Der Bundesrechnungshof kritisiert demnach die Pläne der Bundesregierung, die unter anderem eine verbesserte IT-Sicherheit zum Ziel hat. Die Regierung hat angekündigt, den Betrieb von derzeit 96 Rechenzentren und 1.245 Serverräumen für die IT des Bundes schrittweise in wenigen Rechenzentren zusammenzuführen.

Die unabhängigen Rechnungsprüfer bemängeln: Die Pläne könnten dazu führen, dass "je nach räumlicher Verteilung der verbleibenden Rechenzentren ein Zusammentreffen sicherheitskritischer Lagen wie Terrorangriffe, Naturkatastrophen und Kriegshandlungen große Schäden und den Ausfall sicherheitskritischer Fachverfahren und Daten verursachen kann".

Die Regierung wird aufgefordert, ein Standortkonzept zu erstellen, "das die Sicherheit der IT des Bundes auch beim gleichzeitigen Auftreten verschiedener Sicherheitslagen gewährleistet", heißt es in dem Bericht. Bislang bleibe die Regierung zudem "den Nachweis der Gesamtwirtschaftlichkeit der IT-Konsolidierung schuldig".

Das BSI hat in Interviews mit den für die großen IT-Netze verantwortlichen Ressorts (Innen-, Finanz-, Verteidigungs- und Verkehrsministerium) Sicherheitslücken festgestellt. "Verbesserungspotenzial besteht im Hinblick auf den durchgängigen Einsatz von Anerkennungssoftware und der Wirksamkeit zentraler Angriffsmaßnahmen", etwa durch mehrstufige Sicherheitsfilter.

Für ein "einheitlich hohes IT-Sicherheitsniveau" in der Bundesverwaltung müsse die "Erkennung von Standardangriffen" durch den "durchgängigen Einsatz von vom BSI empfohlenen Mechanismen und Systemen" weiter gestärkt werden.

Die Bonner Behörde, die dem Bundesinnenministerium unterstellt ist, erklärt zwar, dass ein "Basisschutz vor Cyberangriffen" in allen Netzen vorhanden sei. Die Experten warnen jedoch explizit vor Angriffen nach dem gleichen Muster wie auf den Bundestag: "Neben den Standardangriffen nehmen die qualifizierten Angriffe, die sogenannten Advanced Persistent Threats" zu. Dabei handelt es sich um langwierige und ausgefeilte Attacken.

Das BSI hält den Schutz an den Außengrenzen für nicht ausreichend und fordert mehr spezialisiertes IT-Fachpersonal. Das BSI ist zuständig für die Sicherheit der Regierungsnetze. Die IT-Ausstattung wiederum liegt in der Verantwortung der jeweiligen Ressorts. Hier ist die Bonner Behörde nur beratend tätig.

Das BSI beobachtet "regelmäßig grundlegende Sicherheitsmängel" wie etwa deaktivierte Sicherheitsmechanismen, fehlende Netzwerküberwachung oder unverschlüsselte mobile Endgeräte.

Quelle: dts Nachrichtenagentur