Informationstechnologie bildet das Rückgrat moderner Verwaltungsprozesse und steht im Mittelpunkt der Umsetzung staatlicher Aufgaben. Daher ist die Besetzung von IT-Sicherheitsstellen im Bund unerlässlich, um die staatlichen Institutionen effektiv vor Cyberangriffen zu schützen und damit die Arbeitsfähigkeit der Bundesbehörden und der Bundesregierung sicher zu stellen. Damit werden auch die Daten der Bürger:innen geschützt, die in Bundesbehörden verarbeitet werden, wie z.B. bei der Agentur für Arbeit, der Deutschen Rentenversicherung oder Bundesamt für Migration und Flucht. Aktuell sind jedoch laut einer Antwort der Bundesregierung auf eine schriftliche Frage von Anke Domscheit-Berg, Digitalpolitikerin der Linken im Bundestag, fast 750 IT-Sicherheitsstellen im Bund unbesetzt, das ist jede sechste dieser Stellen. Mängel in der IT-Sicherheit sind gefährlich, das zeigt die steigende Zahl erfolgreicher Ransomware Angriffe z.B. auf Kommunen, Bildungseinrichtungen und Unternehmen. Ein erfolgreicher Cyberangriff auf eine Bundesbehörde könnte katastrophale Folgen haben, weshalb IT-Sicherheit in allen Geschäftsbereichen der Bundesregierung eine hohe Priorität erhalten muss. Wie aus der Antwort der Bundesregierung jedoch hervorgeht, gibt es sehr große Unterschiede zwischen den Ressorts.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„IT-Sicherheit besteht zu einem erheblichen Teil aus Prävention und dafür braucht es Fachkräfte. Zu wenig IT-Sicherheitsstellen oder bestehende Stellen, die länger unbesetzt sind, erhöhen die Wahrscheinlichkeit von Sicherheitsrisiken, die von Cyberkriminellen potenziell ausgenutzt werden können.

Die Antwort der Bundesregierung auf meine Schriftliche Frage offenbart eine erhebliche Diskrepanz in der Priorisierung und Besetzung dieser Schlüsselpositionen. Es gab zwar seit 2020 einen Anstieg dieser Stellen um 62 Prozent, aber ihre Verteilung und der Besetzungsgrad zeigen, dass es an einer übergreifenden Strategie für IT-Sicherheit im Bund fehlt und die Ministerien mit diesem Thema äußerst unterschiedlich umgehen.

So wurden zwar seit Januar 2023 fast 590 IT-Sicherheitsstellen neu geschaffen, doch jedes zweite Ministerium sah offenbar keinen Bedarf für mehr Stellen, und schlimmer, jede sechste IT-Sicherheitsstelle ist aktuell unbesetzt, das sind insgesamt fast 750 offene Stellen, von denen jede einzelne eine Sicherheitslücke darstellt. Der Anteil unbesetzter IT-Sicherheitsstellen variiert allerdings unter den Ressorts zwischen null und 78 Prozent. Seit Jahren ist das Gesundheitsministerium mit fast 80 Prozent unbesetzter IT-Sicherheitsstellen das Schlusslicht und ignoriert die Bedrohungslage. Gegenüber der ARD wurde von Seiten BMG der Fachkräftemangel als Grund vorgeschoben. Das ist jedoch eine offensichtliche Ausrede, denn während der vier Jahre, in denen 9 IT-Sicherheitsstellen des BMG durchgehend vakant waren und immer noch sind, haben die übrigen Bundesbehörden zusammen mehr als 1753 neue Stellen besetzen können. Weniger als drei Personen sollen im BMG für eine ausreichende IT-Sicherheit sorgen, da hat sogar das neu geschaffene Bauministerium mehr erreicht und das in nur zwei Jahren! Mehrere Jahre lang Dreiviertel aller IT-Sicherheitsstellen unbesetzt zu lassen, während es fast täglich neue Hiobsbotschaften über erfolgreiche Cyberattacken gibt, ist mit nichts zu rechtfertigen! So gefährdet Minister Lauterbach außerdem das Vertrauen der Bevölkerung in seine großen Digitalisierungsprojekte von eRezept bis elektronischer Patientenakte.

Auffällig ist der starke Anstieg des Anteils von IT-Sicherheitsstellen im militärischen Bereich von 24 Prozent in 2020 auf 33 Prozent in 2024 an allen IT-Sicherheitsstellen des Bundes. Die Bedrohung durch Cyberattacken steigt zwar zum einen in ihrer potenziellen Schadenswirkung auf die Gesellschaft, zum anderen nimmt die Wahrscheinlichkeit von Cyberattacken durch staatliche Akteure zu. Konfliktpotenzial liegt jedoch in der notwendigen Balance zwischen militärischer und ziviler IT-Sicherheitskompetenz, denn Fachkräfte sind rar.

Ransomware-Angriffe sind nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die größte Bedrohung für die IT-Sicherheit in Deutschland. Um diesen Angriffen wirksam entgegenzutreten und potenzielle Schäden zu minimieren, braucht es hochqualifizierte IT-Sicherheitsexperten, die nicht nur Angriffe abwehren, sondern auch Sicherheitsstrategien entwickeln und anwenden und das ausreichend in allen Bundesbehörden. Die IT-Sicherheit in den Geschäftsbereichen der Bundesministerien hat schließlich direkte Auswirkungen auf die Sicherheit des gesamten Landes. Notwendig ist deshalb auch eine ressortübergreifende Steuerung, damit eine so wichtige Frage nicht von der Digitalkompetenz der jeweiligen Hausspitze abhängt.“

Anhänge (pdf):

1) Antwort der Bundesregierung im Wortlaut (geschwärzte Fassung)

2) Tabellen zu den IT-Sicherheitsstellen im Bund und ihrer Besetzung von 2020 bis 2024

3) Eigene Analyse der Abfragen 2020-2024 zu diesem Thema