Jeden Monat nutze ich die Möglichkeit, schriftliche Fragen an die Bundesregierung zu stellen. Neben den weitaus bekannteren Kleinen Anfragen, mit denen die Fraktionen viele Informationen auf einmal erfragen können, sind diese eine gute Möglichkeit, gezielt Informationen über spezifische oder aktuelle Themenkomplexen zu beschaffen. Wie gut man mit einer Antwort am Ende wirklich arbeiten kann, bleibt jedoch häufig dem Zufall überlassen. Im Januar habe ich mich mal wieder der IT-Sicherheit des Bundes gewidmet – und landete damit (leider) einen Volltreffer. Ein Viertel aller Stellen für IT-Sicherheit in den Bundesministerien ist nicht besetzt! Damit wird die Bundesregierung selbst zu einem Risiko für die öffentliche IT-Sicherheit.
Doch von vorn: In den Regierungsnetzen werden monatlich 64.000 E-Mails mit Schadprogrammen abgefangen. Insgesamt registrierte das BSI, die IT-Sicherheitsbehörde des Bundes, im Jahr 2019 mehr als 114 Millionen neue Schadprogramme. Als besonders gefährlich stuft man dort Ransomware ein. Diese verschlüsselt alle Daten auf dem jeweiligen Computer, sodass die Besitzer*in des Systems am Ende nicht mehr darauf zugreifen kann. Nur gegen ein Lösegeld können die Daten wieder freigekauft werden – das allerdings auch nicht immer.
Im Januar musste in Potsdam die gesamte Verwaltung vom Netz genommen werden, nachdem Schadsoftware in den Systemen entdeckt wurde. Die digitale Kommunikation nach außen war komplett abgetrennt, auch zu staatlichen Dienstleistern wie der Bundesdruckerei. Plötzlich konnten dort keine Pässe mehr bestellt werden und auch die KFZ-Stelle musste komplett schließen. Erst eine Woche nach dem Vorfall konnten die meisten Dienstleistungen wieder angeboten werden.
Auch das Berliner Kammergericht (in anderen Bundesländern heißt es Oberlandesgericht) erlitt durch die Malware Emotet einen IT-Totalschaden: Daten wurden geklaut, darunter möglicherweise auch Zeugenaussagen und Ermittlungsakten.
Mit Hackerangriffen haben jedoch nicht nur Städte, Kommunen und Institutionen der Länder zu kämpfen, auch die Netze des Bundes wurden bereits mehrfach infiltriert. Zuletzt im Juli letzten Jahres.
Grund genug, einmal nachzufragen, wie es denn nun um die IT-Sicherheit des Bundes steht. Genauer gesagt: um die Anzahl an Stellen, die in den einzelnen Ministerien dafür geschaffen wurden und wie viele davon wirklich besetzt sind.
Die Antwort darauf zeigt einmal mehr, dass im Bund in diesem Bereich einiges im Argen liegt.
Wir haben eine gravierende Bedrohungslage im Bereich der IT-Sicherheit, doch offensichtlich nimmt die Bundesregierung dieses Problem nicht ernst. Wenn jede vierte Stelle unbesetzt ist, weiß die Bundesregierung offenbar nicht, welche elementare Bedeutung IT-Sicherheit in der digitalen Gesellschaft hat!
Derzeit erleben wir immer wieder Berichte von gravierenden Datenverlusten. Ursachen sind sowohl Hackerangriffe, als auch schlecht geschützte IT. Gleichzeitig plant die Bundesregierung viele Projekte, bei denen große Datenmengen von Bürgerinnen und Bürgern verarbeitet werden sollen, zum Beispiel die Digitalisierung aller Bürgerdienste und die elektronische Gesundheitsakte.
Wie sollen Menschen darauf vertrauen, dass ihre Daten bei der Bundesregierung und ihren Behörden gut aufgehoben sind, wenn sie offensichtlich nicht einmal in der Lage ist, ihre eigene IT angemessen zu schützen? Das Gesundheitsministerium hat ja nicht nur 60 Prozent unbesetzter IT-Sicherheitsstellen, sondern mit 10 Posten schlicht eine viel zu kleine Stellenzahl.
Bei der aktuellen Lage wird die Bundesregierung selbst zu einer Gefahr für die öffentliche Sicherheit, statt dazu beizutragen, dass Bürger*innen Vertrauen in eine digitale Verwaltung oder in die elektronische Patientenakte gewinnen können.
Das gilt besonders auch für das Innenministerium, in dessen Bereich 577 IT-Sicherheitsstellen unbesetzt sind: Das ist jede 3. Stelle! Gleichzeitig will Innenminister Seehofer mehr Sicherheit durch mehr Überwachung erreichen. Aber ist er in der Lage, die massenhaft gesammelten Daten zu schützen und Grundrechte zu achten? Ich habe große Zweifel. Offenbar hat er die Tragweite dieses Ressourcenmangels nicht verstanden.
Seit Monaten schmort das IT-Sicherheitsgesetz 2.0 in den Schubladen, das gerade kritische Infrastrukturen besser schützen soll. Aber dazu gehören auch die Ministerien selbst und deshalb müssen sie sich auch besser darum kümmern.
Die Bundesregierung sollte eilig die Frage beantworten, seit wann diese katastrophale Situation besteht und was sie dagegen unternehmen wird. Sind ihr wenigstens die Ursachen bekannt? Die Aussage des Innenministeriums, es gebe viele neue Stellen, die erst besetzt werden müssten, ist unglaubwürdig. Besonders das BSI sei betroffen, aber für das BSI sind 2020 lediglich 145 neue Stellen geplant, was nur einen kleineren Teil der 577 unbesetzten Stellen erklären kann.
Auch der Fachkräftemangel allein ist keine hinreichende Erklärung. IT-Sicherheitsfachkräfte wollen nicht nur angemessen bezahlt werden, sondern auch in einer professionellen Umgebung arbeiten.
Eine der Ursachen für den gravierenden Personalmangel im BMI ist, dass viele IT-Sicherheitsexpert*innen dort schlicht nicht arbeiten wollen.
Besonders kritisiert wird die Einbettung der IT-Sicherheitsbehörde BSI in den Aufgabenbereich des Innenministeriums. Zum Aufgabenbereich des Innenministeriums gehören auch die Geheimdienste, die Sicherheitslücken für ihre Arbeit kaufen und horten. Den Handel mit Sicherheitslücken und eine offensive Ausrichtung des Cyberkriegs lehnen viele Expert*innen strikt ab. Das BSI dem Innenminister zu unterstellen ist für sie, wie den Bock zum Gärtner zu machen. Wer die flexiblen Arbeitsabläufe und moderne Arbeitsplatzgestaltung in der IT-Branche gewohnt ist, kann sich nur schwer vorstellen, sich an die starren Abläufe und eine IT-Arbeitsplatz wie aus dem letzten Jahrhundert in deutschen Behörden zu gewöhnen. Auch höhere Gehälter und Verbeamtung würden diesen Zustand nicht attraktiver machen.
Die IT-Ausstattung ist allerdings auch im Bund bedauernswert schlecht und schlichtweg nicht zeitgemäß. Es gibt kein Life-Cycle-Management für Hardware und Software und in Bundeseinrichtungen sind Server im Einsatz, für die es seit 10 Jahren keine Updates gibt. Hier werden seit vielen Jahren IT Sicherheitsmindeststandards massiv vernachlässigt: Das ist eine Gefahr für uns alle.
Ein Problem ist aber nicht nur, dass jede vierte Stelle von IT-Sicherheitsfachkräften im Bund nicht besetzt ist, sondern auch, dass fast die Hälfte der Bundesministerien weniger als 10 Stellen für eine ausreichende Ausstattung hält– und zwar inklusive der jeweiligen Behörden. Im BMAS sind es nur sieben Stellen, obwohl zu seinem Geschäftsbereich u.a. auch das Bundesarbeitsgericht, das Bundessozialgericht und das Bundesversicherungsamt gehören, also alles Behörden, die mit großen Mengen sensibler Bürgerdaten zu tun haben. Diese gefährliche Situation muss dringend behoben werden, ich erwarte daher von der Bundesregierung einen Maßnahmenplan, der schnell Abhilfe schaffen kann.
Anbei die Tabelle aus der Antwort der Bundesregierung. Die Anzahl der Stellen bezieht sich jeweils auf die Ministerien und deren nachgeordnete Behörden:
Ergänzung (19.02.2020)
Wer zu dem Thema weiterlesen möchte, dem lege ich folgende Publikationen/Links ans Herz:
- Julia Schuetze (2018): Warum dem Staat IT-Sicherheitsexpert:innen fehlen. Eine Analyse des IT-Sicherheitsfachkräftemangels im Öffentlichen Dienst. In: Stiftung Neue Verantwortung (Hrsg.), URL: https://www.stiftung-nv.de/sites/default/files/it-sicherheitsfachkraeftemangel.pdf.
- Sven Herpig und Kira Messing (2019): Akteure und Zuständigkeiten in der deutschen Cybersicherheitspolitik. In: Stiftung Neue Verantwortung (Hrsg.), 3. Auflage, URL: https://www.stiftung-nv.de/sites/default/files/zustandigkeiten.cyber-sicherheitspolitik-eu-de.pdf.
- Sven Herpig (@z_edian): Die Fachkräftelage bei IT-Sicherheit im öffentlichen Dienst (Bundesebene) am Beispiel des Auswärtigen Amtes (Thread bei Twitter).