Kommentar: 77 Verantwortliche – aber kein Sprit für den Notstromdiesel

Die Worte, die der Bundesrechnungshof kürzlich in einem internen, geleakten Bericht für die Cybersicherheit des Bundes fand, sind hart, aber notwendig: „Die IT des Bundes ist nicht bedarfsgerecht geschützt. Haushaltsmittel alleine schaffen keine Cybersicherheit.“

Danach folgt Backpfeife um Backpfeife in einem Bericht, der nicht nur ITlern die Haare zu Berge stehen lässt. Nicht einmal zehn Prozent der über einhundert deutschlandweit verteilten Rechenzentren, auf denen die IT des Bundes aufbaut, erfüllen die Mindeststandards für den Krisenfall.

Soweit man weiß jedenfalls, denn bereits die Informationslage ist mangelhaft: Dem BSI, das die Sicherheit der staatlichen Rechenzentren überprüft, fehlt es an Kontrolleuren. Erst 20 von 112 Prüfer-Stellen sind besetzt, nur drei kümmern sich um das gesamte Bundesgebiet. Dass manche Rechenzentren noch nicht einmal genug Treibstoff für die vorgeschriebene Notstromversorgung besitzen, ist daher nur die Spitze des Eisbergs. Wie viele der tragenden IT-Säulen marode sind, ist also nicht einmal völlig klar.

Das ist aber nicht die wichtigste Erkenntnis aus dem Bericht des Bundesrechnungshofs, es wäre zu kurz gegriffen, hier nur den Kopf über fehlende Redundanzen, Treibstoffkanister und Prüfer zu schütteln. Der Kern des Berichts besagt: Ihr zäumt den Gaul von der falschen Seite auf.

Denn der nunmehr dritten Cybersicherheitsstrategie des Bundes lag keine Analyse der Defizite zugrunde. Statt Probleme zu ermitteln, die zu beheben wären, rief der Bund zahlreiche Einrichtungen ins Leben, die alle irgendwie auch für Cybersicherheit mitverantwortlich sind. Nun zeichne sich die Cybersicherheitsarchitektur „durch einen Dschungel von Institutionen und Zuständigkeiten aus“.

Auch dieses vernichtende Verdikt: notwendige Härte. Denn ganze 77 Einrichtungen zählt der Bundesrechnungshof mittlerweile auf Bundesebene, die bei der IT-Sicherheit mitreden. Die verfügen aber weder über eine gemeinsame Datenbasis, noch kommunizieren sie überhaupt groß miteinander. Das Überborden der Zuständigkeiten lässt die Grafik erahnen, die Dr. Sven Herpig und Frederic Dutke unter cybersicherheitsarchitektur.de zusammengestellt haben.

Und während Innen- und Digitalministerium dem Fazit, dass hier eindeutig zu viele Akteure im Spiel sind, „im Wesentlichen zustimmen“, geben sie den Schwarzen Peter noch einmal nach oben weiter. Viele ins Leben gerufene Institutionen wären durch EU-Vorgaben bedingt. Das klingt zwar durchaus nachvollziehbar (die EU-Institutionen bilden den großen Block im oberen Drittel der Grafik), wirkt aber auch wie das Eingeständnis, eine effektive Umsetzung verbaselt zu haben – siehe aktuell NIS2.

Der Fisch hat in dem Fall also nicht einen, sondern viele Köpfe, die aber alle nicht mehr so gut riechen. Wenn es mehr Sicherheits-Behörden als Sicherheits-Kontrolleure gibt, dann läuft da etwas falsch. Wer möchte, kann auch einmal in seinem Erfahrungsschatz kramen, wie bereit man wäre, ein Projekt mit 77 beteiligten Parteien und ohne einheitliche Datenbasis voranzutreiben. Digitalminister Wildberger drückte es kürzlich im Interview mit den Tagesthemen ganz treffend aus: „Alles wieder etwas zurückbauen, damit einfach wieder Sauerstoff reinkommt“. Das wäre sinnvoll. Und etwas mehr Sprit für das Notstromaggregat bitte auch.

Bei diesem Kommentar handelt es sich um das Editorial der neuen iX 8/2025, die am 25. Juli erscheint.

(kki)