Rechnungsprüfer: Vernichtendes Urteil zum Cyberabwehrzentrum
Das Cyberabwehrzentrum erfülle gegenwärtig in keiner Weise die Erwartungen, derentwegen es 2011 eröffnet wurde , zitiert die Süddeutsche Zeitung aus dem Bericht des Bundesrechnungshofs(öffnet im neuen Fenster) . Es sollte Gefahren für Angriffe aus dem Netz auf kritische Infrastrukturen wie etwa die Strom- und Wasserversorgung abwehren und dazu behördenübergreifend arbeiten. Aber nicht einmal alle drei Kernbehörden nähmen an den täglichen Lagebesprechungen teil.
Das Cyberabwehrzentrum ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelt, das auch sechs der zehn Mitarbeiter stellt. Beteiligt sind zudem das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), die je zwei Arbeitskräfte ins NCAZ entsenden. Außerdem sollen die Bundespolizei, das Bundeskriminalamt, der Bundesnachrichtendienst, die Bundeswehr sowie das Zollkriminalamt als Vertreter in der Behörde in Bonn mögliche Angriffe aus dem Netz überwachen und Gegenmaßnahmen einleiten.
Erwartungen nicht erfüllt
Vor der Eröffnung des Cyberabwehrzentrums 2011 warnte der damalige Innenminister Hans-Peter Friedrich (CSU) im Interview mit der Frankfurter Rundschau vor der wachsenden Bedrohung über das Internet. "Kritische Infrastrukturen wie etwa die Strom- und Wasserversorgung kommen heutzutage ohne hochmoderne IT-Systeme nicht mehr aus" , sagte Friedrich. Die Gefahr, dass diese Systeme angegriffen würden, wachse ständig. Sollten solche Infrastrukturen lahmgelegt werden, könnte das einen großen Teil der Bevölkerung treffen. Mit Hilfe des Nationalen Cyberabwehrzentrums könnten diese Gefahren "besser analysiert und abgewehrt werden" .
Der Arbeitsalltag der Behörde sehe aber anders aus, heißt es in dem Bericht, der der Süddeutschen Zeitung, dem NDR und dem WDR vorliegt. Bereits 2013 habe der Bundesrechnungshof festgestellt, dass das ZKA nur einmal bei einer Besprechung erschienen sei, die dafür bestimmten Teilbereiche der Bundeswehr bis auf den MAD überhaupt nicht. Das Cyberabwehrzentrum sei gegenwärtig "nicht geeignet, die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln." Dabei hatte Friedrich die notwendige Kooperation zwischen den einzelnen Behörden unterstrichen.
Die Einrichtung einer solchen Institution sei aber nicht gerechtfertigt, wenn der einzige vorgegebene Arbeitsablauf eine tägliche Lagebesprechung sei und die Handlungsempfehlungen der Behörde auf "politisch-strategischer Ebene" nur einmal im Jahr ausgegeben würden, moniert der Bundesrechnungshof. Er empfiehlt, das Abwehrzentrum "sollte mit eigenen Aufgaben und Kompetenzen für die Abwehr von Cyberangriffen ausgestattet sein."