IT-Sicherheit: BSI soll "selbständig" werden, Schwachstellenmanagement wackelt

Das Bundesinnenministerium (BMI) will dem Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig nur begrenzte Freiheiten einräumen. Zwar hatte sich die Ampel-Koalition vorgenommen, die IT-Sicherheitsbehörde "unabhängiger" zu machen. Doch ganz unabhängig auch nicht: Laut dem von Nancy Faeser (SPD) geführten BMI soll das BSI formal eine "selbständige" Bundesoberbehörde im BMI-Geschäftsbereich werden und bliebe damit dem Ministerium unterstellt.

Dies geht aus zwei Zwischenberichten einer "Arbeitsgruppe BSI" aus Vertretern der Koalitionsfraktionen und des BMI hervor, die Netzpolitik.org veröffentlicht hat. Ende März 2023 teilte das Innenressort den Abgeordneten demnach bereits mit: Auch bei der Ausgestaltung eines "unabhängigeren BSI" sei es "nicht zuletzt aufgrund der Zeitenwende zu einem erhöhten Diskussions- und Abstimmungsbedarfs gekommen". Die "neue sicherheitspolitische Lage" habe "eine veränderte Betrachtung der ursprünglich geplanten Vorgehensweisen erfordert".

"Neue sicherheitspolitische Lage"

Einen teilweisen Verzicht auf die Fachaufsicht und Einrichtung einer unabhängigen Bundesbehörde sieht das BMI deshalb kritisch: "Ein Wegfall der Weisungsmöglichkeit gegenüber dem BSI insgesamt würde einen 'ministerial-freien Raum' begründen. Dieser wäre besonders begründungsbedürftig und erforderte grundsätzlich einer auf Verfassungsebene angesiedelten Legitimation für die Durchbrechung des Grundsatzes der Weisungsabhängigkeit."

Zulassen will das BMI nur, dass das BSI "seine wissenschaftlich-technischen Aufgaben fachlich unabhängig durchführt". Die bisherige Pflicht der Behörde, über eine Zusammenarbeit mit den Ressorts unverzüglich zu unterrichten, soll gestrichen werden.

Ein Sprecher des Chaos Computer Club (CCC) forderte gegenüber Netzpolitik eine "komplette Emanzipation vom BMI". Der Konflikt des BSI, einerseits "für IT-Sicherheit in deutschen Firmen, der Zivilgesellschaft und Behörden einzutreten und gleichzeitig Schwachstellen" zur Ausnutzung durch Sicherheitsbehörden "zu horten", müsse aufgelöst werden.

Schon bei der Berufung von Claudia Plattner zur neuen BSI-Präsidentin hatte der Bundestag im Juni 2023 auf Drängen des BMI eine Änderung des Beamtengesetzes beschlossen. Damit kann die Behördenchefin künftig als politische Beamtin jederzeit in den Ruhestand versetzt werden. Ihre Arbeit steht so unter dem Damoklesschwert, entlassen zu werden, wenn sie Faeser etwa in IT-Sicherheitsfragen widerspricht.

Schwieriges Schwachstellenmanagement

Bei dem von der Ampel-Koalition ebenfalls geplanten "wirksamen Schwachstellenmanagement" verweist das Ministerium auf "besonders schwierige Abwägungen". Hier gelte es, neben "Sicherheitsinteressen für deutsche IT-Systeme" auch "Erfordernisse der Strafverfolgung, der Aufklärung der Nachrichtendienste und der Verteidigung" zu betrachten. In der AG BSI würden "Lösungsszenarien konstruktiv erörtert". Allerdings sei der Stand der Verhandlungen noch nicht ausreichend fortgeschritten.

Innenpolitiker der Regierungsfraktionen wollten eigentlich im Herbst konkrete Vorschläge für den Umgang mit IT-Schwachstellen erarbeiten. Behörden müssten verpflichtet werden, bekannte Sicherheitslücken beim BSI zu melden und sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen, forderte etwa die FDP. Auch die Grünen drängen hier auf eine klare Umsetzung des Koalitionsvertrags. Das BMI präferiert aber, dass Sicherheitsbehörden weiterhin gegebenenfalls Schwachstellen für Überwachungszwecke ausnutzen können.

Im Rahmen des bereits aufgesetzten Prozesses für ein "Coordinated Vulnerability Disclosure" (CVD) nehme das BSI schon Meldungen zu Sicherheitslücken entgegen und wirke gegenüber den Herstellern auf deren Schließung hin, erläutert das BMI. "Das BSI meldet die ihm gemeldeten Schwachstellen immer an den jeweiligen Hersteller. Die Weitergabe von Schwachstellen zum Zwecke der Ausnutzung wird untersagt."

Für diese Woche ist eine weitere Sitzung der AG BSI geplant. Das BMI schließt eine Einigung nicht aus und will anschließend ein Konzept vorlegen, das auch die umstrittene BSI-Zentralstellenfunktion mit mehr Spielraum in den Ländern umfasst.

(vbr)