Regierung vernachlässigt Cybersicherheit

Putins Krieg läuft auch im Netz. Immer wieder gibt es Cyberangriffe auf deutsche Institutionen, die russischen Gruppierungen zuzuordnen sind. Die Bedrohungslage sei so hoch wie nie zuvor, mahnt Bundesinnenministerin Nancy Faeser schon seit Jahren. Die Warnungen decken sich nicht mit den Gegenmaßnahmen der Regierung. Um sich gegen die digitale Bedrohung besser zu rüsten, hat Faeser 2022 ihre Cybersicherheitsagenda vorgestellt. Der Umsetzungsstand: katastrophal.

Nur vier von insgesamt 47 Vorhaben hat das Innenministerium bisher umgesetzt. Das geht aus der Antwort des BMI auf eine Frage von Anke Domscheit-Berg (Linke) im Digitalausschuss hervor, die unserem Dossier Digitalwende vorliegt. Die Abgeordnete hatte im Mai den Umsetzungsstand der Agenda abgefragt. Elf Vorhaben seien mittlerweile sogar zurückgestellt worden, antwortete das Ressort.

„Gefühlt treten wir bei den zentralen Schlüsselthemen in der Cybersicherheit politisch schon seit Jahren auf einer Stelle“, sagte Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht, SZ Dossier. Wie kommt das? Es sei nicht so, dass die Bundesregierung der Cybersicherheit keine Bedeutung beimessen würde. „Sondern es ist einfach nur so, dass sie unfähig ist, eigentlich eindeutige Sachverhalte zugunsten der Cybersicherheit zu entscheiden.“

Das BMI ordne alles der inneren Sicherheit unter, Interessenkonflikte beim Thema könnten so nicht vernünftig aufgelöst werden. Der „desolate Umsetzungsstand“ überrasche insofern nicht.

Auf der Liste der zurückgestellten Vorhaben steht nun unter anderem der Ausbau der Kompetenzen des Bundeskriminalamtes zur Bekämpfung von Cybercrime. Nähere Erläuterungen gibt es dazu im Dokument keine, aber dieser Punkt könnte sich auf die geplante Grundgesetzänderung zu aktiver Cyberabwehr beziehen, die in dieser Legislatur nicht mehr zustande zu kommen scheint. Mit der aktiven Cyberabwehr wollte das BMI wehrhafter werden und einen schwerwiegenden Cyberangriff im Ernstfall abwehren können. Bisher fehlt dort für bestimmte Handlungen die rechtliche Grundlage. Was im Cyberernstfall passieren soll, bleibt also unklar.

Ebenfalls zurückgestellt wurden dem BMI zufolge die Einrichtung eines Kompetenzzentrums zur operativen Sicherheitsberatung des Bundes und die Etablierung des Grundsatzes „security by design and by default“ in der Bundesverwaltung. Das heißt, bei den IT-Anwendungen sollen Sicherheitsaspekte mitbedacht und als Standardeinstellung vorgegeben sein. Die Verzögerung hier sei „völlig unerklärlich“, sagte Kipker. „Denn das ist Stand der Technik.“

Auch die Investition in Quantencomputing beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Gewährleistung der sicheren Regierungskommunikation hat das BMI demnach zurückgestellt. Das BSI, so Kipker, habe am Jahresanfang noch vor den Risiken des Quantencomputings für sichere Kommunikation und Datenhaltung öffentlich gewarnt und dazu geraten, sensible Daten schon jetzt quantensicher zu verschlüsseln. Dass nun nicht in die Technologie investiert werden soll, um sichere Regierungskommunikation zu gewährleisten, wirke vor diesem Hintergrund „geradezu abstrus“.

Unter „erledigt“ stehen in dem Dokument hingegen nur sehr wenige Punkte. Darunter die Erstellung eines jährlichen Bundeslagebildes „Sexuelle Gewalt gegen Kinder“ und eines zentral durch das Bundeskriminalamt koordinierten und bundesweit abgestimmten Meldeprozesses bei Missbrauchsdarstellungen im Internet.

Die meisten Vorhaben sind noch offen, die Legislatur läuft nicht mehr lange. Darunter zentrale Reformen wie die Neuaufstellung des BSI, das unabhängiger und zur bundesweiten Zentralstelle werden soll. Auch das Thema Schwachstellenmanagement und ein Chief Information Security Officer (Ciso), also ein IT-Sicherheitschef der Bundesregierung, sind noch offen.

Für Kipker ist die Situation „mehr als gefährlich“: Bedrohungen werden immer realer, gleichzeitig drehe man sich im politischen Hickhack munter im Kreis. Die Vorhaben, die in der Cyberagenda beschrieben sind, bezeichnet er als „Schlüsselthemen“. Mit solchen allerdings, die im Koalitionsvertrag stehen und durch die Regierung dennoch herzlich ignoriert werden, ist Berlin-Mitte gepflastert. Selina Bettendorf