!-- RSPEAK_STOP -->

Inhaltsverzeichnis

Um die Sicherheit der Bundes-IT ist es schlecht bestellt, wie aus einem vertraulichen Bericht des Bundesrechnungshofs hervorgeht, über den der Spiegel schreibt. Ebenfalls hat das Politikmagazin politico das Berichtsdokument online gestellt – der Bundesrechnungshof bestätigte inzwischen gegenüber der iX-Redaktion, dass es sich um einen Bericht aus dem Hause handelt. Laut Bericht würden weniger als zehn Prozent der 100 Rechenzentren des Bundes die Mindeststandards des BSI erfüllen, in Krisenzeiten sei nicht einmal der Notstrom garantiert. Das Sicherheitsniveau der Rechenzentren sei insgesamt "unzureichend" und der Zustand der IT-Sicherheit in der Bundesverwaltung "unverändert defizitär", urteilen die Prüfer.

Bei dem nur von wenigen RZ erreichten Standard handelt es sich laut dem von Politico online gestellten Dokument um das Bewertungsschema HVB-kompakt, in dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) 34 Kriterien und Mindestwerte für sicheren Betrieb definiert hat. Die BSI-Prüfung bei einer Auswahl an Bundesbehörden habe ein "dramatisches Umsetzungsdefizit in der Cybersicherheit" ergeben.

Zu wenig Vorsorge und Redundanz

Trübe sieht es demnach auch beim Notstrom in Krisenzeiten aus: Die meisten Behörden seien zwar mit Netzersatzanlagen (NEA) ausgestattet, aber die Notstromversorgung für kritische IT-Geschäftsprozesse in Krisenlagen sei nur unzureichend gesichert. Es fehle an hinreichenden Vorkehrungen für Betrieb, Wartung, Pflege der NEA sowie für Treibstoffversorgung auch außerhalb der Normallage.

Ein weiterer Faktor sei, dass es kritischen IT-Diensten des Bundes oft an Redundanz und damit an Resilienz im Krisenfall fehle. So gebe es bei elf befragten Behörden, die im Spannungs- und Verteidigungsfall wichtige Aufgaben für das Funktionieren des Staates hätten, selbst bei kritischen IT-Diensten keine Georedundanz, in manchen Fällen nicht einmal Betriebsredundanz. Für den Fall der Zerstörung eines RZ hätten vier Behörden angegeben, zwar über keine Redundanzen zu verfügen, aber dafür regelmäßige Backups anzufertigen. Ob mit denen auch eine Wiederherstellung der Dienste möglich sei, habe aber keine getestet.

Ohne derartige Resilienz ließen sich staatliche Kernfunktionen wie Sozialleistungen im Krisenfall aber nicht aufrechterhalten, warnten die Prüfer laut Spiegel in ihrem Bericht an den Haushaltsausschuss des Bundestags. Ihr Fazit: "Die IT des Bundes ist nicht auf die aktuellen Bedrohungen vorbereitet." Die Bundesregierung solle deshalb die gesamte "Cybersicherheitsstrategie neu ausrichten".

Viele Zuständigkeiten, kaum Kontrolleure

Bei den Steuergremien der Bundes-IT sieht der Rechnungshof auch einem Mangel an Informationen über die Lage. Unter anderem fehle es an Kontrolleuren. Das seit Ende 2021 für Prüfungen der Sicherheit der Bundes-IT befugte BSI habe für flächendeckende Aussagen dazu 112 Stellen veranschlagt. Lediglich 20 Stellen seien zugewiesen, drei seien mit Beschäftigten für flächendeckende Kontrollen besetzt.

Als weiteren Problemfaktor hat der Bundesrechnungshof einen "Dschungel von Institutionen und Zuständigkeiten" für die Cybersicherheit ausgemacht. Derzeit seien es 77 staatliche Behörden und Institutionen auf Bundesebene, wobei das Feld der Akteure seit Jahren stetig wachse. Zugleich hätten die Prüfungen des Rechnungshofs aber "eine fehlende oder unzureichende Zusammenarbeit" zwischen all diesen Institutionen festgestellt. Zentralen Akteuren der Cybersicherheitsarchitektur wie dem BSI, dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und der Bundesnetzagentur fehle es auch an einer gemeinsamen Datenbasis und einem einheitlichen, strukturierten Datenaustausch.

Ferner stellt die Prüfbehörde das 2011 gegründete nationale Cyber-Abwehrzentrum infrage. Es gebe keinen Nachweis, dass dieses einen Mehrwert erbringe. Den durch die Bezeichnung geweckten Erwartungen werde es jedenfalls "bisher nicht gerecht".

Erfolg der Cybersicherheitsstrategie "unklar"

Überdies lassen die Prüfer kein gutes Haar an der Cybersicherheitsstrategie des Bundesinnenministeriums. Diese hatte 2021 der damalige Bundesinnenminister Horst Seehofer (CSU) vorgestellt und seine Amtsnachfolgerin Nancy Faeser (SPD) hatte sie erweitert.

Weder seien dabei bestehende Defizite analysiert worden, noch habe die Bundesregierung den Personal- und Ausgabenbedarf ermittelt. Es sei "unklar", ob die Strategie etwas zur Verbesserung der deutschen Sicherheitslage beigetragen habe.

Von der neuen Bundesregierung fordern die Prüfer eine Analyse und Verschlankung der bisherigen Cybersicherheitsarchitektur. Die Regierung solle ihre Maßnahmen "zentral steuern" und für ein besseres Ausgabencontrolling sorgen. Durch die Ausnahmen in der Schuldenbremse möglich gewordene Milliardeninvestitionen sollen auch der Cybersicherheit zugutekommen – ein "Mehr an Geld" führe aber nicht automatisch zu mehr Sicherheit, mahne der Rechnungshof an.

Ministerien stimmen "im Wesentlichen" zu

Stellungnahmen des Bundesinnenministeriums sowie des neu eingerichteten Ministeriums für Digitales und Staatsmodernisierung auf Anfrage der iX-Redaktion stehen zur Stunde noch aus. Laut dem Spiegel hätten beide Ministerien in Vorabstellungnahmen, die Teil des Rechnungshofberichts sind, dem Befund mangelnder Krisenresilienz "im Wesentlichen zugestimmt". Die vielen verteilten Zuständigkeiten, die der Rechnungshof moniert, seien auch auf europäische Vorgaben zurückzuführen. Und das kritisierte Cyber-Abwehrzentrum sei eine Kooperationsplattform ohne Befugnisse in der Cyberabwehr, solle aber "fortentwickelt" werde. Ebenfalls wolle das Innenministerium seine Cybersicherheitsstrategie bis August 2025 evaluiert haben.

Der Bundesrechnungshof bestätigte lediglich, dass man dem Haushaltsausschuss des Deutschen Bundestags einen entsprechenden Beratungsbericht zugeleitet habe. Da es sich um eine Verschluss-Sache "nur für den Dienstgebrauch" handele, könne man keine weiteren Kommentare abgeben.