Bundesrechnungshof beklagt IT-Sicherheit in Bundesbehörden

Der Bundesrechnungshof hat dem Deutschen Bundestag, dem Bundesrat und der Bundesregierung seine Bemerkungen 2022 zur Haushalts- und Wirtschaftsführung des Bundes zugeleitet. In den Bemerkungen benennt der Bundesrechnungshof systemische Schwachstellen, die der Bund beseitigen muss und Einzelfälle, bei denen er Haushaltsmittel zielgerichteter, effizienter und wirksamer einsetzen sollte.

Im Bereich IT-Sicherheit sieht der Bundesrechnungshof einen Verstoß von Bundesbehörden gegen Geheimschutzvorgaben. Dies gefährde die Sicherheit sensibler Daten. So hätten viele Bundesbehörden ihre internen Behördennetze nicht ausreichend abgesichert. Damit würden sie wesentliche Pflichten missachten, die sie erfüllen müssen, wenn sei sensible, geheimhaltungsbedürftige Daten (Verschlusssachen) verarbeiten. Die Bundesbehörden würden trotz IT-Sicherheitsmängeln und fehlender Verschlusssachenfreigaben an den Netzen des Bundes teilnehmen. Bei Prüfungen in den vergangenen Jahren habe der Bundesrechnungshof eine Reihe von Mängeln bei der IT-Sicherheit von Bundesbehörden festgestellt. So etwa veraltete Betriebssysteme auf Servern, nicht genügend gegen Angriffe geschützte Server, Clients und Datenbanken, nicht ausreichend abgesicherte Netze sowie keine, keine vollständigen oder veraltete Informationssicherheitskonzepte.

Für die Sicherheit der „Netze des Bundes“ ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig. Beim BSI sei bekannt gewesen, dass die Mehrzahl der Behördennetze nicht für die Verarbeitung von Verschlusssachen freigegeben seien. So ist in den Bemerkungen des Bundesrechnungshofes davon die Rede, dass 80 Prozent der Behördennetze der Bundesbehörden, die an den Netzen des Bundes teilnehmen, diese Freigabe nicht hätten. Angesichts der aktuellen Bedrohungslage würden „Dienststellen mit besonderem Geheimschutzbedarf“ herausgehobene Angriffsziele darstellen. Das Bundesinnenministerium sollte laut Bundesrechnungshof dringend auf die betroffenen Behörden einwirken, ihre Behördennetze entsprechend abzusichern.

Einige Bundesbehörden hätten angegeben, dass sie aufgrund mangelnder Ressourcen beim BSI keine oder keine zeitnahe Geheimschutzberatung erhalten hätten. Daher könnten sie auch nicht einschätzen, inwieweit sie noch angemessen geschützt seien. In der Stellungnahme hat das Bundesinnenministerium (BMI) angegeben, das BSI habe bei der Geheimschutzberatung und -kontrolle seine Belastungsgrenze überschritten. So seien beträchtliche Ressourcen für Geheimschutzaspekte in verschiedensten Projekten gebunden. Daher habe das BSI bereits seit längerer Zeit nicht mehr alle Bundesbehörden beraten können. Das BMI hat angekündigt, das BSI in die Lage zu versetzen, seinen gesetzlichen Aufgaben besser nachzukommen. Detaillierte Informationen zu den Bemerkungen 2022 finden sich beim Bundesrechnungshof.