Schlechte Noten für die IT des Bundes

Bundesinnenministerin Nancy Faeser hat mit der Cybersicherheitsagenda große Pläne für die Cybersecurity. Doch nun offenbaren sich bei vielen Bundesbehörden schon länger bekannte gravierende Sicherheitsmängel.

Es läuft nicht rund für das Bundesministerium des Innern (BMI) in Sachen Cybersecurity. Für 2023 hat das BMI große Vorhaben zur Verbesserung der IT-Sicherheit geplant. Doch zum Jahresende hagelte es Kritik am Zustand der IT-Sicherheit bei Bundesbehörden und an den geplanten BMI-Maßnahmen. Den ersten Aufschlag machte der Bundesrechnungshof (BRH).

Bundesrechnungshof wies auf gravierende Mängel der Bundes-IT hin

Aus den Mängeln der Bundes-IT resultiert ein verringertes Sicherheitsniveau: „80 % der Bundesbehörden missachten wesentliche Pflichten, die sie erfüllen müssen, wenn sie die Netze des Bundes nutzen“, heißt es im Bericht des BRH. Auch ignorierten sie die Vorgaben für die Verarbeitung von vertraulichen und geheimhaltungsbedürftigen Daten, kritisiert er. Der Bundesrechnungshof habe den Deutschen Bundestages bereits im Jahr 2019 über „Gefahren für die Vertraulichkeit der Daten und für die Sicherheit aller an den Netzen des Bundes teilnehmenden Bundesbehörden“ unterrichtet. Das BMI hätte daraufhin zugesagt, die Mängel für die Netze des Bundes bis zum Jahr 2020 zu beheben. Doch etliche Mängel bestünden nach wie vor.

Cyberangriffe nehmen seit Jahren zu

Die angespannte Sicherheitslage verstärkt die Problematik: „Die Bedrohung der Bundesverwaltung durch Cyberangriffe verschärft sich seit Jahren“, warnt der BRH.

IT-Sicherheit: Die Gefährdungslage erhöht sich

„Dennoch missachten Bundesbehörden den staatlichen Geheimschutz in ihren Behördennetzen und erfüllen nicht die Mindestanforderungen. Dies ist nicht hinnehmbar“, moniert die unabhängige oberste Bundesbehörde. Zu den vom BRH gerügten Mängeln zählen neben veralteten Betriebssystemen auf Servern auch ungeschützte Datenbanken.

Zum Hintergrund erklärt der Bundesrechnungshof: „Die meisten Bundesbehörden verarbeiten in ihren Behördennetzen auch sensible, geheimhaltungsbedürftige Daten (sog. Verschlusssachen). Dazu müssen die Behördennetze bestimmte Mindestanforderungen erfüllen und für die Verarbeitung von Verschlusssachen freigegeben sein. Neben den Behördennetzen gibt es für den Datenaustausch mit anderen Bundesbehörden die Netze des Bundes.“

Lesen Sie auch:

KI-Tools: 22 Werkzeuge, die nicht nur Ingenieuren die Arbeit erleichtern

BSI nicht einbezogen bei Einführung von Kommunikationssoftware in Bundesministerien

Bundesbehörden reagieren nicht auf Sicherheitsanfragen

Der BRH nimmt auch das dem BMI unterstellte Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Pflicht: Das Amt habe im Jahr 2021 die Verschlusssachen-Freigabe von Behördennetzen abgefragt. Doch laut Bericht erfolgte nur von 21 der insgesamt 105 angefragten Bundesbehörden überhaupt eine Rückmeldung dazu.