Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Wo viele Köche den Brei verderben : Resilienz staatlicher Kernfunktionen und ihrer kritischen Infrastruktur in der Kritik

In der Cybersicherheit der Bundesverwaltung bemängelt der Bundesrechnungshof in einem bis dato vertraulichen Bericht dezentrale Zuständigkeiten, Steuerung und Kontrolle – gerade auch im Krisenfall. Der Prüfungsschwerpunkt „Resilienz der staatlichen Kernfunktionen und ihrer kritischen Infrastruktur“ spart dabei nicht an kritischen Anmerkungen.

Dr. Aleksandra SowaBedrohungenComplianceManagement und WissenÖffentliche CybersicherheitSecurity-Management
Lesezeit 9 Min.

Der Status der Cybersicherheit, vor allem in den zentralen und dezentralen IT-Infrastrukturen der Bundesverwaltung, sei, so stellte es der Bundesrechnungshof (BRH) in seinem Bericht zur Cybersicherheit fest, „unverändert defizitär“ [1]. Um Staats- und Regierungsfunktionen auch im Krisenfall aufrechtzuerhalten, seien Maßnahmen zum Schutz der informationstechnischen Systeme grundlegend, betonen die Prüfer – nicht nur, aber auch deswegen, weil sich die Bedrohungslage ständig verschlechtert. Oder mit den Worten des Leiters für Cybersicherheitspolitik und Resilienz bei interface, Dr. Sven Herpig: Die Gefährdungslage „stagniert […] jedes Jahr auf hohem Niveau“ [2]. Die Erkenntnisse der Prüfer zeigen unter anderem Mängel bei der Definition und Kontrolle der Cybersicherheitsziele, bei der Wirksamkeit der Cybersicherheitsarchitektur sowie beim Controlling und bei der Steuerung der Cybersicherheit.

Der BRH-Bericht fasst wesentliche Empfehlungen zusammen, wie und welche grundlegenden Änderungen in Struktur und Steuerung erforderlich sind, um bessere Cybersicherheit zu erreichen. Als eine vorab bekannt gewordene Fassung von den Medien aufgegriffen wurde, sprachen IT-Sicherheitsexperten von einer „desolaten“ oder gar „verheerenden“ Lage. Diese Einschätzung bezog sich dabei nicht nur auf die IT des Bundes, sondern stellte zugleich eine Gefährdung der Gewährleistung der Daseinsvorsorge für die Bürger* durch den Staat fest [3].

Dass der BRH die Cybersicherheit der Bundesverwaltung als „unverändert defizitär“ bewertet hat, ist zwar eine wichtige, aber nicht die alleinige Aussage des Berichts: Der BRH hat in der 20. Legislaturperiode zahlreiche Prüfungen zur Informations- und Cybersicherheit der Bundesverwaltung durchgeführt. Die Schlussfolgerungen und Empfehlungen basieren auf einer Reihe von Bewertungen der Resilienz „und ihrer kritischen Infrastruktur, insbesondere in den Bereichen Verkehr, Energie, Cybersicherheit, Kommunikation, innere und äußere Sicherheit, Katastrophen- und Zivilschutz, Gesundheit, Wasser, Ernährung und Finanzen“.

Im Bericht zur Cybersicherheit in der aktuellen Fassung vom 2. Juli 2025 haben die Prüfer ihre wesentlichen Erkenntnisse und Empfehlungen zusammengestellt – ergänzt um Stellungnahmen des Bundesinnenministeriums (BMI) und des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS) sowie um eine „abschließende Würdigung“ des BRH, die sich auf diese Stellungnahmen bezieht.

Zwei Chefs und viele Beiköche?

Die Lage der Cybersicherheit in der Bundesverwaltung hat sich in der 21. Legislaturperiode insoweit verändert, dass nun zwei Bundesministerien – das BMI und das BMDS – die Adressaten des Prüfungsberichts sind. Das zuvor für die Cybersicherheitsstrategie federführend zuständige BMI teilte dem BRH beispielsweise mit, „das vorzeitige Ende der Legislaturperiode habe verhindert, die Weiterentwicklung der Cybersicherheitsstrategie abzuschließen“. Avisiert wurde die Evaluierung der Strategie bis August 2025 – bis zum Redaktionsschluss dieses Beitrags am 8. September ist jedoch kein neuer Entwurf zur Cybersicherheitsstrategie bekannt geworden.

Die Stellungnahmen der nun zuständigen – jedoch nach eigener Darstellung nicht unbedingt selbst verantwortlichen – Bundesministerien wirken zunächst durchaus konstruktiv: Auf Anfrage der Prüfer haben BMI und BMDS im Wesentlichen der Würdigung und den Empfehlungen des BRH zur Krisenresilienz der rund 100 Rechenzentren (RZ) des Bundes zugestimmt. Der BRH hat jedoch mehrere Aspekte der Resilienz der IT des Bundes bemängelt, darunter: ein unzureichendes Sicherheitsniveau und ein „Umsetzungsdefizit“ beim relevanten Mindeststandard, dem sogenannten komprimierten Hochverfügbarkeitsbenchmark (HVB-kompakt). Zuvor hatte das BSI dessen Umsetzung bei lediglich 10% der untersuchten Behörden bestätigt.

Weiterhin kritisiert wurden:

  • eine fehlende, für den Krisenfall adäquate Stromversorgung
  • Zentralisierung ohne Georedundanz – „in manchen Fällen noch nicht einmal […] eine Betriebsredundanz“
  • fehlende Strategie fehlende Ressourcen (u. a. auch für den Ausbau des Detection-as-a-Service-(DaaS)-Diensts durch das BSI) sowie
  • unzureichende Kontrollen

Aus der Stellungnahme des BMI ging hervor, dass sich das Bundesministerium schwer damit tut, „seine federführende Verantwortung und Koordinierungsfunktion für das (IT-)Krisenmanagement, die IT-Steuerung des Bundes und die Cybersicherheit angemessen wahrzunehmen“, wie die Prüfer bedauerten – das BMI sehe sich hier vielmehr nur in einer koordinierenden Rolle. Aufgrund des Ressortprinzips müssten die Behörden eigenständig prüfen, welche ihrer Rechenzentren notwendig seien, um Staats- und Regierungsfunktionen auch in Krisenlagen aufrechtzuerhalten, erklärte das Ministerium.

Die Prüfer des BRH berichtigen: „Der neue Ressortzuschnitt in der 21. Legislaturperiode weist dem BMDS eine übergreifende Verantwortung für den Einsatz der IT-Mittel der Ressorts zu. Dies sollte ihm ermöglichen, die erforderlichen Maßnahmen durchzusetzen, um die Resilienz der zentralen und dezentralen IT-Infrastrukturen schnell und umfassend zu stärken.“

Es verwundert insofern wenig, dass die Prüfer angesichts der Stellungnahmen auf ihren Empfehlungen bestehen. Nicht zuletzt mit Verweis auf die Resultate der LÜKEX-23-Übung [4] betont der BRH, dass es „angesichts der ressortübergreifenden Auswirkungen potenzieller Angriffe auf IT-Infrastrukturen nicht sachgerecht ist, die Verantwortung für die Krisenresilienz der RZ den Ressorts individuell zu überlassen“. Auch im Spannungs- oder Verteidigungsfall müssten kritische Dienste in einzelnen RZ im Interesse der gesamten Bundesverwaltung zwingend aufrechterhalten werden, so die Prüfer. Und sie erinnern die Bundesministerien an ihre federführende Verantwortung und Koordinierungsfunktion für das IT-Krisenmanagement, die IT-Steuerung des Bundes und die Cybersicherheit.

An dieser Stelle macht offenbar nicht nur den Prüfern, sondern auch der IT-Sicherheit insgesamt die deutsche Sprache einen Strich durch die Rechnung: Sie unterscheidet nicht explizit zwischen Accountability (Verantwortung) und Responsibility (Verantwortung) für die Cybersicherheit. Den Bundesministerien kommt das offenbar entgegen.

Qualitätssicherung und Zielsetzung

Neben der Informationssicherheit und den Rechenzentren rückten drei weitere Prüfungsschwerpunkte in den Fokus des BRH:

  • die Cybersicherheitsstrategie des Bundes, einschließlich ihrer 44 Ziele, wie die Bundesregierung die Cybersicherheit in Deutschland aufrechterhalten und verbessern will
  • die zunehmend komplexe und wachsende Cybersicherheitsarchitektur in Deutschland (die u. a. auch im Fokus laufender Analysen der Stiftung interface liegt [5])
  • Ressourcen für Cybersicherheit – Personal und Budget – sowie angemessene Instrumente zur Kontrolle der Ausgaben und des IT-Budgets, Informationssicherheitscontrolling sowie eine transparente Verankerung und einheitliche betriebswirtschaftliche Verschlüsselung der Ausgaben für Cybersicherheit aus dem kürzlich geschaffenen Sondervermögen „Infrastruktur“

Die Prüfer kritisieren hierzu unter anderem die fehlende Erfassung des Ist-Zustands bei der Umsetzung der Cybersicherheitsmaßnahmen als Ausgangspunkt für eine klare Zielsetzung (Soll-Zustand) der Cybersicherheitsstrategie der Bundesregierung: „Der Cybersicherheitsstrategie hätte nicht nur eine Bedrohungs-, sondern auch eine übergeordnete Defizitanalyse zugrunde liegen müssen.“ Zwar wurden 180 Indikatoren definiert – doch laut BRH bleibt unklar, „welche Bedeutung die Ziele und die ihnen zugeordneten Indikatoren für die Bewältigung der Bedrohungen und Angriffsvektoren haben“, da „für Attribute wie ‚effizient‘, ‚effektiv‘ oder ‚zunehmend‘ sowohl Ist- als auch Zielwerte fehlen“.

Die Folge: Eine Priorisierung der 44 Ziele aus der Cybersicherheitsstrategie ist nicht möglich – und damit auch keine operative oder strategische Steuerung und Kontrolle. Der BRH fordert daher Ziele genau und überprüfbar zu formulieren, ihren konkreten Beitrag zur Verbesserung der Cybersicherheit zu definieren und „von Beginn an eine wirksame Steuerung“ aufsetzen – mit strategischem wie operativem „fortlaufendem Controlling“.

Neben dem Controlling und der laufenden Kontrolle von Zielerreichung und Wirksamkeit der Cybersicherheitsstrategie rät der BRH auch zu einem Informationssicherheitscontrolling, um die Ausgaben für Cybersicherheit in den Griff zu bekommen. Konkret: „Den Entscheidungsträgern in den IT-Steuerungsgremien, aber auch dem Haushaltsgesetzgeber, fehlt das zentrale Instrument, um die Wirtschaftlichkeit und die Wirkung der von ihnen verantworteten Cybersicherheitsmaßnahmen übergreifend und umfassend bewerten zu können.“

Die Prüfer weisen darauf hin, dass Transparenz und Einheitlichkeit bei der Veranschlagung der Ausgaben für Cybersicherheit in den verschiedenen Ressorts zwingend erforderlich seien: „Wenn das BMF die Ausgaben für Cybersicherheit nicht angemessen eingrenzt, könnten diese den Bundeshaushalt in einem Umfang belasten, der kaum kalkulierbar ist.“ Als ersten Schritt zu mehr Transparenz schlägt der BRH eine „vereinheitlichte IT-Budgetplanung“ und einen fortlaufenden Soll-Ist-Vergleich zum Ressourceneinsatz und zum jeweils aktuellen Status der Informationssicherheit vor. Auch davon „ist die Bundesverwaltung noch weit entfernt“, stellen die Prüfer nüchtern fest – und bleiben bei ihren Empfehlungen.

Einordnung und Fazit

Überraschen diese Prüfergebnisse? Nicht unbedingt. Auffallenderweise sind viele der Beobachtungen und daraus folgenden Empfehlungen des BRH konsistent mit Kritikpunkten in den Stellungnahmen von Sachverständigen in den Anhörungen des Bundestags zur IT-Sicherheit oder mit den Einschätzungen von Experten zu den aktuellen Gesetzesvorhaben wie dem NIS-2-Umsetzungsgesetz oder dem KRITIS-Dachgesetz (vgl. etwa [6]). Das trifft beispielsweise dort zu, wo es um effiziente Zusammenarbeit zwischen den Behörden, die Vermeidung von Doppelstrukturen, eine gemeinsame Datenbasis und einen einheitlichen, strukturierten Datenaustausch zwischen den Bundesämtern für Sicherheit in der Informationstechnik (BSI), für Bevölkerungsschutz und Katastrophenhilfe (BBK), der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie der Bundesnetzagentur (BNetzA) geht (S. 9 in [1]).

Und dies gilt im Besonderen auch für Meldepflichten zu Sicherheitsvorfällen: BMI und BMDS hätten in ihren Stellungnahmen auf europäische Vorgaben hingewiesen, die für verteilte Zuständigkeiten in den KRITIS-Sektoren ursächlich seien, erklären die Prüfer. Doch es sei Aufgabe der nationalen Umsetzung, mehrfache Meldepflichten zu vermeiden und so „dem BSI zu einem vollständigen Lageüberblick zu verhelfen“. Ähnliche Hinweise und Empfehlungen finden sich in den Stellungnahmen von Verbänden und Vereinen zum aktuellen Referentenentwurf des NIS-2-UmsuCG (vgl. [7]) – ebenso wie in der entsprechenden Stellungnahme des Bundesrats [8].

Bei der Herausforderung, klare, nachvollziehbare, transparente und messbare Indikatoren für die Bewertung von Maßnahmen zur Cybersicherheit zu definieren, erhalten die Bundesverwaltung und die zuständigen Bundesministerien Hilfe von einer überraschenden Seite: Passenderweise hat das US-amerikanische National Institute of Standards and Technology (NIST) kürzlich – nach über 16 Jahren – seine Special Publication „Measurement Guide for Information Security“ (NIST SP 800-55) umfassend überarbeitet. Die Neufassung liefert zahlreiche Vorgaben, wie sich die Bewertung von Informationssicherheitsprogrammen und -maßnahmen auf eine solide Basis stellen lässt – und sie bietet darüber hinaus Definitionen, wie Begriff e wie „effektiv“ oder „effizient“ im Kontext der Cybersicherheit zu verstehen sind [9].

Während die Bedrohungslage also auf hohem Niveau stagniert, stagniert offenbar auch die Cybersicherheit der Bundesverwaltung. Im Wettrennen zwischen Codemakern und Codebreakern könnte der Bund im Ernstfall dadurch den Kürzeren ziehen. Klar ist nach diesem Bericht allerdings nur eines: Am Ende war womöglich niemand für eine solche Katastrophe verantwortlich.

Dr. Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte, Datenschutzauditorin und IT-Compliance-Manager, Sachverständige für IT-Sicherheit sowie Mitglied im Leitungskreis der FG „Datenschutzfördernde Technik (Privacy-Enhancing Technologies)“ der GI e. V

Literatur

[1] Bundesrechnungshof (BRH), Cybersicherheit, Weichenstellungen für einen sicheren Cyberraum, Bericht nach § 88 Absatz 2 BHO an den Haushaltsausschuss des Deutschen Bundestages – Prüfungsschwerpunkt „Resilienz der staatlichen Kernfunktionen und ihrer kritischen Infrastruktur“, Juli 2025 (offiziell unveröffentlicht), geleakte Version online verfügbar über https://netzpolitik.org/wp-upload/2025/07/2025-07-02_BRH_Resilienzder-staatlichen-Kernfunktionen.pdf

[2] Lorenz Abu Ayyash, „Wir brauchen einen Notfallplan“, Ein Gespräch über die deutsche Cybersicherheitsarchitektur, Cyberoperationen und Grundgesetzänderungen mit Sven Herpig, Aus Politik und Zeitgeschichte (APuZ) 22–24/2023, Mai  2023, S.  14, www.bpb.de/system/fi les/dokument_pdf/APuZ_2023-22-24_online.pdf

[3] Marcel Roth, Bundesrechnungshof warnt vor mangelnder IT-Sicherheit in der Bundesverwaltung, MDR aktuell, Juli  2025, www.mdr.de/nachrichten/deutschland/politik/cybersicherheit-bundesrechnungshof-bundesverwaltung-100.html

[4] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Auswertungsbericht LÜKEX 23 – Cyberangriff auf das Regierungshandeln, Juni 2024, www.bbk.bund.de/DE/Themen/Krisenmanagement/LUEKEX/Auswertungsbericht/auswertungsbericht_node.html

[5] Dr. Sven Herpig, Frederic Dutke, Deutschlands staatliche Cybersicherheitsarchitektur, Stiftung Neue Verantwortung (jetzt: interface), Publikationen bis Oktober 2023 auf www.interface-eu.org/publications/deutschlands-staatliche-cybersicherheitsarchitektur bzw. fortlaufend auf www.cybersicherheitsarchitektur.de  

[6] Gesellschaft für Informatik (GI) e. V., Nächste Runde NIS2: GI fordert klare Defi nitionen und vereinfachte Meldungen, August 2025, https://gi.de/meldung/nis2-gi-fordert-klare-definitionen

[7] Dr. Aleksandra Sowa, Komplexe Aufgaben – (un) klare Ansagen?!, Absehbare Meldepfl ichten nach NIS-2- Umsetzungsgesetz, KRITIS-Dachgesetz und DORA, <kes> 2024# 4, S. 18

[8] Bundesrat der Bundesrepublik Deutschland, Stellungnahme des Bundesrates zum Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), BR Drucksache 380/24 (Beschluss), September 2024, www.bundesrat.de/SharedDocs/drucksachen/2024/0301-0400/380-24(B).pdf

[9] Dr. Aleksandra Sowa, NIST SP  800-55: Cybersecurity braucht seriöse Buchhaltung, Neuaufl age des Standards für Metriken und Kennzahlen zur Informationssicherheit, <kes> 2025# 2, S. 58

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.