- Der Bundesrechnungshof warnt: Die IT der Bundesverwaltung ist nicht ausreichend gesichert.
- Selbst grundlegende Anforderungen wie Notstromversorgung oder Backup-Tests werden vielerorts nicht erfüllt.
- Experten fordern zentrale Strukturen und verbindliche Standards für mehr Cybersicherheit.
Mangelhaft könnte man es nennen, was der Bundesrechnungshof als "nicht bedarfsgerecht" bezeichnet – die Sicherheit der IT der Bundesverwaltung. In einem vertraulichen Bericht des Bundesrechnungshofes, der dem MDR vorliegt, wird aufgeführt, woran es hapert: Nur zehn Prozent der Rechenzentren des Bundes erfüllten den Mindeststandard, mitunter fehlten Notstrom, Ausfälle wären nicht absichert und keine einzige Bundesbehörde hätte getestet, ob ihre Backups im Notfall auch funktionierten.
Cybersicherheit des Bundes auf dem Prüfstand
"Verheerend", nennt das Dennis Kipker. Er ist Professor für IT-Sicherheitsrecht. Jahrelang habe man das Thema Cybersicherheit schlafen lassen. "Und das Ergebnis ist, dass man das nicht nur als desolat, sondern eben auch als verheerend bezeichnen muss. Wir sprechen hier nicht nur abstrakt über Bundes-IT, sondern letzten Endes auch über die Gewährleistung der Daseinsvorsorge durch den Staat."
Bericht zeigt zahlreiche Baustellen auf
Während man in den vergangenen Jahren gezielt auf die Digitalisierung der Verwaltung gesetzt habe, sei nie ein einheitliches Konzept für Cybersicherheit entwickelt worden, beklagt Kipker. "Das muss man bedauerlicherweise als klassisches Missmanagement bezeichnen." Der IT-Sicherheitsexperte spricht von einer eklatanten Missachtung grundlegender Sicherheitsvorgaben. Betreibern kritischen Infrastruktur würde man im selben Fall grobe Fahrlässigkeit unterstellen.
Wie das Digitalministerium des Bundes selbst die Sicherheit der eigenen IT aktuell einschätzt, darauf antwortet es auf MDR-Anfrage nicht. Man wolle aber die Cybersicherheit in der Bundesverwaltung fokussiert steuern und vorantreiben. Doch: Jedes Ministerium sei für die Cybersicherheit in seinem Bereich selbst zuständig. Dabei zeigt der Bericht des Bundesrechnungshofes, dass selbst dabei zum Beispiel nicht klar ist, wie viele Stellen dafür nötig sind. Zum Beispiel rechnet das Ministerium für wirtschaftliche Zusammenarbeit und Entwicklung mit einer halben, das Bildungsministerium mit zwölf Stellen.
Die zehn wichtigsten Kritikpunkte des Bundesrechnungshofes
1. Noch nie wurden die Defizite der IT-Sicherheit der Bundesverwaltung analysiert.
2. Nur zehn Prozent der Rechenzentren des Bundes entsprechen dem BSI-Mindeststandard.
3. Die Notstromversorgung ist für Krisen nicht gerüstet; häufig fehlen georedundante Strukturen der Rechenzentren.
4. Ob Backups funktionieren, hat nicht eine Bundesbehörde getestet.
5. Es gibt einen "Dschungel" an Zuständigen; 370 Akteure. Zuletzt kam das neue Bundesministerium für Digitales und Staatsmodernisierung hinzu.
6. Das Nationale Cyber-Abwehrzentrum hat keine Befugnisse zur Cyberabwehr.
7. Infos über Cyber-Vorfälle können nicht vernünftig geteilt werden.
8. Es gibt keine Stresstests.
9. Niemand darf kontrollieren, wie gut die Cybersicherheit der Bundesverwaltung ist.
10. Niemand weiß, wie viele Stellen zu Cybersicherheit in jedem Bundesministerium sinnvoll sind.
Cybersicherheitsexperte: "Das sind massive Probleme"
All diese ungeklärten Probleme sind für Sven Herpig wenig überraschend. Herpig ist Cybersicherheitsexperte bei der europäischen Denkfabrik Interface. "Überrascht hat mich vor allem, dass Notstrom und redundante Strukturen fehlen", sagt er. "Ich dachte, das hätte man besser im Griff, ehrlich gesagt. Sicherheitsmaßnahmen nicht umgesetzt, Backups nicht getestet – das sind richtig massive Probleme, wenn man die so liest. Das wundert mich schon ein bisschen." Der Rest der Punkte wundert ihn allerdings nicht: "Die meisten Sachen davon hatte ich auch schon mal in irgendeinem der Gastbeträge öffentlich angesprochen."
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist wenig überrascht von den Problemen. Präsidentin Claudia Plattner teilte dem MDR mit: "Die im Bericht des Bundesrechnungshofes aufgezeigten Herausforderungen sind uns bekannt. Es kommt nun darauf an, diese strukturiert abzuarbeiten." Die neue Struktur in der Bundesregierung sei dafür eine gute Ausgangslage. Die Cyberbedrohungen würden wachsen. Das BSI setzt sich für eine robuste IT-Governance-Struktur ein. "Diese Struktur sollte sich über alle Ressorts, Behörden und Institutionen der Bundesverwaltung erstrecken, um Cybersicherheit in der Bundesverwaltung gemeinsam zu organisieren und kontinuierlich zu verbessern."
Die Mängelliste im Bericht des Bundesrechnungshofs ist lang: Das Nationale Cyber-Abwehrzentrum habe tatsächlich gar keine Befugnisse zur Cyberabwehr. Informationen über Cyber-Vorfälle würden die Bundesbehörden nicht vernünftig teilen. Es gebe keine Stresstests. Und niemand würde kontrollieren, wie gut die Cybersicherheit der Bundesverwaltung ist. Außerdem gebe es einen – Zitat – "Dschungel" an Zuständigen: 370 Akteure für Cybersicherheit, zählt der Rechnungshof.
Experten fordern stärkere Zentralisierung
Zuletzt hatte Bundesinnenminister Alexander Dobrindt von der CSU ein Zentrum für Cyberabwehr, gemeinsam mit Israel vorgeschlagen und von einem Cyber Dome gesprochen. Experten sind wenig überzeugt davon. Denn neu zu den Cybersicherheitsbehörden hinzu kam gerade erst das Bundesministerium für Digitales und Staatsmodernisierung.
Das habe jetzt eine klare Aufgabe, sagt Experte Kipker. Es brauche mehr Zentralisierung. Und: "Wir brauchen unbedingt verbindliche Standards und Architekturen. Das heißt, die Bundesregierung hat die Aufgabe, solche Referenzarchitekturen zu fördern, umzusetzen, sich in der gesamten Bundesverwaltung verbindlich darauf zu einigen und das auch zur Umsetzung zu bringen."
Was allerdings bei der neuen Bundesregierung noch fehlt, ist eine genaue Aufgabenverteilung zwischen Bundesinnen- und -digitalministerium. Die soll bis August stehen. An dem Termin wird aber bereits gezweifelt.
Haftungsausschluss: Das Urheberrecht dieses Artikels liegt beim ursprünglichen Autor. Die erneute Veröffentlichung dieses Artikels dient ausschließlich der Informationsverbreitung und stellt keine Anlageberatung dar. Bei Verstößen kontaktieren Sie uns bitte umgehend. Wir werden bei Bedarf Korrekturen oder Löschungen vornehmen. Vielen Dank.
