In der deutschen Bundesverwaltung droht ein gefährlicher Rückschritt: Statt eines flächendeckenden IT-Grundschutzes durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollen künftig nur noch „Mindeststandards“ gelten – eine Entscheidung, die als Sparmaßnahme getarnt wird, aber immense Risiken birgt. Das Signal ist eindeutig: Sicherheit hat ihren Preis, und dieser ist scheinbar zu hoch.
NIS2 & Cybersecurity: IT-Sicherheit als Luxusgut?
Der IT-Grundschutz des BSI gilt international als Vorbild für ganzheitliche Cybersecurity-Konzepte. Seit 2017 sind Bundesoberbehörden verpflichtet, diese Standards umzusetzen. Die logische Konsequenz wäre, diese Pflicht auf alle Teile der Bundesverwaltung auszuweiten, um ein einheitliches Sicherheitsniveau zu gewährleisten. Doch genau das steht nun zur Debatte. Laut einem internen Papier wird diese Ausweitung nicht umgesetzt – mit einer geradezu zynischen Begründung: „Keine Aufnahme wegen Kosten.“
Das bedeutet im Klartext: Sicherheitsmaßnahmen werden heruntergefahren, weil sie zu teuer sind. Während die Ministerien und das Bundeskanzleramt weiterhin die hohen Anforderungen des IT-Grundschutzes erfüllen müssen, sollen für andere Teile der Bundesverwaltung nur noch rudimentäre „Mindeststandards“ gelten. Diese Entscheidung ignoriert die Tatsache, dass Cyberangriffe keine Rücksicht auf Sparzwänge nehmen.
Kritik aus den eigenen Reihen
Der frühere Leiter der Cyber- und Informationssicherheitsabteilung im Bundesministerium des Innern (BMI), Andreas Könen, hat scharf kritisiert, dass diese Pläne das Cybersicherheitsniveau in der Bundesverwaltung insgesamt absenken. Besonders pikant: Behörden wie das Bundeskriminalamt (BKA) und das BSI selbst, die über besonders sensible Daten verfügen, könnten von den Mindeststandards betroffen sein. Sollte ein Cyberangriff die Handlungsfähigkeit dieser Einrichtungen beeinträchtigen, hätte das nicht nur nationale, sondern auch internationale Konsequenzen.
Ein gefährliches Signal
Die Entscheidung sendet ein verheerendes Signal, nicht nur an die Bürger, sondern auch an potenzielle Angreifer. Cyberkriminelle, ob staatlich oder privat organisiert, könnten diese Schwachstellen gezielt ausnutzen. In einer Zeit, in der die Zahl und die Komplexität von Cyberangriffen auf Behörden und kritische Infrastrukturen kontinuierlich zunehmen, wirkt die Argumentation „Sicherheit ist zu teuer“ wie ein schlechter Scherz.
Kosteneinsparung heute – teurer Schaden morgen
Es mag sein, dass die Umsetzung des IT-Grundschutzes für die gesamte Bundesverwaltung zunächst hohe Kosten verursacht. Doch der Preis für unzureichende Sicherheitsmaßnahmen ist weitaus höher. Ein erfolgreicher Cyberangriff könnte nicht nur immense finanzielle Schäden verursachen, sondern auch das Vertrauen der Bürger in den Staat nachhaltig erschüttern. Kritische Infrastrukturen wie Energieversorgung, Verkehrsnetze oder Kommunikationssysteme könnten lahmgelegt werden – Szenarien, die bereits heute in vielen Ländern Realität sind. Die Umsetzung von NIS2 & Cybersecurity dürfen keine Luxus sein.
Ein Appell an die Verantwortlichen
Die Sicherheit der Bundesverwaltung darf nicht zur Disposition stehen. Ein flächendeckender IT-Grundschutz ist keine Frage des „Ob“, sondern des „Wie“. Statt den Rotstift bei der Sicherheit anzusetzen, sollten die Verantwortlichen die langfristigen Kosten und Risiken unzureichender Maßnahmen in den Blick nehmen. Denn eins ist sicher: Cyberangriffe werden nicht weniger, und auch Wladimir Putin wird wohl kaum Verständnis für die angespannte Haushaltslage der Bundesrepublik aufbringen.
Es ist Zeit, die Prioritäten neu zu setzen – bevor es zu spät ist.
Weiterführende Links:
BMI – Gesetzgebungsverfahren – Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
NIS-2-Umsetzung in erster Lesung – Tagesspiegel Background
Regierung legt neuen NIS-2-Entwurf vor – Tagesspiegel Background
NIS2 im Fahrzeugbau
Maschinenbau und NIS2: Welche Auswirkungen hat die Richtlinie?
Bild: DALL·E 3 | OpenAI