: Jede vierte Stelle für IT-Sicherheit unbesetzt

von Dominik Rzepka, Berlin
12.02.2020 | 15:46 Uhr
Die Bundesregierung vernachlässigt die eigene Cybersicherheit: Von den 2.800 Stellen für IT-Sicherheitsexperten in den Ministerien ist nach ZDF-Informationen jede vierte unbesetzt.
In den Bundesministerien ist jede vierte Stelle für IT-Sicherheit unbesetzt.Quelle: Sebastian Gollnow/dpa/Symbolbild/Archiv
Die Angreifer kommen in der Nacht. Es ist 23 Uhr an diesem 4. Januar 2020. Es ist der Augenblick, in dem Österreich einen Cyberangriff in einer noch nie dagewesenen Dimension erlebt - das Ziel: das Außenministerium. IT-Experten sind rund um die Uhr im Einsatz. Verteidigungsministerin Klaudia Tanner aktiviert sogar das österreichische Bundesheer. Hinter dem Angriff sollen russische Hacker stehen - so der Verdacht.
Es ist die Bedrohung, vor der auch deutsche Experten warnen. Etwa im aktuellen Verfassungsschutzbericht. Die Bedrohung durch russische Angriffskampagnen sei hoch, heißt es: "Sie richten sich unter anderem gegen Regierungsstellen, Streitkräfte, Parlamente." Gerade russische Hacker verfügten über "starke finanzielle Ressourcen". Sie ließen "in Art und globalem Umfang der Operationen außergewöhnliche Operativfähigkeiten erkennen", warnen die Experten. Im Klartext: Der Gegner ist mächtig.

Im Innenministerium ist jede dritte IT-Sicherheitsstelle offen

Umso erstaunlicher ist die gegenwärtige Ausstattung der Ministerien mit IT-Sicherheitsexperten. Knapp 2.800 Stellen haben die Bundesministerien dafür geschaffen. Doch in allen zusammen sind rund 700 davon unbesetzt - also etwa jede vierte. Noch größer ist der Mangel in dem Ministerium, in dem die meisten Experten arbeiten sollen: in Horst Seehofers Innenministerium und im ihm unterstellten Bundesamt für Sicherheit in der Informationstechnik (BSI). Hier ist sogar jede dritte Stelle offen.
"Das zeigt, dass die Bundesregierung nicht verstanden hat, welche Bedeutung gute IT-Sicherheit in einer digitalisierten Gesellschaft auch für sie selber hat", kritisiert Anke Domscheit-Berg, netzpolitische Sprecherin der Linken. Damit werde die Bundesregierung selber zu einem Risiko für die öffentliche Sicherheit und unterminiere das Vertrauen der Bürger etwa in eine digitale Verwaltung. "Das andere Problem ist, dass sieben von 14 Ministerien weniger als zehn Stellen für IT-Sicherheit haben", kritisiert Domscheit-Berg, die durch eine Anfrage an die Bundesregierung die Zahlen ermittelt hat. Ihre Anfrage habe auch gezeigt, wie viele Ministerien das Thema nach wie vor als zu unwichtig einschätzten.
In den Bundesministerien ist jede vierte Stelle für IT-Sicherheit unbesetzt. Die Bundesregierung nehme das Thema nicht ernst und werde selbst zum Sicherheitsrisiko, kritisiert Anke Domscheit-Berg (Linke).

Warum das Innenministerium die Kritik zurückweist

Im Innenministerium weist man die Kritik zurück. Gerade das BSI habe aufgrund seiner wachsenden Bedeutung einen "rasanten Stellenaufwuchs" verzeichnet, sagt Staatssekretär Klaus Vitt. Die Ausschreibungen für die neuen Stellen seien "erst kürzlich angelaufen" oder stünden noch aus. "Neben dem Innenministerium befinden sich auch andere Ressorts in der Situation, neu ausgeschriebene Stellen noch besetzen zu müssen", so Vitt. Im Klartext: Um den Missstand zu beseitigen brauche es einfach noch ein wenig Zeit.
Das ist für Konstantin Kuhle, innenpolitischer Sprecher der FDP-Bundestagsfraktion, eine Ausrede. Das Innenministerium vermittele gerne den Eindruck, dass es das Problem von heute auf morgen lösen könne, indem es neue Stellen schaffe. "Aber dann stellt man über die Monate und Jahre fest, dass man diese Stellen erst einmal besetzen muss." Genau das aber sei das Problem: Dass die Bundesregierung dabei nicht flexibel genug sei.

Wettbewerb um IT-Kräfte ist Hauptproblem

Gut ausgebildete IT-Experten würden lieber in der Privatwirtschaft arbeiten, dort seien die Bedingungen verglichen mit dem öffentlichen Sektor attraktiver. Helfen würde zum Beispiel ein modernes, beweglicheres Beamtenrecht. "Menschen müssen viel einfacher wechseln können zwischen der Privatwirtschaft und dem öffentlichen Sektor", sagt Kuhle. Sie bräuchten einen Anreiz, mal für ein paar Jahre in einem Ministerium zu arbeiten - und dann auch wieder in einem privaten Unternehmen.
Kuhle kritisiert auch, dass die Bundesregierung das Thema IT-Sicherheit insgesamt zu unkoordiniert angeht. Denn die Zahlen der Bundesregierung zeigen: Im Verteidigungsministerium gibt es 680 Stellen, davon rund 100 unbesetzt. Im Gesundheitsministerium gerade einmal zehn, davon sechs unbesetzt. Und im Arbeitsministerium gibt es zwar fast keine unbesetzten Stellen. Hier sind aber auch nur sieben Stellen angesiedelt. "Viel besser wäre es, mit einem Digitalministerium eine IT-Sicherheitsstrategie aus einem Guss anzugehen", sagt Kuhle. Sein Fazit: "Deutschland verzettelt sich bei der IT-Sicherheit." Das Thema werde in Deutschland immer noch unterschätzt.

Wer Deutschland vor Cyberattacken schützen soll

Das (Nationale) Cyber-Abwehrzentrum ...

Quelle: dpa
... in Bonn versteht sich als Informations- und Kooperationsplattform. Die Erkenntnisse würden technisch analysiert, ebenso werde nach der möglichen Motivation eines Täters gefragt. Vom Ergebnis der Analyse hänge es ab, welche der beteiligten Behörden zuständig sei und im Rahmen ihrer Befugnisse aktiv werde, heißt es im Abwehrzentrum.

Die Mitglieder des Zentrums - vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) und vom Bundesamt für Verfassungsschutz (BfV) - bekommen Informationen aus ganz unterschiedlichen Quellen. Jede der beteiligten Behörden entscheidet im Rahmen ihrer Befugnisse, wann es geboten ist, das Abwehrzentrum einzuschalten.

Die Agentur für Cybersicherheit ...

...soll eigentlich Agentur für Innovation in der Cybersicherheit heißen, wird in der Region Leipzig-Halle angesiedelt. Als Zielgröße wird die Zahl von 100 Mitarbeitern bis 2023 genannt.

Das Budget von insgesamt 200 Millionen Euro für die kommenden fünf Jahre soll größtenteils in die Förderung von Forschungsprojekten fließen, die noch in den Kinderschuhen stecken - mögliche Flops werden in Kauf genommen. Ziel der Agentur soll es sein, aus "exzellenter Grundlagenforschung, die wir haben, auch exzellente Technik für den Sicherheitsbereich" zu generieren, so Verteidigungsminister Ursula von der Leyen.

Die Zentralstelle für Informationstechnik ...

... im Sicherheitsbereich (ZITiS), ist ein Dienstleister für die Sicherheitsbehörden des Bundes. Als reine Forschungs- und Entwicklungsbehörde soll sie das Bundeskriminalamt (BKA), die Bundespolizei und das Bundesamt für Verfassungsschutz technisch unterstützen. ZITiS soll den Sicherheitsbehörden beim Ausspähen und Datensammeln helfen - so wie es die Gesetze erlauben.

Die Mitarbeiter sollen Methoden zur Sicherung von Spuren aus dem Netz entwickeln - und zwar so, dass sie auch vor Gericht verwendet werden können. Zudem unterstützt ZITiS Forschung und Entwicklung neuer Methoden und Strategien für die Telekommunikationsüberwachung (TKÜ), die die Bundessicherheitsbehörden vornehmen.

Das Gemeinsame Internetzentrum (GIZ) ...

...wurde 2007 infolge der Anschläge des 11. Septembers 2001 eingerichtet. Hier wird das Internet mit Schwerpunkt Bekämpfung des islamistischen Terrorismus ausgewertet. Im Zentrum arbeiten Mitarbeiter des Bundesverfassungsschutzes, Bundeskriminalamtes, Militärischen Abschirmdienstes, Bundesnachrichtendienstes und des Generalbundesanwalts. Auch das Bundesamt für Verfassungsschutz selbst ermittelt im Internet.

Der Cyber- und Informationsraum der Bundeswehr (CIR) ...

... soll Hackerangriffe im Internet abwehren und bei Netzattacken zurückschlagen, dafür sollen sowohl Soldatinnen und Soldaten als auch zivile Mitarbeiter sorgen. In der IT-Truppe werden die Verantwortlichkeiten zentral gebündelt werden. Ähnlich wie Heer, Luftwaffe und Marine jeweils für Land, Luft und See zuständig sind, werden die CIR-Angehörigen ganzheitlich für den Cyber- und Informationsraum verantwortlich sein. 2021 soll der neue Organisationsbereich voll einsatzbereit sein.

Neue Sicherheitsstruktur dringend nötig

Nicht nur im Deutschen Bundestag gab es immer wieder klar durchdachte Ansätze für eine einheitliche Gliederung der IT-Sicherheit. Nachdem Jakob Kulliks politisch-rechtliche Analyse 2014 für Aufsehen gesorgt hatte, wurden zum Beispiel fraktionsübergreifende Forderungen laut, das nationale Cyberabwehrzentrum zur zentralen IT-Sicherheitsbehörde auszubauen und an einen Staatssekretär für Cybersicherheit im Bundeskanzleramt anzugliedern. Federführend für die nationale Cyber-Sicherheitsstrategie sollten die Bundesministerien für Inneres und Justiz werden. Die parlamentarischen Kontrollgremien sollten zudem personell verstärkt und institutionell besser abgesichert werden, um den gesamten nachrichtendienstlichen Bereich in Sachen Cybersicherheit besser kontrollieren zu können.

(Quelle: afp, dpa, ZDF)

Dem Autor auf Twitter folgen: @dominikrzepka

Mehr zur Cybersicherheit