28. Mai 2026
Der Weckruf
Innerhalb nur eines Jahres haben sich die landesweit bedeutenden Cybervorfälle, die sich gegen den öffentlichen Sektor im Vereinigten Königreich richteten, mehr als verdoppelt – von 89 auf 204. Der Angriff auf Synnovis legte die Blutuntersuchungen in den Londoner Krankenhäusern lahm, zwang zur Absage von über 10.000 Terminen und 1.700 elektiven Eingriffen und trug zum Tod eines Patienten bei. Der Datenschutzverletzung bei der Legal Aid Agency führte zur Kompromittierung sensibler personenbezogener Daten. Der Ransomware-Angriff auf die British Library hat eine der wichtigsten kulturellen Einrichtungen des Landes lahmgelegt. Ein harmloses Software-Update von CrowdStrike legte über Nacht Tausende von Diensten lahm.
Es handelte sich dabei nicht um abstrakte Risiken, sondern um Versäumnisse mit unmittelbaren Folgen für die Bürger. Die britische Regierung selbst hat in ihrer eigenen Einschätzung offen dargelegt, was dabei zutage trat: ein fragmentierter Ansatz in der Cybersicherheit, der grundlegende Reformen und sofortiges Handeln erforderte.
Was der britische Cyber-Plan tatsächlich ändert
Die britische Regierung hat den staatlichen Cyber-Aktionsplan, der mit zentralen Investitionen in Höhe von 210 Millionen Pfund untermauert wird. Der vom Ministerium für Wissenschaft, Innovation und Technologie (DSIT) entwickelte Plan ersetzt ein lose verbündetes, auf Leitlinien basierendes Modell durch ein weitaus zentralisierteres und direktiveres.
Im Mittelpunkt steht eine neue Government Cyber Unit (GCU) , die für die Festlegung von Standards, die Koordinierung des Risikomanagements und die Durchsetzung messbarer Fortschritte in allen Ministerien zuständig ist. Der Bericht zum Stand der Digitalisierung der Verwaltung hatte die Lage bereits deutlich gemacht: Das Cyberrisiko für die Regierung ist kritisch hoch, 28 % der digitalen Infrastruktur basieren auf veralteter Technologie, und das ursprüngliche Resilienzziel für 2030 ist nicht mehr erreichbar.
Der Plan wird in drei Phasen umgesetzt:
- In Phase 1 (bis April 2027) werden die Grundlagen geschaffen: Einrichtung der GCU, Umsetzung von Rahmenwerken zur Rechenschaftspflicht und Veröffentlichung eines Plans zur Reaktion auf Vorfälle.
- In Phase 2 (2027–2029) wird das Modell durch datengestützte Entscheidungsfindung und zentrale Unterstützungsdienste erweitert.
- In Phase 3 (ab April 2029) liegt der Schwerpunkt auf kontinuierlicher Verbesserung und proaktiver Sicherung der Lieferkette.
Behörden und ihre Lieferanten müssen nun nachweisen, dass sie strukturierte Sicherheitsrahmen einhalten – vor allem GovAssure und das NCSC Cyber Assessment Framework (CAF) – nachweisen und „Secure by Design“ -Prinzipien.
Wo die Identitätsprüfung ins Spiel kommt
Das Vorwort des Ministers gibt den Ton an und führt die Identitätsprüfung neben dem Gesundheitswesen und den Sozialleistungen als Teil der „kritischen Infrastruktur des modernen britischen Lebens“ auf. Für Identitätsanbieter ist jedoch entscheidend, was in den operativen Kapiteln geschieht.
Erstens: Identitäts- und Zugriffskontrolle ist ein zentrales Ergebnis im Rahmen des Cyber-Bewertungsrahmens – dem Standard, an dem jede Behörde nun mittels GovAssure gemessen wird. Grundsatz B2 verlangt von den Behörden den Nachweis, dass Nutzer, die auf Dienste zugreifen, „angemessen verifiziert, authentifiziert und autorisiert“ sind. Kein Zweifel: Dies ist eine messbare Sicherheitsanforderung mit zentraler Aufsicht.
Zweitens wird in dem Plan die Legacy-Authentifizierung ausdrücklich als systemische Schwachstelle identifiziert. Bei der Altinfrastruktur geht es nicht nur um alte Server – sie umfasst auch Passwörter, Hardware-Token und wissensbasierte Verifizierungsmethoden , die nach wie vor einen Großteil der Identitätsinfrastruktur der Regierung bilden. Die Vorgabe, anfällige Systeme zu ersetzen, trifft hier direkt zu.
Drittens das neue Modell zur Rechenschaftspflicht in der Lieferkette bedeutet, dass Identitätsanbieter, die für die Regierung tätig sind, einer zunehmenden Kontrolle unterliegen werden. Anbieter, die Dienstleistungen in großem Umfang erbringen, können als „strategisch“ eingestuft werden, was formelle Partnerschaften mit der GCU und direkte Anforderungen an die Qualitätssicherung nach sich zieht.
Die Gesamtauswirkung ist erheblich: Die Sicherheits- und Beschaffungsmechanismen machen es nun schwieriger, schwache Identitätslösungen zu rechtfertigen, und erleichtern es, für moderne, phishingresistente Authentifizierung. Für Identitätsanbieter ist das eine bedeutendere Veränderung als jedes einzelne Zitat in einem Vorwort.
Resilienz + Sicherheit: Mit Bedrohungen Schritt halten, die sich ständig weiterentwickeln
Der Plan definiert sein Ziel durchweg als „Cybersicherheit und Resilienz“ und behandelt diese beiden Aspekte als gleichwertig. Bemerkenswert ist jedoch die Betonung der Resilienz, die, wie es im Plan selbst heißt, „einen kulturellen und operativen Wandel in der Sichtweise der Regierung auf Resilienz“ darstellt. In der Praxis bedeutet dies, dass die Regierung nicht mehr nur fragt: „Können wir den Angriff abwehren?“, sondern auch: „Können wir den Betrieb der Dienste aufrechterhalten und deren Vertrauenswürdigkeit gewährleisten, wenn etwas schiefgeht?“
Dies hat konkrete Auswirkungen auf die Identität. Betrachten wir zwei Szenarien:
- Der erste Punkt ist der Ausfall von Diensten. Nicht böswillige Vorfälle wie der Ausfall von CrowdStrike werden ebenso genannt wie Ransomware und staatlich gelenkte Angriffe, da das Endergebnis für die Bürger dasselbe ist: Dienste fallen aus, das Vertrauen schwindet. Identitätssysteme, die keine verteilte Architektur, Redundanz und schnelle Wiederherstellung aufweisen, stellen nun einen Single Point of Failure dar, auf den der Plan ausdrücklich abzielt.
- Der zweite Punkt ist der Identitätsmissbrauch. Zunehmend zielen Angriffe eher auf das Vertrauen der Menschen als direkt auf die Infrastruktur ab. So kann es beispielsweise vorkommen, dass ein Finanzbeauftragter einen überzeugenden Videoanruf erhält, der scheinbar von einem hochrangigen Beamten stammt und in dem um eine dringende Zahlungsgenehmigung gebeten wird. Wissensbasierte Überprüfungen, Anrufererkennung und herkömmliche Authentifizierungsverfahren können dabei alle gültig erscheinen. Das Versagen liegt hier nicht in der Perimetersicherheit – es ist die Unfähigkeit zu überprüfen, ob die Person hinter der Interaktion tatsächlich die ist, für die sie sich ausgibt. Das ist eine Lücke in der Resilienz, nicht nur in der Sicherheit.
Für Beschaffungsteams bedeutet dies eine Neuausrichtung der Bewertungskriterien. Die Frage lautet nicht mehr nur „Ist das sicher?“, sondern „Was passiert, wenn etwas ausfällt – und können wir dem Partner, mit dem wir zusammenarbeiten, dann noch vertrauen?“ Identitätssysteme, die eine aktive Bedrohungsüberwachung und schnelle Wiederherstellung nachweisen können, sind besser in der Lage, die Erwartungen des Plans zu erfüllen, als ältere Tools, die der Plan ausdrücklich als anfällig einstuft.
Was der britische Cyber-Plan nicht leistet
Man sollte sich über den Umfang im Klaren sein. Dieser Plan ist von der Regierung und für die Regierung. Er stellt keine direkten neuen Anforderungen an den privaten Sektor oder die nationale kritische Infrastruktur – das ist Aufgabe des Gesetzesentwurf zur Cybersicherheit und Resilienz, der am selben Tag im Parlament eingebracht wurde. Der Gesetzentwurf erweitert die Resilienzverpflichtungen auf Lieferanten der Regierung in den Bereichen Energie, Wasser, Gesundheitswesen und Rechenzentren, doch seine vollständigen Auswirkungen werden erst im Laufe des Gesetzgebungsverfahrens deutlich werden.
Mehrere Branchenbeobachter haben zudem in Frage gestellt, ob 210 Millionen Pfund angesichts des Ausmaßes der Herausforderung ausreichen. In der Strategie für 2021 waren 2,6 Milliarden Pfund vorgesehen, und es bestehen weiterhin Probleme.
In der Praxis: Was bedeutet der britische Cyber-Plan für Sie?
Trotz dieser Vorbehalte ist die Richtung unmissverständlich – und das nicht nur für Regierungsbehörden. Jede Organisation in der Lieferkette des öffentlichen Sektors wird die Auswirkungen zu spüren bekommen. Drei Veränderungen stechen dabei besonders hervor.
Zentralisierte Standards verändern das Beschaffungsmodell. Eine staatliche Cyber-Einheit, die behördenübergreifende Standards festlegt, schafft die Voraussetzungen für gemeinsame Dienste und eine Identitätsinfrastruktur nach dem Prinzip „einmal entwickeln, vielfach nutzen“. Die Zeiten einer fragmentierten, behördenbezogenen Beschaffung sind gezählt.
Nachweise zur Qualitätssicherung werden zu einer Voraussetzung für die Auftragsvergabe. Der Trend hin zur Einhaltung der GovAssure- und CAF-Standards bedeutet, dass Beschaffungsteams zunehmend von Anbietern erwarten werden, dass diese vorab erstellte Qualitätssicherungsunterlagen vorlegen, aus denen die Übereinstimmung mit international anerkannten Zertifizierungsstandards hervorgeht. Dies sollte bereits frühzeitig in die Planung einbezogen werden und nicht erst in der Vertragsphase.
Die Fristen für die Ablösung veralteter Systeme werden immer knapper. Da unsichere Authentifizierungsmethoden ausdrücklich als systemische Schwachstellen identifiziert wurden, sollten Unternehmen, die nach wie vor auf Passwörter, Hardware-Token oder wissensbasierte Verifizierung setzen, bereits jetzt Umstellungspläne ausarbeiten und nicht erst abwarten, bis die Vorgaben der Phase 2 in Kraft treten. Die Ablösung veralteter Systeme ist mittlerweile unvermeidlich und nicht mehr nur empfehlenswert. Abteilungen, die unsichere Authentifizierungsmethoden ersetzen, werden zunehmend nach Partnern suchen, die eine sichere Umstellung beschleunigen und gleichzeitig das Betriebsrisiko senken können. Identitätssysteme, die Phishing-Resistenz, operative Ausfallsicherheit und aktive Bedrohungsüberwachung nachweisen können, werden diesen Migrationsanforderungen besser gerecht.
Blick in die Zukunft
Der Cyber-Aktionsplan der Regierung leistet etwas, was frühere Strategien nicht geschafft haben: Er verankert die Identitätsprüfung im zentralen Sicherheitsrahmen der Regierung, verknüpft die Cyber-Leistung mit der Widerstandsfähigkeit statt nur mit der Einhaltung von Vorschriften und schafft einen zentralisierten Durchsetzungsmechanismus mit echter Rechenschaftspflicht.
Der Plan spiegelt einen grundlegenden Wandel im Denken der Regierung wider: Cyber-Resilienz wird nicht mehr allein daran gemessen, ob Angreifer ferngehalten werden, sondern daran, ob kritische Dienste auch bei Störungen weiterhin vertrauenswürdig bleiben. In diesem Umfeld werden Identitätssysteme zu operativer Infrastruktur und sind nicht mehr nur Authentifizierungsebenen.
Für alle, die ihren nächsten Beschaffungszyklus planen – sei es innerhalb der Verwaltung oder in deren Lieferkette –, stellt sich nicht mehr die Frage, ob die Authentifizierung modernisiert werden soll, sondern wie schnell dies geschehen soll.
Die politischen Bemühungen werden fortgesetzt, nicht zuletzt durch die Weiterentwicklung des Gesetzesentwurfs zu Cybersicherheit und Resilienz sowie die Einrichtung der GCU selbst. Wir werden beides aufmerksam verfolgen.
Entdecken Sie unseren neuesten Bericht „Threat Intelligence 2026“ , um Einblicke in die sich wandelnde Bedrohungslandschaft zu erhalten, oder kontaktieren Sie uns , um zu besprechen, wie sich Ihr Unternehmen an die neuen Sicherheitsrahmenbedingungen anpassen kann.
Häufig gestellte Fragen zum britischen Cyber-Plan
F: Was bedeutet der britische Cyber-Aktionsplan für die Identitätsprüfung?
A: Der Plan macht die Identitäts- und Zugriffskontrolle zu einem zentralen Sicherheitsziel im Rahmen des Cyber Assessment Framework (CAF). Die Ministerien müssen nun durch GovAssure-Prüfungen nachweisen, dass die Nutzer „angemessen verifiziert, authentifiziert und autorisiert“ sind, und veraltete Authentifizierungsmethoden wie Passwörter und Hardware-Token werden ausdrücklich als systemische Schwachstellen identifiziert, die ersetzt werden müssen.
F: Was ist GovAssure und welche Auswirkungen hat es auf Lieferanten der Regierung?
A: GovAssure ist das Cyber-Sicherheitsrahmenwerk der britischen Regierung, das zur Bewertung von Ministerien anhand des NCSC Cyber Assessment Framework dient. Im Rahmen des Cyber-Aktionsplans 2026 müssen 90 % der führenden Ministerien ihre Lieferketten bis zur Phase 2 (2027–2029) gemäß diesen Standards absichern. Lieferanten, die Identitätsdienste in großem Umfang bereitstellen, können als „strategisch“ eingestuft werden, sofern sie formelle Partnerschaften mit der Government Cyber Unit eingehen.
