Mit <kes>+ lesen

Ein Ausblick auf die Möglichkeiten zur Neuaufstellung der nationalen Cybersicherheitsbehörde : Quo vadis, BSI?

Der vorliegende Beitrag soll die politische Debatte um die Neustrukturierung des BSI in der nationalen Cybersicherheitsarchitektur auf eine rechtliche Grundlage stellen. Hierzu werden zunächst die Aufgaben und Befugnisse der Behörde vor ihrem historischen Hintergrund beleuchtet, um im Anschluss den möglichen Rechtsrahmen zu diskutieren, innerhalb dessen sich ein „neues BSI“ bewegen könnte.

Die Umstrukturierung des BSI ist definitiv eine Aufgabe der aktuellen Legislaturperiode – sie ist auch Gegenstand des Koalitionsvertrags. Anpassungen sind wichtig, um die nationale Cybersicherheitsbehörde Deutschlands in einem Zeitalter umfassender Vernetzung und Cyberbedrohung zukunftssicher aufzustellen. Über die gegebenen Möglichkeiten wird bereits seit mehreren Jahren rechtspolitisch diskutiert.

Das BSI im Wandel der Zeit

Die historischen Wurzeln des BSI reichen weit in die Vergangenheit der damals noch jungen Bundesrepublik zurück: Hervorgegangen aus der in den 1950er-Jahren gegründeten „Zentralstelle für das Chiffrierwesen“ stand die Behörde zunächst in einem sicherheitsbehördlichen Kontext – ihre Aufgabe bestand unter anderem in der Entschlüsselung von Kommunikation im Auftrag der Sicherheitsdienste des Bundes, so beispielsweise des Bundesnachrichtendiensts (BND). Schon damals hatte die Zentralstelle für das Chiffrierwesen jedoch auch die Aufgabe, für die Bundesverwaltung eine sichere Kommunikation herzustellen – die IT-Sicherheit war damit denknotwendigerweise aber noch nicht verbunden.

Die Änderung über dieses Verständnis der Aufgabenstellung erfolgte recht spät: So wurde erst 1987 das Aufgabenspektrum dieser Vorgänger-Behörde um die Computersicherheit erweitert. Im Jahr 1989 erfolgte schließlich eine zusätzliche Erweiterung des Aufgabenbereichs hin zu den Sicherheitsaspekten der zivilen Anwendung der Informationstechnik. Das BSI, wie wir es heute kennen, wurde Anfang 1991 begründet: Zum 1. Januar 1991 wurde das Amt kraft Gesetz als Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern (BMI) errichtet.

Neben der IT-Sicherheit war das neu gegründete BSI auch für die Unterstützung der Polizei- und Strafverfolgungsbehörden zuständig. Doch schon damals bahnte sich bereits die verbraucher- und unternehmensnahe Funktion des BSI an, indem ihm zusätzlich die Aufgabe der Beratung von Vertrieb, Herstellern und Anwendern von IT-Systemen zufiel.

Einschneidende gesetzliche Änderungen, die das BSI schließlich seinem heutigen Aufgaben- und Funktionsumfang nahebrachten, erfolgten durch das BSI-Gesetz (BSIG) von 2009 sowie das erste IT-Sicherheitsgesetz von 2015: Ersteres schuf Befugnisse des BSI, um selbstständig zur Abwehr von Gefahren auf die Bundes-IT tätig zu werden und die IT-Sicherheit innerhalb der Bundesverwaltung zu steigern. Letzteres teilte dem BSI die Aufsicht über die IT-Sicherheit der kritischen Infrastrukturen (KRITIS) zu. Dieser Befugnisrahmen wurde in den Folgejahren durch den Gesetzgeber stetig erweitert. Vor allem das zweite IT-Sicherheitsgesetz (IT-SiG 2.0) sorgte 2021 für einen erheblichen Ausbau des Anwendungsbereichs der BSI-Befugnisse, indem nun auch die sogenannten „Unternehmen im besonderen öffentlichen Interesse“ (UBI) mit einer besonderen wirtschaftlichen Relevanz unter die Aufsicht des BSI gestellt wurden. Damit vollzogen gleichermaßen das BSI als Behörde und die Cybersicherheit im Ganzen einen deutlichen Wandel: Die Aufgabe der IT-Sicherheit wurde damit erstmals von einer primär staatlichen über eine Aufgabe des kritischen Infrastrukturschutzes zu einer zentralen Anforderung des allgemeinen Wirtschaftsschutzes.

Mit Blick auf die Zukunft stehen dem BSI darüber hinaus weitere erhebliche Änderungen in seinem Befugnis- und Handlungsrahmen ins Haus, denn vor allem Quo vadis, BSI? Ein Ausblick auf die Möglichkeiten zur Neuaufstellung der nationalen Cybersicherheitsbehörde Der vorliegende Beitrag soll die politische Debatte um die Neustrukturierung des BSI in der nationalen Cybersicherheitsarchitektur auf eine rechtliche Grundlage stellen. Hierzu werden zunächst die Aufgaben und Befugnisse der Behörde vor ihrem historischen Hintergrund beleuchtet, um im Anschluss den möglichen Rechtsrahmen zu diskutieren, innerhalb dessen sich ein „neues BSI“ bewegen könnte. © DATAKONTEXT GmbH · 50226 Frechen · 2024 11 #1 die Europäische Union vollzieht den Cyberschutz mehr und mehr nicht nur als unternehmens-, sondern auch als flächendeckende produktbezogene Regelung. Soweit dem BSI ab 2024 hier überdies die Rolle der zentralen Behörde zur nationalen Umsetzung des europäischen Cyber-Resilience-Act (CRA) zufällt, entwickelt sich das Bundesamt letztlich in Richtung einer digitalen Marktzulassungsbehörde.

Damit wird klar: Die Aufgabe der Cybersicherheit hat sich deutlich gewandelt und ist trotz der historisch gewachsenen Verortung des BSI im Innenressort mittlerweile vornehmlich eine Aufgabe des digitalen Wirtschaftsschutzes mit Anknüpfungspunkten in unzählige Branchen geworden. Damit verbunden stellt sich zwangsläufig die Frage, wie eine auf die nationale Cybersicherheitsarchitektur bezogene Neustrukturierung des BSI im Gleichlauf mit den neuen regulatorischen Vorgaben aussehen könnte, die in den kommenden Jahren europaweit zur Umsetzung gebracht werden.

Optionen für mehr Unabhängigkeit

Bereits seit mehreren Jahren wird die Debatte um die Neupositionierung des BSI parallel zur Cybersicherheitsregulierung unter dem Stichwort einer größeren „Unabhängigkeit“ des BSI geführt. Eine solche Unabhängigkeit kann auf verschiedene Weise ausgestaltet werden und verfolgt unterschiedliche Zwecksetzungen: Einerseits geht es um die Frage, wie sich der digitale Wirtschaftsschutz zukünftig an fachnähere Bereiche als das Innenressort anknüpfen lässt – andererseits aber auch, wie das Vertrauen in die Behörde nachhaltig zu gewährleisten ist. Denn der Staat ist zwingend auf die Kooperation und den Informationsaustausch mit der Wirtschaft angewiesen, um die ehrgeizigen rechtlichen Vorgaben an die Cybersicherheit auch in den kommenden Jahren zu erfüllen und so seinem Gewährleistungsauftrag für mehr digitale Sicherheit nachzukommen.

Gerade unter dem letztgenannten Aspekt wird zurzeit eine parallele rechtspolitische Debatte geführt, die sich mit den Fragen des staatlichen Schwachstellenmanagements befasst. Damit verbunden sind bislang ungelöste Interessenskonflikte, beispielsweise wie mit Zero-DayExploits umgegangen werden soll und welche staatliche Einrichtung darüber entscheidet, ob diese im Zweifelsfall auch zur aktiven Ausnutzung durch Sicherheitsbehörden verwendet werden dürfen, anstatt die Sicherheitslücken im Sinne der Cybersicherheit zu schließen.

Hierdurch gewinnt die Debatte um die institutionelle Neu- beziehungsweise Umstrukturierung des BSI deutlich an politischer „Sprengkraft“. In diesem politisch geführten Diskurs werden verschiedene Konzepte vertreten, die im Folgenden in aller gebotenen Kürze vorgestellt und juristisch wie praktisch im Hinblick auf ihre Realisierbarkeit diskutiert werden.

Das BSI im ministerialfreien Raum

Vereinfachend gesprochen fallen unter den Begriff der „ministerialfreien Räume“ solche Behörden, die nicht der Regierung unterworfen sind und denen es somit an politischer Verantwortung fehlt. Was verfassungsrechtlich zunächst schwierig handhabbar klingt, ist in eng gefassten Ausnahmefällen zulässig – so sind solche ministerialfreien Räume durch das Grundgesetz beispielsweise für die Deutsche Bundesbank und den Bundesrechnungshof vorgesehen. Die Ausnahmen begründen sich damit, dass grundsätzlich alle Organe der Exekutive in einer hierarchischen Weisungskette zur Bundesregierung stehen müssen, denn nur dadurch kann eine einheitliche Kontrolle der Exekutive gesichert und das Demokratieprinzip gewahrt werden. So sinnvoll deshalb ein „völlig unabhängiges“ BSI für manche auch scheinen mag, umso schwieriger wird es sein, dies verfassungsrechtlich zu legitimieren. Ein BSI im ministerialfreien Raum wäre rechtlich kaum zu verargumentieren.

Das BSI als oberste Bundesbehörde

Gegenwärtig fungiert das BSI in der nationalen behördlichen Architektur als obere Bundesbehörde. Ein „Minus“ zum erstgenannten Vorschlag des ministerialfreien Raums könnte deshalb in der Umgestaltung des BSI zu einer „obersten Bundesbehörde“ zu sehen sein. Oberste Bundesbehörden sind in Deutschland zum Beispiel das Bundespräsidial- und das Bundeskanzleramt, aber auch das Bundesministerium des Innern und für Heimat sowie das Bundesministerium für Digitales und Verkehr. Mit einem solchen Vorschlag könnte das BSI somit der ministeriellen Ebene gleichgestellt werden.

Ein erfolgreiches Beispiel eines solchen „Aufstiegs“ gibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ab, der in der Vergangenheit ebenfalls als Ressort des BMI eingegliedert gewesen ist. Gerade im Hinblick auf die Debatte des staatlichen Schwachstellenmanagements wird eine solche Umstrukturierung als sinnvoll erachtet, weil durch eine Ausgliederung des BSI aus dem Innenressort das Potenzial für Interessenkonflikte in der Cybersicherheit deutlich geringer wäre, da das BMI unter anderem auch die Aufsicht über eingriffsintensive Sicherheitsbehörden des Bundes ausübt.

Eine solche Lösung des BSI als oberste Bundesbehörde würde ebenfalls mit dem bereits erwähnten Demokratieprinzip konfligieren. Ebenso ist die Debatte um ein unabhängigeres BSI nicht direkt mit dem BfDI vergleichbar, da diesem schon europarechtlich in Art. 52 Abs. 1 DSGVO eine völlige Unabhängigkeit bei der Aufgabenerfüllung zugesprochen wird. Eine vergleichbare Regelung sieht das europäische Cybersicherheitsrecht hingegen aktuell nicht vor – und dies ist auch nicht absehbar.

Das BSI als selbstständige Bundesoberbehörde

Denkbar wäre, das BSI in eine unabhängige Bundesoberbehörde umzuwandeln – jenseits der vorgenannten und problematischen fachaufsichtsfreien Räume. Damit wäre zwar ein geringeres Maß an fachlicher Unabhängigkeit verbunden, die rechtliche Realisierbarkeit hingegen stünde auf einem deutlich festeren Fundament. Ein Beispiel für eine selbstständige Bundesoberbehörde ist etwa das Bundeskartellamt.

Ein politisch in diesem Zusammenhang diskutierter Vorschlag sieht vor, eine Zusammenarbeit zwischen dem BSI und der Fachaufsicht auf Grundlage von jährlichen Zielvereinbarungen zu realisieren, die Ergebnisweisungen und eine Steuerung der Behörde im Einzelfall aber ausschließen.

Vorschläge, die eine eigenständige und unabhängige Stelle innerhalb des BSI errichten wollen, die vollständig autark mit eigener Leitung und Sach- wie Personalmitteln handelt, gehen hingegen fehl, denn auch hierdurch würde letztlich die strenge Ausnahme der ministerialfreien Räume mittelbar umgangen werden.

Ausschließliche Rechtsaufsicht durch das BMI

Ein erheblicher Kritikpunkt am Zusammenwirken von BMI und BSI waren in der Vergangenheit immer wieder die umfassenden politischen Aufsichtsbefugnisse des Innenressorts gegenüber der nationalen Cybersicherheitsbehörde. Daher werden in der aktuellen rechtspolitischen Debatte Möglichkeiten gesucht, eine größere Unabhängigkeit des BSI durch Verringerung ebenjener Aufsichtsbefugnisse zu erzielen.

Ein Vorschlag liegt in der Reduzierung des BMI auf eine reine Rechtsaufsicht – hiermit würde die inhaltliche Weisungsbefugnis gegenüber dem BSI entfallen. Eine solche Änderung der Aufsichtsbefugnisse würde ebenso dem rechtlichen Grundgedanken des neu gefassten § 1 Abs. 3 BSIG entsprechen, wonach das BSI die Aufgaben gegenüber den Bundesministerien auf der Grundlage wissenschaftlich-technischer Erkenntnisse durchführt. Diese Vorschrift ist zwar auf den öffentlich-rechtlichen Bereich beschränkt, demonstriert jedoch eine eindeutige Tendenz zur Positionierung des BSI als Fachbehörde und nicht als politische Institution, wie es in der Vergangenheit stärker der Fall gewesen ist.

Verteilung der Fachaufsicht über das BSI

Auch das Modell einer Verteilung der Fachaufsicht ist nicht neu, sondern wird etwa bereits für das Statistische Bundesamt umgesetzt. Gemäß § 2 Abs. 1 BStatG ist das Statistische Bundesamt eine selbstständige Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern, für Bau und Heimat. Es führt seine Aufgaben jedoch nach den Anforderungen der fachlich zuständigen Bundesministerien aus (vgl. § 2 Abs. 3 BStatG). Dieser Rechtsgedanke ist durchaus auf das BSI übertragbar, das wie bereits dargestellt in seinem Aufgaben- und Arbeitsbereich als Querschnittsbehörde eine Kompetenz wahrnimmt, die übergreifend verschiedene Ressorts im Bund gleichermaßen bedient – Cybersecurity ist schon seit Langem nicht mehr nur vornehmlich eine Aufgabe der inneren Sicherheit.

Mit einer Verteilung der Fachaufsicht über das BSI wird diese entsprechend auf die verschiedenen betroffenen Ressorts im Bund umgeschichtet, lediglich die Dienstaufsicht verbleibt beim BMI. Zur Verteilung der Fachaufsicht wäre es deshalb vorab notwendig, fachlich unabhängige Stränge in der Behörde, aber auch im zuständigen Ministerium zu identifizieren beziehungsweise einzurichten.

Ressortwechsel innerhalb und außerhalb des BMI

Um Interessenskonflikte in der effektiven staatlichen Gewährleistung von Cybersicherheit auszuräumen, werden nicht zuletzt Möglichkeiten eines Ressortwechsels des BSI innerhalb und außerhalb des BMI gleichermaßen diskutiert. Die erstgenannte Lösung dürfte politisch deutlich leichter realisierbar sein als eine vollständige Herauslösung der Behörde aus dem BMI, wenngleich sich die Effekte zur größeren tatsächlichen fachlichen Unabhängigkeit voraussichtlich in Grenzen hielten. Denkbar wäre hier primär die Herauslösung des BSI aus der Abteilung „Cyber- und Informationssicherheit“ (CI) im BMI.

Ein Ressortwechsel des BSI außerhalb des BMI eröffnet zahlreiche Möglichkeiten. Besonders gewinnbringend erscheint eine Verortung im Geschäftsbereich des Bundesministeriums für Digitales und Verkehr (BMDV) sowie im Geschäftsbereich des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK), da Cybersicherheit nicht nur eine horizontale Voraussetzung für die Gewährleistung der Funktionsfähigkeit der digitalen Infrastruktur in Deutschland darstellt, sondern außerdem allein in Deutschland in den nächsten Jahren eine voraussichtlich sechsstellige Zahl zusätzlicher Unternehmen durch die Schaffung umfassender Compliance-Anforderungen als Aufgabe des digitalen Wirtschaftsschutzes erfassen wird.

Fazit

Wenn es um die Unabhängigkeit des BSI geht, ist eines klar: Es gibt nicht den einen „goldenen“ Weg, sondern jede Lösung ist letztlich nur ein Kompromiss aus fachlicher Kompetenz, politischer Verantwortung und rechtlicher Realisierbarkeit. Dieser Kompromiss sollte nach nunmehr bereits jahrelanger Debatte möglichst zügig gefunden werden.

Aktuell sind die Zeiten für eine Neuaufstellung der nationalen Cybersicherheitsbehörde mehr als günstig: Nicht nur, dass das BSI in den kommenden Jahren mit NIS-2 und CRA voraussichtlich umfassende neue Aufgaben und Aufsichtsbefugnisse erhalten wird. Darüber hinaus werden mit diesen neuen rechtlichen Rahmenbedingungen auch zahlreiche Umstrukturierungen des gesamten nationalen Cybersicherheitsrechts verbunden sein, wie bereits der Ausblick auf das „NIS-2-Umsetzungsund Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) für das neue Jahr 2024 deutlich erkennen lässt (vgl. 2023#4, S. 70).

Die Cybersicherheit ist mittlerweile zu einer Querschnittsaufgabe geworden, die nicht nur alle Sektoren und Branchen gleichermaßen etwas angeht, sondern zu einer gesamtgesellschaftlichen Verantwortung gewachsen ist. Das muss sich unbedingt auch in den zuständigen staatlichen Strukturen widerspiegeln, um hier zu bestmöglichen Ergebnissen zu gelangen.

Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Mitglied im Advisory-Board von Nord VPN (https://denniskenjikipker.de/)

Diesen Beitrag teilen: