Fehlendes Sicherheitsmanagement: Rechnungshof sieht IT-Sicherheit der Verwaltung gefährdet

Der Bundesrechnungshof sieht die Informationssicherheit bei der konsolidierten IT des Bundes gefährdet. Der Bundesregierung sei es bisher nicht gelungen, ein Informationssicherheitsmanagement (ISM) einzurichten, "das die Prozesse zur Informationssicherheit in der Bundesverwaltung miteinander verzahnt und auf die zentralisierte IT ausrichtet", heißt es in einem vertraulichen Bericht der Rechnungsprüfer für den Haushaltsausschuss des Bundestages. Der Ausfall zentraler IT-Verfahren könne in einem Informationsverbund die Aufgabenerfüllung mehrerer Bundesbehörden beeinträchtigen.

Hintergrund des 16-seitigen Berichts, der Golem.de vorliegt, ist die sogenannte IT-Konsolidierung der Bundesbehörden, die der Rechnungshof seit Jahren kritisch begleitet. Die Bundesregierung hatte im Jahr 2015 die IT-Konsolidierung gestartet. Ursprünglich sollten bis Ende des Jahres 2022 die IT-Betriebe von Behörden der unmittelbaren Bundesverwaltung in wenigen Rechenzentren konzentriert werden, was als Betriebskonsolidierung Bund (BKB) bezeichnet wird. Darüber hinaus wollte die Regierung bis zum Jahr 2025 die ressortübergreifend nutzbaren IT-Lösungen vereinheitlichen, was unter dem Begriff Dienstekonsolidierung subsumiert wird.

"Attraktives Ziel für Cyberangriffe"

Nun sollen die IT-Betriebe bis zum Jahr 2028 konsolidiert sein, parallel dazu sollen die Behörden bis 2025 einheitliche Verfahren einführen. "Die zentralisierte IT stellt ein attraktives Ziel für Cyberangriffe dar", warnt der Bundesrechnungshof. Denn ein Sicherheitsvorfall in einer Behörde könne sich schnell auf den ganzen Verbund auswirken und diesen gefährden.

Bereits Mitte 2017 beschloss die damalige Bundesregierung, die Anforderungen an die IT-Sicherheit in einer eigenen Richtlinie zu regeln. Diese wurde nach einigem Hin und Her im Dezember 2020 vom IT-Rat der Bundesregierung beschlossen. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte anschließend einen Informationssicherheitsbeauftragten (ISB) dafür ein. Anschließend sollten untergeordnete Dokumente erstellt werden.

Richtlinie soll überarbeitet werden

Doch im Juli 2022 beschlossen das Bundesinnenministerium und das Bundesfinanzministerium, die beide für die IT-Konsolidierung zuständig sind, die Richtlinie zu überarbeiten. Begründet wurde dies "mit der geringen Qualität der bisherigen Arbeitsergebnisse". Offenbar mangelte es zum einen an qualifiziertem Personal, zum anderen hätten "die Zuständigkeit und ein entsprechender Prozess für die Qualitätssicherung gefehlt". Die beiden Ministerien könnten nicht angeben, bis wann ein wirksames ISM für die IT des Bundes aufgebaut werde.

In einem Beschluss vom 19. April 2023 forderte der Haushaltsausschuss die Bundesregierung auf, bis Mitte Mai darzulegen, warum das ISM überarbeitet werden solle. Bis Ende Juni 2023 soll die Regierung erläutern, wie viel Personal und Geld für die Umsetzung des ISM erforderlich seien. Ebenfalls verlangen die Haushälter, "einen ambitionierten und realistischen Zeitplan für ein wirksames ISM" vorzulegen. Außerdem soll die Regierung sicherstellen, "dass, während die Dienste- und IT-Betriebskonsolidierung voranschreitet, die Informationssicherheit in der IT-K Bund fortlaufend überwacht wird".