Neuordnung der Cybersicherheitsarchitektur: Wir brauchen ein unabhängiges BSI

Foto: Bundesamt für Sicherheit in der Informationstechnik

Dass über die Unabhängigkeit des BSI schon seit Jahren (politisch) gestritten wird, ist bekannt. Dass sich die damit zwangsläufig verbundene Debatte um die Umstrukturierung unserer nationalen Cybersicherheitsarchitektur nicht im technologisch, politisch und juristisch “luftleeren Raum” bewegt, macht eine zeitnahe Einigung und Lösungsfindung in der Angelegenheit jedoch mehr denn je nötig. Denn vorbei sind die Zeiten, in denen Cybersicherheit ein Nischenthema nur für Fachexperten war – genauso, wie Cyberbedrohungen nicht an Staatsgrenzen Halt machen, ist die Digitalisierung und Vernetzung von Gesellschaft, Wirtschaft und Staat in den acht Jahren seit dem Inkrafttreten des ersten IT-Sicherheitsgesetzes erheblich vorangeschritten – und damit zwangsläufig auch die entsprechenden Vulnerabilitäten in der Cybersicherheit.

Hinzu kommt, dass Cybersicherheit als Staatsaufgabe immer stärker auch als Aufgabe der Politik aufgefasst wird. Eine derartige politische Überformung der fachlich-technischen Aufgabe der Cybersecurity ist rechtlich nicht nur ein gefährlicher Weg (wie die rechtswidrige BSI-Warnung vor Kaspersky im Jahr 2022 belegt) – ein solches Handeln ist vielmehr auch in der Lage, das Vertrauen in objektive, transparente und nachvollziehbare Entscheidungen der obersten deutschen Cybersicherheitsbehörde nachhaltig zu untergraben.

Umso wichtiger ist es, jetzt die Gelegenheit zu ergreifen, unsere nationale Cybersicherheitsarchitektur zu stärken und für die Zukunft zu rüsten – zuvorderst mit einem politisch unabhängigen und sachlich wie fachlich fundiert agierendem BSI, das in naher Zukunft seine Aufgabe als Zentralstelle deutscher Cybersicherheit mit erheblich erweiterten gesetzlichen Befugnissen erfüllen wird.

Zuständigkeitsbereich aktuell?

Lange Jahre war Aufgabe des BSI der Schutz der Kommunikation der Bundesverwaltung und die Entschlüsselung von Nachrichten der deutschen Sicherheitsdienste wie beispielsweise des BND. Erst 1987 wurde das Aufgabenspektrum des BSI um das Tätigkeitsfeld der Computersicherheit erweitert und 1989 ein IT-Sicherheitskonzept seitens der Bundesregierung bewilligt. Im gleichen Jahr wurde die Stelle um den Aufgabenbereich der Sicherheitsaspekte der zivilen Anwendung der Informationstechnik erweitert. Das BSI wurde schließlich zum 1.1.1991 als Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern kraft Gesetz errichtet.

Im Hinblick auf die zivilen Aufgaben wurde es aus dem Nachrichtendienstbereich ausgegliedert, seine Nähe zur Bundespolizei blieb jedoch unbestritten, was sich entsprechend im Aufgabenbereich der Behörde niederschlug. Das hauptsächliche Tätigkeitsfeld des neu gegründeten BSI umfasste die Sicherheit in der Informationstechnik und die Unterstützung vor allem der Polizei- und Strafverfolgungsbehörden, ohne jedoch über eigene Eingriffsbefugnisse zu verfügen. Durch das BSI-Gesetz von 2009 wurden dem BSI schließlich eigene Befugnisse eingeräumt, indem es selbstständig zur Abwehr von Gefahren für die IT des Bundes und zur Steigerung der IT-Sicherheit innerhalb der Bundesverwaltung aktiv werden konnte.

Mit dem ersten IT-Sicherheitsgesetz im Jahr 2015 schließlich wurde dem BSI zusätzlich die Aufsicht über die IT-Sicherheit kritischer Infrastrukturen zugeteilt. Im Jahr 2021 erfolgte mit dem zweiten IT-Sicherheitsgesetz (IT-SiG 2.0) nochmals ein erheblicher Befugnisaufwuchs, der eine deutliche Stärkung des BSI in seiner Rolle als horizontale Cybersicherheitsbehörde des Bundes zur Folge hatte und dessen Position als nationale Zentralstelle für Cybersicherheit endgültig festigte, indem es nunmehr mit der Zuständigkeit für die Unternehmen im besonderen öffentlichen Interesse (UBI) für den digitalen Wirtschaftsschutz in Deutschland von international agierenden Großkonzernen bis hin zu lokalen KMU zuständig ist. Diese Rolle wird durch NIS-2 und durch das nationale NIS2UmsuCG weiter gefestigt.

Perspektivisch wird sich das BSI zukünftig immer stärker in die Richtung einer digitalen Marktzulassungsbehörde entwickeln – dies wird vor allem durch die Entwicklungen im europäischen Raum verstärkt, die sich voraussichtlich ab Ende 2023 mit dem Cyber Resilience Act (CRA) ergeben werden. Dieser Wandel des BSI belegt eindrucksvoll, dass Cybersicherheit mittlerweile zu einem Querschnittsthema herangewachsen ist, das im eigentlichen Sinne weit über die originäre Zuständigkeit des BMI primär als eine Frage der inneren Sicherheit hinausgeht. Dementsprechend sollte es eigentlich ein Imperativ sein, das BSI zunehmend aus der aufsichtlichen Zuständigkeit des BMI auszulagern – zumindest, soweit es um Angelegenheiten des digitalen Wirtschaftsschutzes geht – um ein sachlich fundiertes, nachvollziehbares und öffentlich vertretbares, nachhaltiges behördliches Handeln zu gewährleisten. Das bedeutet auch, dass Cybersicherheit nicht zu einem Instrument vorrangig zur Marktabschottung avancieren darf, indem unter dem Deckmantel vermeintlich technischer Bewertungen vornehmlich politische Entscheidungen getroffen werden.

Dilemma staatliches Schwachstellenmanagement

Der Interessenkonflikt zwischen öffentlicher Sicherheit und Cybersicherheit, der durch die bestehenden und beim BMI angesiedelten aufsichtlichen Strukturen bedingt wird, manifestiert sich jedoch auch andernorts – nämlich für das staatliche Schwachstellenmanagement. Denn bereits seit jeher bestand eine Kontroverse zur Verortung des BSI im Innenressort, so zum Beispiel aufgrund der dadurch entstehenden Nähe zum BND, der schon in der Vergangenheit durch offensive Cyberoperationen nachrichtendienstliche Informationen gesammelt hat. Durchaus kann hieraus die nicht fernliegende Folgerung gezogen werden, dass bei einer güterspezifischen Abwägung zwischen Cybersicherheit und der öffentlichen Sicherheit die erstgenannte den weniger schützenswerten Auftrag darstellt.

Im Hinblick auf bestehende Interessenkonflikte war die Rolle des BSI überdies schon seit seiner Gründung nicht unumstritten. Wo die Bundesregierung das BSI primär als Fachbehörde für alle Fragen rund um das Thema der IT-Sicherheit innerhalb Deutschlands sah, sahen andere in ihm weniger eine Ausrichtung zum Schutz der Bürger:innen beziehungsweise der Verletzlichkeit der Informationsgesellschaft, sondern vielmehr eine Orientierung an den Sicherheitsinteressen des Staates. Die Dualität des Aufgabenspektrums des BSI manifestierte sich insbesondere im Jahr 2015 anhand der öffentlich geführten Debatte, welche Rolle der Behörde bei der Entwicklung des Staatstrojaners zukam. So wurde zwar argumentiert, dass das BSI seine Rolle und Informationen genutzt habe, um entgegen seines eigentlichen Auftrags zu handeln. Anders jedoch könnte auch dieser These wiederum entgegengehalten werden, dass das BSI zumindest bei der Entwicklung von “sicherer” Spähsoftware unterstützen wollte.

Letztlich jedoch dürfte es der strategischen Ausrichtung der Behörde zuwiderlaufen, die Entwicklung jeglicher Art von Spähsoftware fachlich zu unterstützen, da der Auftrag des BSI in der Gewährleistung des Schutzes von einer Kompromittierung von IT-Systemen zu sehen ist. Dementsprechend kann und darf ein unabhängiges BSI auch nicht diejenige Behörde sein, die darüber entscheidet, ob eine gemeldete Schwachstelle offenzulegen ist, um sie zu beheben, oder vielmehr für klandestine staatliche Maßnahmen weiter geheim gehalten werden soll. Jegliche Bewertung, die die Behörde über die Kategorisierung von Schwachstellen vornehmen würde, würde ihre öffentliche Wahrnehmung und Unabhängigkeit beschädigen – und das Vertrauen in ein funktionierendes BSI ist heutzutage wichtiger denn je.

Der bestmögliche Kompromiss

Welche rechtspolitischen Vorschläge für ein unabhängiges BSI letztlich erfolgversprechend sind, ist Gegenstand der aktuellen politischen und juristischen Debatte. Dabei wird eine Vielzahl von Möglichkeiten diskutiert:

• ein BSI im ministerialfreien Raum,

• ein BSI als oberste Bundesbehörde,

• ein BSI als selbstständige Bundesoberbehörde,

• die ausschließliche Rechtsaufsicht durch das BMI,

• die Verteilung der Fachaufsicht über das BSI, sowie

• ein Ressortwechsel innerhalb und außerhalb des BMI unter Einbeziehung des Wirtschafts- und Digital- sowie Verkehrsressorts.

Obwohl alle der vorgeschlagenen Lösungsansätze ihre Vor- und Nachteile haben und manche juristisch sogar nicht einmal realisierbar sind, steht eines fest: Die Wahrheit um die Debatte zur Unabhängigkeit des BSI liegt als pragmatischer und damit letztlich auch juristisch realisierbarer Ansatz irgendwo dazwischen. Und dabei gilt: Nur ein nachvollziehbares und transparent handelndes BSI kann in Zukunft auch ein unabhängiges BSI sein.