Berlin, 24.02.2021 – Nach einer ersten Abfrage unbesetzter IT-Sicherheitsstellen in Bundesministerien und nachgeordneten Behörden vor einem Jahr, habe ich erneut nachgefragt. Die Antwort der Bundesregierung zeigt, dass sich seit einem Jahr wenig verbessert hat, immer noch sind große Teile der Bundesregierung weder in der Theorie noch in der Praxis in Sachen IT-Sicherheit gut aufgestellt und stellen damit weiterhin selbst ein IT-Sicherheitsrisiko dar. Bei jedem 3. Ministerium existieren nicht einmal 5 Stellen dafür, über alle Bundesministerien hinweg ist darüber hinaus jede 4. Stelle unbesetzt. Beim BMI sind mit knapp 500 Stellen sogar fast doppelt so viele Posten unbesetzt, wie bei allen anderen Ministerien zusammengenommen, dem BMI ist auch das Bundesamt für Sicherheit in der Informationstechnik nachgeordnet. 

Auffallend war in der aktuellen Abfrage (Drucksache 19/26785) ein extremes Ungleichgewicht neu geschaffener und besetzter IT-Sicherheitsstellen zu Gunsten des militärischen Sektors, denn 86 Prozent der 690 neu geschaffenen Stellen sind im Verteidigungsministerium angesiedelt. Auf den gesamten zivilen Bereich entfallen nur 14 Prozent der neuen Stellen. Schlusslicht ist das Bundesgesundheitsministerium, auf das von den 3.512 Stellen für IT-Sicherheit nur 11 Stellen entfallen, wovon nur 2,5 Stellen überhaupt besetzt sind. Mit Blick auf die Kritikalität sicherer IT bei den großen, digitalen Gesundheitsvorhaben von Minister Jens Spahn ist das ein gefährlicher Zustand.

Dazu erklärt Anke Domscheit-Berg, netzpolitische Sprecherin der Linksfraktion im Bundestag:

“Nach wie vor ist die Bundesregierung selbst ein großes IT-Sicherheitsrisiko. Besondere Sorgen macht mir, dass ausgerechnet im Gesundheitsministerium fast 80% dieser kritischen Stellen unbesetzt sind, denn das Spahn Ministerium muss sich seit Jahren viele Vorwürfe gefallen lassen, weil es die IT-Sicherheit bei Themen wie der elektronischen Patientenakte nicht in Griff bekommt!  Ich frage mich ernsthaft, wie das BMG die Sicherheit digitaler Projekte im Gesundheitswesen beurteilen und sicherstellen will, wenn es so demonstrativ und andauernd die IT-Sicherheit im eigenen Haus vernachlässigt und ganz offensichtlich kaum eigene Expertise dazu hat. Dieser anhaltend schlechte Zustand untergräbt das Vertrauen von Bürger:innen in den digitalen Staat.”

“Verstörend finde ich die Ungleichverteilung von IT-Sicherheitsstellen auf die Ministerien. Dass 86 Prozent der fast 700 neu geschaffenen und 80 Prozent der 661 neu besetzten Stellen für IT-Sicherheit im Bund auf das Verteidigungsministerium entfallen, zeigt, dass die IT-Sicherheit im zivilen Bereich deutlich zu kurz kommt.
Unklar bleibt, wie viele der 3.099 IT-Sicherheitsstellen, die nur auf das Verteidigungsministerium und das BMI entfallen, gar nicht der Erhöhung der IT-Sicherheit dienen, sondern stattdessen offensive Aufgaben erfüllen, die die IT-Sicherheit untergraben, da sie nicht Sicherheitslücken schließen, sondern suchen und geheim halten, um diese Sicherheitslücken für Überwachungszwecke auszunutzen.
Ich habe daher erhebliche Zweifel daran, dass in jedem Ressort ein angemessenes Niveau an IT-Sicherheit im Alltag gewährleistet werden kann. Angesicht der Jahr für Jahr steigenden Bedrohungslage und zunehmenden Abhängigkeit von IT-Systemen ist dieser Zustand hochgradig beunruhigend. Eine Schieflage der IT-Sicherheit, die Militär und innere Sicherheit bevorzugt, die zivilen Bereiche, die die gesamte Gesellschaft betreffen, wie das Gesundheitsministerium, das Ministerium für Arbeit und Soziales oder Ministerium für Bildung und Forschung und all ihre nachgeordneten Behörden aber vernachlässigt, ist gefährlich und verantwortungslos.”

Daten aus den Antworten auf meine schriftlichen Fragen vom Januar 2020 und Februar 2021.

Kompakte Auswertung hier herunterladen.