Bundes-CIO: "100-prozentige IT-Sicherheit kann es nicht geben"

Dieser Beitrag ist die 10. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden.

Ein Ransomware-Angriff auf ein Unternehmen kann schlimme Folgen haben - der auf Regierungsorgane sogar katastrophale. Seit dem russischen Überfall auf die Ukraine stehen beim Stichwort Cyberangriff nicht mehr Kriminelle, sondern staatliche Akteure im Mittelpunkt.

Über diese Gefahr sprechen wir mit Markus Richter, dem Beauftragten der Bundesregierung für Informationstechnik - oder kurz: dem Bundes-CIO. Er empfiehlt, dass bis zu 20 Prozent der IT-Investitionen in die Härtung und Prüfung der Sicherheit fließen.

Außerdem haben wir die Leser von Golem.de gefragt, ob sie die vielbeschworene veränderte Bedrohungslage in ihrem Arbeitsalltag spüren.

Das Interview mit dem Bundes-CIO Markus Richter

Seit dem 1. Mai 2020 ist Markus Richter Beauftragter der Bundesregierung für Informationstechnik, im Beamtendeutsch kurz BfIT oder eben Bundes-CIO. Seit 2007 gibt es diesen Posten, um "die entscheidenden Weichen für eine moderne und sichere IT-Landschaft des Bundes zu stellen". Vorher leitete Richter bereits die IT beim Bundesverwaltungsamt und beim Bundesamt für Migration und Flüchtlinge.

Golem.de: Wie bereiten sich Regierung und Ministerien angesichts einer verschärften Sicherheitslage auf einen Ernstfall vor?

Markus Richter: Die Cyber-Sicherheitslage verändert sich insbesondere durch die Zunahme der Abhängigkeit von der Digitalisierung stetig. Zugleich sehen wir im Zusammenhang mit dem Angriffskrieg auf die Ukraine die Bedeutung des Cyberraums im Rahmen militärischer Auseinandersetzungen.

Den stetigen Veränderungen begegnet die Bundesregierung an vielen Stellen mit weiteren unterschiedlichen Maßnahmen. So wurden beispielsweise mit dem IT-SiG 2.0 wichtige Weichen gestellt, um die Cybersicherheit bei Unternehmen und Bundesverwaltung zu erhöhen. Hier müssen zum Beispiel von bestimmten Teilen Systeme zur Angriffserkennung eingesetzt und technische Mindeststandards eingehalten werden.

Mit der kommenden NIS-2-Richtline werden europaweit neue Mindeststandards in der Cybersicherheit auch für Verwaltungen in Deutschland gesetzt. Diese wird voraussichtlich noch dieses Jahr in Kraft treten. Die vorne genannten Maßnahmen erhöhen die Resilienz von IT-Systemen in Deutschland insgesamt und somit auch für Ereignisse, wie wir sie derzeit in der Ukraine beobachten.

Golem.de: Bis dato gab es so gut wie keine erfolgreichen Ransomware-Attacken auf die Bundesverwaltung, die Sie strategisch zur IT beraten. Was ist Ihr Erfolgsrezept?

Markus Richter: Eine 100-prozentige IT-Sicherheit kann es nicht geben. IT-Systeme sind hoch komplex und werden ständig weiterentwickelt. Es wird immer Schwachstellen geben, die noch unentdeckt sind und ausgenutzt werden können. Daher spielt die Prävention bei der Bekämpfung von Cyberattacken eine besonders wichtige Rolle.

Golem.de: Sie sind als Bundes-CIO auch Ansprechpartner für die Ministerien und Länder, aber sind nicht weisungsbefugt. Entsprechen deren Umsetzungen Ihren Vorstellungen?

Markus Richter: Gemäß der Leitlinie des Bundes für Informationssicherheit in der Bundesverwaltung sind alle Bundesbehörden dazu verpflichtet, ihre Informationen angemessen zu schützen, damit Angriffe entweder gar nicht erst durchdringen oder im Ernstfall identifiziert und abgewehrt bzw. deren Auswirkungen minimiert werden können.

Die Umsetzung der Empfehlungen in den einzelnen Behörden liegt in der Verantwortung der jeweiligen Ressorts und ist nicht immer einfach, da Cybersicherheit zwar wichtig ist, ihr Mehrwert jedoch nicht gemessen werden kann und sie bei der Ressourcenverteilung in direkter Konkurrenz zu weiteren Aufgaben steht. Um die Risiken in der Cybersicherheit beherrschbar zu halten, sind entsprechende Investitionen dringend notwendig.

Als IT-Beauftragter des Bundes würde ich mir wünschen, dass angesichts der veränderten Sicherheitslage flächendeckend deutlich mehr in geprüfte Sicherheit bei der IT des Bundes investiert wird. Ein Richtwert sollte sein, dass etwa 15 bis 20 Prozent der Investitionen in IT in die Härtung und Prüfung der eingesetzten Systeme fließen.

Golem.de: Dafür sind auch die entsprechenden Fachkräfte nötig. Die Gehälter in deutschen Behörden können jedoch nicht mit der freien Wirtschaft mithalten.

Markus Richter: Wir haben die tarifvertraglichen Grundlagen in den vergangenen Jahren deutlich verbessert - etwa was die Einstiegsgehälter angeht. Auch die Rekrutierung von Quereinsteigenden ist unproblematisch möglich. Zudem haben wir weitere übertarifliche Instrumente zur Fachkräftegewinnung und -bindung geschaffen, die weitere passgenaue Lösungen ermöglichen.

Ein Beispiel unter vielen ist die Fachkräftezulage, mit der die Dienststellen einer gesuchten Fachkraft bis zu 1.000 Euro monatlich zusätzlich zahlen können. Wo besonderer Bedarf besteht, kann insofern im Einzelfall pragmatisch nachgesteuert werden.

Zur Unterstützung bei der Gewinnung von Fachkräften gibt es die Möglichkeit, attraktive und flexibel einsetzbare Prämien in Höhe von bis zu 30 Prozent des jeweiligen Grundgehalts zu gewähren, und zwar für die Dauer von maximal 48 Monaten - mit zudem zweimaliger Verlängerungsmöglichkeit. Das kann sich sehen lassen.

Die Einschätzung, dass sich der öffentliche Dienst verstecken muss, teile ich insofern nicht. Es gilt, die Möglichkeiten bei Bewerbermangel auch anzuwenden und dafür offensiv zu werben.

Golem.de: Wie finden Fachkräfte ihren Weg in den öffentlichen Dienst?

Markus Richter: Der Zugang zum öffentlichen Dienst ist auf vielfältige Weise möglich. Im Beamtenbereich gibt es spezielle Vorbereitungsdienste, die auf eine Tätigkeit im öffentlichen Dienst gezielt vorbereiten. Daneben finden sich zum Beispiel für über 400 Studienabschlüsse und über 1.000 Ausbildungsberufe entsprechende Laufbahnen, die die Vorzüge des Beamtentums mit sich bringen. So rekrutiert etwa das BVA, das Bundesverwaltungsamt, seinen IT-Nachwuchs vollständig aus diesen Bewerbenden ohne verwaltungsspezifischen Vorbereitungsdienst.

Mittlerweile sind es 50 Prozent, die das BVA mit einem Onboarding-Programm an ihre spezifischen Aufgaben heranführt. Darüber hinaus gibt es auch noch Möglichkeiten für Quereinsteigende mit Berufserfahrung, verbeamtet zu werden, die nicht über die entsprechende Vorbildung verfügen.

Golem.de: Welche Vorteile kann eine Verbeamtung IT-Fachkräften im Vergleich zur Privatwirtschaft bieten?

Markus Richter: Was die Arbeitsbedingungen angeht, kann der öffentliche Dienst punkten: flexible Arbeitszeiten, Teilzeitmöglichkeiten, mobiles Arbeiten sowie Vereinbarkeit von Familie und Beruf seien hier beispielhaft genannt. Zusammen mit der Sinnhaftigkeit unserer Aufgaben ist das ein echtes Pfund, das wir auf dem Arbeitsmarkt haben.

Golem.de: Was meinen Sie mit Sinnhaftigkeit?

Markus Richter: Im öffentlichen Dienst leisten wir mit unserer Arbeit nicht weniger als einen Beitrag für das Wohlergehen dieses Landes. Das ist für viele eine hohe Motivation für eine Bewerbung im öffentlichen Dienst. Im IT-Bereich bietet insbesondere der Bund eine unvergleichliche Vielfalt an möglichen und spannenden Arbeitsgebieten, etwa bei der zentralen Stelle für Informationstechnik im Sicherheitsbereich oder dem Bundesamt für Sicherheit in der Informationstechnik.

Golem.de: Welche Tipps geben Sie Unternehmen, die ähnliche Budget-Einschränkungen haben?

Markus Richter: Kleinere und mittlere Unternehmen mit eigener Unternehmensphilosophie und Teambindungsmaßnahmen haben sicherlich einen Wettbewerbsvorteil bei der Personalrekrutierung gegenüber Unternehmen, die weniger oder gar keinen Wert auf diese Maßnahmen legen.

Denn wie wir feststellen, sind bei den jüngeren Generationen monetäre Aspekte nur zweitrangig. Wichtiger als die Spitzengehälter sind gute Arbeitsbedingungen, ein konstruktives Arbeitsklima und vor allem gute Onboarding- und Teambindungsmaßnahmen.