Vor dem Hintergrund weiter rasant steigender Gefahren durch Cyberangriffe, erfragte die digitalpolitische Sprecherin der Linksfraktion im Bundestag, Anke Domscheit-Berg, zum dritten Mal, wie viele IT-Sicherheitsstellen es in den Ministerien und Behörden des Bundes gibt und wie viele davon unbesetzt sind.
Aus der Antwort der Bundesregierung geht hervor, dass weiterhin jede sechste IT-Sicherheitsstelle im Bund unbesetzt ist (2021 war jede fünfte unbesetzt), dass das BMI und das BMDV sogar 78 IT-Sicherheitsstellen abgebaut haben und der Anteil des Militärs an allen IT-Sicherheitsstellen in nur zwei Jahren von 24 auf 41 Prozent gestiegen ist. Gleichzeitig wird der Schutz vor Angriffen auf die IT-Infrastruktur immer relevanter, vor allem Ransom-Ware-Attacken nehmen stark zu, legten Universitäten, Krankenhäuser und ganze Landkreise lahm.
Im Krieg Russlands gegen die Ukraine eskaliert ein offener Cyberwar, in dem wichtige Institutionen, einschließlich Regierungsbehörden immer wieder auch erfolgreich angegriffen werden. Auch das Bundesamt für Sicherheit in der IT sieht eine besondere Bedrohungslage und richtete ein Nationales IT-Krisenreaktionszentrum ein. Domscheit-Berg, Obfrau im Digitalausschuss und Mitglied der IuK-Kommission des Bundestages, sieht darin ein hohes Risiko und erklärt:
„Fakt ist: Digital hat jede Bundesbehörde eine Außengrenze zu Russland, die angreifbar ist und bestmöglich geschützt werden muss, denn es ist durchaus möglich, dass Russland nach den verhängten Sanktionen auch mit Cyberangriffen auf Drittstaaten reagiert. Gute IT-Sicherheit braucht ausreichend Ressourcen und die gibt es trotz steigender Bedrohungslage immer noch nicht. Damit riskiert die Bundesregierung, dass ihre Behörden und Ministerien mitten in einer internationalen Krise zu einem Angriffsziel werden.
Die derzeitige Eskalation hat eine neue Qualität, aber eine allgemeine Bedrohungslage gibt es seit Jahren. Mir ist völlig unverständlich, wie Bundesministerien so fahrlässig mit dem Thema IT-Sicherheit umgehen können. Besonders beunruhigt mich, dass die zivile IT-Sicherheit von Jahr zu Jahr ein immer geringeres Gewicht im Vergleich zur militärischen einnimmt. Jedes Ministerium, jede nachgeordnete Behörde benötigt diese Kompetenzen, aber nur drei Ministerien haben alle ihre IT-Sicherheitsstellen besetzt. Das neu geschaffene Ministerium für Wohnen, Stadtentwicklung und Bau hat überhaupt nur 1,5 derartige Stellen vorgesehen, keine einzige davon ist bisher besetzt. Das BMG hat seit mehr als einem Jahr fast 80 Prozent aller IT-Sicherheitsstellen unbesetzt, dabei wird dort auch über Projekte entschieden, die Millionen sensibler Gesundheitsdaten verarbeiten sollen.
Das BMI, zu dem das BSI gehört, hat sogar fast 60 Stellen abgebaut, und trotzdem ist dort immer noch jede fünfte Stelle unbesetzt. Ich kann auch nicht nachvollziehen, warum ausgerechnet das Ministerium für Digitales und Verkehr in den letzten 12 Monaten jede fünfte dieser wichtigen Stellen abgebaut hat, es ist zuständig für kritische Themen wie digitale Identitäten und die digitale Infrastruktur. Wenn man nicht genug Sicherheitsexpertise im Hause hat, wie will man diese Aufgaben sicher umsetzen?
Im Wirtschafts-und Klimaministerium ist sogar fast jede dritte IT-Sicherheitsstelle unbesetzt, im Auswärtigen Amt jede vierte. Nur am Fachkräftemangel kann es nicht liegen, denn im Geschäftsbereich des Verteidigungsministeriums wurden in den letzten zwei Jahren für fast 600 Stellen Fachkräfte gefunden, während das BMG es seit Jahren nicht schafft, 11 Stellen zu besetzen. Die Bundesregierungen, GroKo wie Ampel, unterschätzen die erheblichen Risiken mangelnder Ressourcen für die IT-Sicherheit. Die Folgen eines erfolgreichen Angriffes gegen eine Bundesbehörde mag sich niemand ausdenken. Statt 100 Milliarden in Rüstung zu stecken, sollte die Bundesregierung mehr in die Sicherheit unserer kritischer Infrastrukturen und auch in ihre eigene IT-Sicherheit investieren.“
Die Fakten als Übersicht:
- 608 Stellen – 16,7% - also etwa jede 6. IT-Sicherheitsstelle von 3.657 Stellen insgesamt sind aktuell unbesetzt
- Das (neue) BMWSB hat keine einzige IT-Sicherheitsstelle besetzt
- Das BMG hat seit über einem Jahr 77.5% seiner Stellen unbesetzt, obwohl es nur 11.3 Planstellen hat
- Das BMI hat 58 IT-Sec Stellen abgebaut, knapp 19% also fast jede 5. Stelle, ist unbesetzt
- Das BMDV hat 19,6 Stellen – jede 5. Stelle - abgebaut, 15% der bestehenden Stellen sind unbesetzt
- Die unbesetzten IT-Sicherheitsstellen im BMWK haben sich in 1 Jahr fast verdreifacht – von 3.4 auf 9.1, damit ist fast jede 3. Stelle unbesetzt
- Im AA ist jede 4. Stelle unbesetzt – vor einem Jahr war es mehr als jede dritte
- Auf das BMVg entfallen mit 1.488 etwa 41% aller 3.657 IT-Sicherheitsstellen des Bundes. 2021 waren es erst 36%, 2020 sogar nur 24%.
Alle Zahlen aus 2020, 2021 und 2022 in einer Tabelle:
