Cyber-Berufsstands zur Gewinnung, Weiterbildung und Bindung von Cyber-Fachkräften sowie Veröffentlichung eines staatlichen Cyber-Vorfallsreaktionsplans.

Phase 2 (2027.-2029. April): Skalierung des CAP durch datengestützte Entscheidungsfindung sowie Bereitstellung von Cyber-Supportdiensten und Ausbau der Reaktionsfähigkeit.

Phase 3 (ab April 2029): Kontinuierliche Verbesserung durch den Austausch zentraler Dateneinblicke, das Anbieten von Dienstleistungen in großem Umfang, die Nutzung des Cyber-Berufsstandes für den Transformationsprozess und die Sicherstellung, dass Abteilungen proaktiv Cyberrisiken in ihren Lieferketten absichern.

Die Regierung behauptet, dass die GAP durch die sichere Digitalisierung öffentlicher Dienstleistungen Produktivitätssteigerungen von bis zu 45 Milliarden Pfund ermöglichen könnte. Dennoch hat sie für die Initiative lediglich 210 Millionen Pfund bereitgestellt.

Unabhängig davon wurde ein neues Produkt auf den Markt gebracht. Programm für Software-Sicherheitsbotschafter Ziel ist es, die Verbreitung des Software Security Code of Practice – einer freiwilligen Initiative zur Minimierung von Risiken und Störungen in der Software-Lieferkette – voranzutreiben. Cisco, Palo Alto Networks, Sage, Santander, die NCC Group und weitere Unternehmen haben sich bereit erklärt, als Botschafter zu fungieren. Sie werden den Code branchenübergreifend vertreten, „praktische Umsetzungsbeispiele präsentieren und Feedback zur Verbesserung zukünftiger Richtlinien geben“.

Lieferanten im Fokus

Tristan Watkins, Leiter der Abteilung für Serviceinnovation beim IT-Dienstleistungsunternehmen Advania UK, begrüßt den CAP grundsätzlich, da er „auf einer realistischen Analyse unserer aktuellen Kernprobleme beruht“. Er argumentiert jedoch, dass er für verschiedene Anbieter unterschiedliche Bedeutungen haben wird.

„Die Verträge mit den strategischen Lieferanten der Regierung werden Anforderungen an Cybersicherheit und Resilienz enthalten, die voraussichtlich bis März 2027 in Kraft treten werden“, erklärt er gegenüber IO. „Die genauen Details müssen noch ausgearbeitet werden. Für andere Lieferanten erwarten wir nach April 2027 mehr Klarheit. Dies ist der erste Meilenstein für die Einrichtung der staatlichen Cyber-Einheit.“

Nick Dyer, Regional Vice President Solutions Engineering bei Arctic Wolf, erklärt, dass Lieferanten mindestens jährliche Cyber-Essentials-Prüfungen durchführen müssen, um die Compliance-Anforderungen zu erfüllen. Keiron Shepherd, Senior Solution Architect bei F5, stimmt dem zu. „Lieferanten sollten sich auf detailliertere Bewertungen und strengere Berichtspflichten einstellen“, so Shepherd gegenüber IO. „Diese Umstellung auf kontinuierliche Qualitätssicherung ist deutlich effektiver als die derzeitige punktuelle Compliance-Prüfung.“

In Arbeit

Allerdings glauben beide Experten nicht, dass die angekündigten Finanzmittel ausreichen werden. Dyer von Arctic Wolf sagt, sie würden „sicherlich nicht genügen“, um die erhofften Ergebnisse zu erzielen.

„Kontinuierliche Investitionen und die Einhaltung des von der Regierung vorgegebenen Fahrplans sind entscheidend für den Erfolg“, erklärt er gegenüber IO. „Der vorgeschlagene dreistufige Ansatz, der bis Anfang 2027 zur vollständigen Umsetzung führen soll, ist praktikabel. Sein Erfolg hängt jedoch vom Engagement ab. Prioritäten und Umstände können sich innerhalb eines Jahres ändern, daher ist eine kontinuierliche Überwachung unerlässlich, um sicherzustellen, dass der Plan die beabsichtigten Ergebnisse erzielt.“

Auch das Software Security Ambassador Scheme wirft Fragen auf. Watkins von Advania UK begrüßt die Initiative zwar, warnt Unternehmen aber davor, dies als Anlass zu nehmen, das Risikomanagement in der Lieferkette zu vernachlässigen.

„Letztendlich sollten der Verhaltenskodex und das Programm als sinnvolle Ergänzung zum neuen CAP und dem Gesetzentwurf zur Cybersicherheit und Resilienz betrachtet werden, da sie ein verwandtes Anliegen zeitnah angehen“, sagt er. „Ich empfehle Organisationen jedoch, ihre internen Sicherheitsbemühungen auf die Belange der Software-Lieferkette zu konzentrieren, da wir uns nicht darauf verlassen können, dass ein Verhaltenskodex diese Bedürfnisse erfüllt.“

Dyer von Arctic Wolf geht noch weiter und warnt davor, dass ein freiwilliger Verhaltenskodex zu einer „uneinheitlichen Anwendung“ in verschiedenen Organisationen führen könnte.

„Eine verpflichtende Anwendung des Kodex würde hingegen die einheitlichere Umsetzung fördern und die Verantwortlichkeit messbar machen“, fügt er hinzu. „Die rechtliche Durchsetzung würde sicherstellen, dass Softwareentwickler grundlegende Sicherheitspraktiken einhalten, was wohl ein effektiverer Weg gewesen wäre, kritische Regierungssysteme zu schützen.“

Shepherd von F5 stimmt dem zu. „Das Programm ist konstruktiv, aber wenn das Ziel darin besteht, Risiken entlang der gesamten Software-Lieferkette zu reduzieren, reichen freiwillige Maßnahmen allein nicht aus“, so sein Fazit. „Wir werden bald an einem Punkt angelangt sein, an dem die verpflichtende Anwendung von Standards nach dem Prinzip ‚Secure by Design‘ der effektivste Weg ist, um Einheitlichkeit zu erreichen und die Lücken zu schließen.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 5. MÄRZ 2026

Britische Finanzdienstleistungsunternehmen versagen weiterhin bei den grundlegendsten Aufgaben, warnt die Bank of England in einem Banner.

Britische Finanzdienstleistungsunternehmen versagen weiterhin bei den Grundlagen, warnt die Bank of England.

Der britische Finanzdienstleistungssektor ist für seine Größe überdurchschnittlich leistungsstark. London steht dicht hinter New York als weltweit führendes Finanzzentrum an zweiter Stelle und ...

Phil Muncaster

Internet-Sicherheit 17 Februar 2026

Was der LastPass-Datenschutzverstoß uns über die Compliance im Jahr 2026 lehrt (Banner)

Was uns der LastPass-Datendiebstahl über Compliance im Jahr 2026 lehrt

Die DSGVO war von Anfang an bewusst vage gehalten. Indem sie keine konkreten technischen Kontrollen vorschreibt – wie es beispielsweise PCI DSS tut –, erreicht die Verordnung eine bessere...

Phil Muncaster

Internet-Sicherheit 3 Februar 2026

Betrugsmeldungen im Zusammenhang mit dem WEF-Bericht sind mittlerweile die größte Cybersicherheitssorge von CEOs, aber nicht die einzige.

WEF-Bericht: Betrug ist mittlerweile die größte Cyber-Sorge von CEOs, aber nicht die einzige

Fünf Jahre sind eine lange Zeit in der Cybersicherheit. Doch genau so lange befragt das Weltwirtschaftsforum (WEF) bereits CEOs für seine globale Cybersicherheitsinitiative.

Phil Muncaster