Im neuen politischen Informationsdienst der Süddeutschen Zeitung, dem „SZ Dossier“, spreche ich heute über die aktuell bekannt gewordenen Pläne zur Umstrukturierung des BSI für mehr Unabhängigkeit der zentralen deutschen Cybersicherheitsbehörde. Zu den zentralen Fragen nehme ich wie folgt Stellung:
Wird das BSI als selbstständige Bundesoberbehörde im Geschäftsbereich des BMI wirklich unabhängiger? Politisch ist das der kleinstmögliche Nenner, wie ich auch schon in der Sitzung der AG BSI im letzten Jahr angemerkt habe. Es ist zwar grundsätzlich ein Schritt in die richtige Richtung, aber bei Weitem nicht das, was man sich in Expertenkreisen eigentlich von einer Unabhängigkeit des BSI vorgestellt hat, zumal zurzeit noch völlig unklar ist, ob und wie dieser Vorschlag verfassungsrechtlich realisierbar sein kann. Das BMI will keine Schlüsselbefugnisse abgeben und Cybersicherheit als ressortübergreifendes Querschnittsthema anerkennen. Mit dieser weiterhin bestehenden engen Anbindung an das BMI und damit auch der politischen Abhängigkeit vom Ministerium wird man sehen müssen, wie fachlich unabhängig die Behörde bei ihren künftigen Entscheidungen tatsächlich sein wird. Sollte sich nach juristischer Prüfung im Zweifelsfall sogar herausstellen, dass der Vorschlag einer selbstständigen Bundesoberbehörde in der gegenwärtigen Form gar nicht realisierbar ist, müssten wir inhaltlich in Sachen Unabhängigkeit sogar einen noch größeren Kompromiss wählen. Dadurch besteht die Gefahr, dass die politische Debatte um die Unabhängigkeit letztlich mit einem Feigenblatt von mehr Unabhängigkeit nur auf dem Papier formal abgeschlossen werden kann, ohne dass sich letztlich in der Sache wirklich etwas geändert hat.
Was hat es mit dem neuen Konzept für einen CVD-Prozess auf sich? Auch das ist ein Schritt in die richtige Richtung – worauf der Vorschlag aber nicht eingeht, ist die Frage, wann die entsprechende Meldung zu erfolgen hat. Und das ist doch letztlich die Crux an der Sache. Zwar muss sich das BSI nicht selbst in die Bredouille bringen und Schwachstellen weitergeben bzw. darüber entscheiden, aber es könnte ja durchaus sein, dass eine andere Sicherheitsbehörde des Bundes gerade diese Schwachstelle ausnutzt und damit gezielt IT-Systeme infiltriert. So wäre es durchaus bequem, dies zunächst abzuwarten und die Schwachstelle erst dann gegenüber dem Hersteller offenzulegen. Was in den Eckpunkten somit geschildert wird, ist kein wirklicher CVD-Prozess, sondern es sind lediglich einige erste Grundgedanken, nicht mehr und nicht weniger.
Welche Schlussfolgerungen sind daraus für das Thema BSI und Schwachstellenmanagement zu ziehen? Das ist ein nach wie vor ungelöstes Problem. Rechtlich gesehen darf der Staat in geregelten Einzelfällen „hacken“ – welche Rolle des BSI hierbei zukünftig aber einnehmen soll, ist unklar. Schon im vergangenen Jahr habe ich angemerkt, dass wir die erheblichen Umstrukturierungen in der nationalen Cybersicherheitsarchitektur, die mit NIS2UmsuCG und CRA nun kommen werden, unbedingt nutzen müssen, um staatliche Aufsichtsbefugnisse und Zuständigkeiten klar und deutlich abzugrenzen. Das BSI jedenfalls hat ausschließlich die Aufgabe der Cybersicherheit und dazu gehört definitiv, Schwachstellen nicht zu fördern, gleichgültig ob unmittelbar oder nur mittelbar durch Inaktivität.
Wo könnte eine künftige Stellung des CISO-Bund zu verorten sein? Inhaltlich könnte ein CISO-Bund durchaus in Richtung des BSI zu verorten sein, zumal das BSI hier schon seit Jahren die entsprechenden fachlichen Kompetenzen vorhält und diesen Auftrag auch annehmen würde. Angesichts der nach wie vor fehlenden ausreichenden Unabhängigstellung der Behörde sehe ich das aber kritisch. Keinesfalls gehören CIO-Bund und CISO-Bund zusammengelegt. Cybersicherheit ist eine ressortübergreifende Querschnittsaufgabe, die bislang in Deutschland staatlich weder als eine solche Querschnittsaufgabe erkannt noch angenommen wird. Warum aber nicht einmal den Blick nach vorne wagen und neue Konzepte andenken, die genau diese Querschnittlichkeit aufgreifen? Ich persönlich sehe Cybersicherheit deutlich stärker als bislang vor allem auch im Digitalministerium verortet – denn darum geht es ja: eine cybersichere Digitalisierung in allen Bereichen zu realisieren.
#cybersecurity #bsi #bmi #cybersicherheitsarchitektur #schwachstellenmanagement