Berlin12.02.2020

„Wir haben eine gravierende Bedrohungslage im Bereich der IT-Sicherheit, aber die Bundesregierung nimmt das Problem offensichtlich nicht ernst“, kommentiert Anke Domscheit-Berg, netzpolitische Sprecherin der Linksfraktion im Bundestag, die Antwort der Bundesregierung auf ihre parlamentarische Frage danach, wie viele Stellen der Ministerien im Bereich IT-Sicherheit unbesetzt sind.

Sie erklärt weiter: „Da jede vierte Stelle unbesetzt ist, weiß die Bundesregierung offenbar nicht, welche elementare Bedeutung IT-Sicherheit in der digitalen Gesellschaft hat.

Das BSI registrierte 2019 mehr als 114 Millionen neue Schadprogramme. Es sieht eine besonders hohe Gefahr bei Ransomware wie etwa Emotet, deren Ziele auch zahlreiche staatliche Stellen und öffentliche Einrichtungen waren. In Deutschland waren Krankenhäuser, Universitäten und Stadtverwaltungen dadurch offline. Gerade staatliche Stellen, die hoheitliche Aufgaben ausüben, müssen sich besser vor Angriffen schützen.

Wir erleben derzeit immer wieder Berichte von gravierenden Datenverlusten. Ursachen sind sowohl Hackerangriffe, als auch schlecht geschützte IT. Gleichzeitig plant die Bundesregierung viele Projekte, bei denen große Datenmengen von Bürgerinnen und Bürgern verarbeitet werden sollen, zum Beispiel die Digitalisierung aller Bürgerdienste und die elektronische Gesundheitsakte.

Wie sollen Menschen darauf vertrauen, dass ihre Daten bei der Bundesregierung und ihren Behörden gut aufgehoben sind, wenn sie offensichtlich nicht einmal in der Lage ist, ihre eigene IT angemessen zu schützen? Das Gesundheitsministerium hat ja nicht nur 60 Prozent unbesetzter IT-Sicherheitsstellen, sondern mit 10 Posten schlicht eine viel zu kleine Stellenzahl. So wird die Bundesregierung selbst zur Gefahr für die öffentliche Sicherheit statt dazu beizutragen, dass Bürger*innen Vertrauen in eine digitale Verwaltung oder in die elektronische Patientenakte fassen.

Das gilt besonders auch für das Innenministerium, in dessen Bereich 577  IT-Sicherheitsstellen unbesetzt sind: Das ist jede 3. Stelle! Gleichzeitig will Innenminister Seehofer mehr Sicherheit durch mehr Überwachung erreichen. Aber ist er in der Lage, die massenhaft gesammelten Daten zu schützen und Grundrechte zu achten? Ich habe große Zweifel. Offenbar hat er die Tragweite dieses Ressourcenmangels nicht verstanden.

Seit Monaten schmort das IT-Sicherheitsgesetz 2.0 in den Schubladen, das gerade kritische Infrastrukturen besser schützen soll. Aber dazu gehören auch die Ministerien selbst und deshalb müssen sie sich auch besser darum kümmern.

Die Bundesregierung sollte eilig die Frage beantworten, seit wann diese katastrophale Situation besteht und was sie dagegen unternehmen wird. Sind ihr wenigstens die Ursachen bekannt? Die Aussage des Innenministeriums, es gebe viele neue Stellen, die erst besetzt werden müssten, ist unglaubwürdig. Besonders das BSI sei betroffen, aber für das BSI sind 2020 lediglich 145 neue Stellen geplant, was nur einen kleineren Teil der 577 unbesetzten Stellen erklären kann.

Auch der Fachkräftemangel allein ist keine hinreichende Erklärung. IT-Sicherheitsfachkräfte wollen nicht nur angemessen bezahlt werden, sondern auch in einer professionellen Umgebung arbeiten. Die IT-Ausstattung ist allerdings auch im Bund bedauernswert schlecht und schlichtweg nicht zeitgemäß. Es gibt kein Life-Cycle-Management für Hardware und Software und in Bundeseinrichtungen sind Server im Einsatz, für die es seit 10 Jahren keine Updates gibt. Hier werden seit vielen Jahren IT Sicherheitsmindeststandards massiv vernachlässigt: Das ist eine Gefahr für uns alle.

Ein Problem ist aber nicht nur, dass jede 4. Stelle von IT-Sicherheitsfachkräften im Bund nicht besetzt ist, sondern auch, dass fast die Hälfte der Bundesministerien weniger als 10 Stellen für eine ausreichende Ausstattung hält – und zwar inklusive der jeweiligen Behörden. Im BMAS sind es nur sieben Stellen, obwohl zu seinem Geschäftsbereich u.a. auch das Bundesarbeitsgericht, das Bundessozialgericht und das Bundesversicherungsamt gehören, also alles Behörden, die mit großen Mengen sensibler Bürgerdaten zu tun haben. Diese gefährliche Situation muss dringend behoben werden, ich erwarte daher von der Bundesregierung einen Maßnahmenplan, der schnell Abhilfe schaffen kann.“

Daten aus der Antwort auf meine schriftliche Frage vom Januar 2020
MinisteriumunbesetztbesetztStellen gesamtProzent unbesetzt
Auswärtiges Amt (AA)410,514,527,6%
Bundesministerium für Arbeit und Soziales (BMAS)0,16,86,91,5%
Bundesministerium für Bildung und Forschung0550,0%
Bundesministerium für Ernährung und Landwirtschaft (BMEL)2,357,19,4524,9%
Bundesministerium der Finanzen (BMF)23,13173,28196,4111,8%
Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ)0550,0%
Bundesministerium für Gesundheit (BMG)6,34,210,560,0%
Bundesministerium der Justiz und für Verbraucherschutz (BMJV)1,514,215,79,6%
Bundesministerium für Verkehr und digitale Infrastruktur (BMVI)333368,3%
Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit (BMU)0880,0%
Bundesministerium der Verteidigung (BMVg)10657468015,6%
Bundesministerium für Wirtschaft und Energie (BMWi)6,621,628,223,4%
Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung (BMZ)1,545,527,3%
Bundesministerium des Innern, für Bau und Heimat (BMI)577,241223,261800,532,1%
Total731,722089,942821,6625,9%

---

Anke Domscheit-Berg ist Brandenburger Bundestagsabgeordnete und netzpolitische Sprecherin der Linksfraktion.

###