IT-Sicherheit Modernisierte Bundes-IT könnte verstärkt Ziel von Hackerattacken werden
Laut Innenministerium erhöht die Zentralisierung des IT-Betriebs in wenigen Rechenzentren deren Attraktivität für Angriffe von außen.
Berlin Es ist eines der wichtigsten Digitalprojekte der Bundesregierung: die Modernisierung und Vereinheitlichung der IT in etwa 200 Bundesbehörden und den Ministerien. Mit dem als „IT-Konsolidierung Bund“ bezeichneten Vorhaben hat sich die Bundesregierung ehrgeizige Ziele gesetzt.
Derzeit ist die IT-Organisation der Bundesverwaltung auf mehr als 1300 Rechenzentren und Server-Räume verteilt. Diese sollen bis Ende 2022 schrittweise in wenigen großen Rechenzentren zusammengefasst werden. Dabei sollen dann 80 Prozent des IT-Betriebs zentral über das neu gegründete Informationstechnikzentrum des Bundes (ITZBund) abgewickelt werden. Allerdings läuft bei dem Mammutprojekt nur wenig rund.
Die Pläne laufen, offiziell bescheinigt durch den Bundesrechnungshof, nicht nur finanziell aus dem Ruder. Die IT-Konsolidierung war vom Kabinett 2015 beschlossen und ursprünglich mit einer Milliarde Euro veranschlagt worden, dann war von Gesamtausgaben in Höhe von 3,5 Milliarden Euro die Rede.
Schließlich entschloss sich die Regierung, angesichts der Rechnungshof-Kritik ihr Digitalprojekt komplett neu zu organisieren, was im November vergangenen Jahres mit einem Kabinettsbeschluss besiegelt wurde. Doch auch die überarbeiteten Projektpläne überzeugen den Rechnungshof nicht.
In einem vertraulichen Bericht vom Oktober 2019, aus dem der „Spiegel“ zitierte, monieren die Prüfer das sicherheitstechnische Konzept der Pläne. Das IT-Projekt „läuft seit vier Jahren ohne wichtige sicherheitstechnische Rahmenbedingungen“. Die Bundesregierung verfehle damit ihr „Ziel, die IT-Sicherheit zu erhalten und hinsichtlich der zunehmenden Vernetzung und Angriffe zu stärken“. Das sei nicht angemessen und müsse „zügig“ und „kooperativ“ geändert werden.
Der Rechnungshof trifft hier einen wunden Punkt. Denn dass mit der angestrebten Modernisierung der Bundes-IT das Risiko für Bundesministerien und -behörden zunehmen könnte, Ziel von Hackerattacken zu werden, ist durchaus gegeben. Das legt die Antwort der Bundesregierung auf eine Kleine Anfrage der Grünen-Bundestagsfraktion nahe. „Die Zentralisierung des IT-Betriebs in wenigen Rechenzentren erhöht deren Attraktivität für Angriffe von außen“, heißt es in dem Dokument, das dem Handelsblatt vorliegt.
Grüne sehen „Gesamtziel von mehr IT-Sicherheit“ in Gefahr
Das zuständige Innenministerium versichert zwar, „ein Höchstmaß an professionellem Umgang mit diesen Angriffen garantieren“ zu können. Man verfüge bereits über Erfahrungen mit dem zentralen Betrieb großer IT-Systeme und -Anwendungen, heißt es in der Antwort. „Die daraus resultierenden Angriffsmöglichkeiten sind den zuständigen Bundesbehörden bekannt.“ Ihnen werde durch „geeignete“ Maßnahmen begegnet.
Ein Vorteil der IT-Konsolidierung sei etwa, dass Sicherheitsmaßnahmen für die gesamte IT des Bundes an einer zentralen Stelle umgesetzt werden könnten. Allerdings räumt das Ministerium auch ein, dass „Informationssicherheitsrisiken“ im IT-Verbund „potenziell mehrere Behörden/Ressorts betreffen, sodass gegebenenfalls höhere Schäden bei Ausfällen zentraler Komponenten (…) oder bei Cyberangriffen (…) entstehen könnten“.
Das Ministerium setzt in solchen Fällen auf die Hilfe der Cyber-Sicherheitsbehörde des Bundes. „Um diesen Risiken in einer konsolidierten IT durch adäquate Sicherheitsmaßnahmen zu begegnen, berät das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Umsetzung angemessener und wirksamer Sicherheitsmaßnahmen“, heißt es in der Regierungsantwort.
Die Grünen halten die Mitwirkung des BSI nur in beratender Funktion für unzureichend. Das Bundesamt sei „mit seiner zweifellos großen Fachkompetenz nicht angemessen in den Prozess eingebunden“, sagte Fraktionsvize Konstantin von Notz dem Handelsblatt. Die Bundesregierung schreibt in ihrer Antwort zur beratenden Rolle des BSI: „Für die Wahrnehmung darüber hinausgehender Aufgaben besteht keine gesetzliche Grundlage.“ Von Notz sagte dazu: „So ist das Gesamtziel von mehr IT-Sicherheit kaum zu realisieren. Das wäre aber dringend notwendig.“
Abhängigkeit von Microsoft
Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, ist wie das BSI ebenfalls beratend in das Großprojekt eingebunden. In seinem letzten Tätigkeitsbericht begrüßte Kelber, „dass die Bundesregierung die Aufforderung des Haushaltsausschusses des Deutschen Bundestages zu meiner Einbeziehung ernst nimmt“. Zudem bezeichnete er die Zusammenarbeit mit allen Beteiligten, einschließlich der IT-Dienstleister des Bundes, als „sehr gut“. „Meiner Verantwortung, auf die Einhaltung des Datenschutzes bei der Umsetzung der IT-Konsolidierung Bund hinzuwirken, werde ich zukünftig nachkommen“, so Kelber in seinem Tätigkeitsbericht.
Frederick Richter von der Stiftung Datenschutz mahnte, bei der IT-Konsolidierung in jedem Fall Datenschutz und IT-Sicherheit zusammenzudenken. „Jeder zentralisierte Datenbestand ist potenziell attraktiv für Angreifer“, sagte der Stiftungsvorstand dem Handelsblatt. „Daher erhöht jede Zusammenführung von IT-Dienstleistungen auch die Anforderungen an den technischen Schutz der Daten.“
Aus Sicht Richters hängt dabei viel von der Qualifikation des Personals ab. Diese könne in wenigen zentralen Rechenzentren durchaus „effizienter und einheitlicher aus- und weitergebildet“ werden als in dezentralen Strukturen, sagte er.
Ein weiteres Sicherheitsproblem könnte sich durch die Abhängigkeit von Softwareanbietern wie Microsoft ergeben. Die Bundesregierung teile die Einschätzung, „dass Abhängigkeiten von Technologieanbietern, die zu kritischen Schmerzpunkten führen, reduziert werden sollen“, schreibt das Innenministerium in seiner Antwort die Grünen-Anfrage. Der Handlungsbedarf wird einerseits damit erklärt, dass aufgrund der „fortschreitenden IT-Anbieterkonzentration am Markt derartige Abhängigkeiten potentiell weiter zunehmen“, wie es in dem Dokument heißt. „Zusätzlich erhöhen technologische und geopolitische Trends, wie etwa angespannte Handelsbeziehungen oder der Umstieg auf Public-Cloud-Lösungen, die Relevanz dieses Themas.“
Die Bundesregierung setze sich daher zum Ziel, „dass zukünftige Softwarealternativen vorzugsweise, aber nicht zwingend, auf Open Source-Produkten basieren, mindestens jedoch auf offenen Standards und Schnittstellen“, schreibt das Innenministerium. Hierzu stehe der Bund neben den Ländern und Kommunen auch mit der Open Source Business Alliance, die sich für die Verbreitung von offener Software einsetzt, „im Dialog, um die Festlegung gemeinsamer Standards voranzutreiben“. Ergebnisse flössen in die Architektur-Richtlinie für die IT des Bundes ein.
Mehrkosten wegen veraltetem Betriebssystem
Das Innenministerium folgt mit seinen Einschätzungen den Ergebnissen einer dafür in Auftrag gegebenen Studie. In der Untersuchung von PricewaterhouseCoopers (PwC), die im vergangenen Jahr veröffentlicht wurde, kommen die Experten zu dem Schluss, dass die Bundesverwaltung „in allen Schichten“ von wenigen Software-Anbietern „stark abhängig“ sei. Dies gelte „besonders für Microsoft“. Microsoft Office und Windows wird demnach von 96 Prozent aller „unmittelbaren Behörden“ verwendet.
Der Grünen-Politiker von Notz sagte dazu, auf die Notwendigkeit, sich bei der Softwarenutzung endlich „diverser“ aufzustellen, mache seiner Fraktion seit vielen Jahren aufmerksam. „Das hätte man von Beginn des Konsolidierungsprozesses zwingend mitdenken müssen“, sagte er. Dass es hier erst durch eine Studie zu einem Umdenken gekommen ist, sei ein „eklatantes Versäumnis“.
Die Microsoft-Problematik zieht inzwischen auch unnötig Mehrkosten nach sich. Der Grund: Da Microsoft seit dem 14. Januar die Software Windows 7 nicht mehr kostenlos unterstützt, muss die Regierung nun für die weitere Nutzung in Bundesministerien und Bundesbehörden spezielle Updates kaufen. Das kostet die Regierung in diesem Jahr 800.000 Euro, wie aus einer Regierungsantwort eine Anfrage der Grünen hervorgeht, über die das Handelsblatt kürzlich berichtete. Die Regierung rechnet demnach auch in den kommenden beiden Jahren mit Kosten in Höhe von mehreren Tausend Euro wegen des alten Betriebssystems.
Mehr: Lesen sie hier, warum Unternehmen Cyberkriminalität als größtes Risiko sehen.
Das Kommentieren dieses Artikels wurde deaktiviert.