Wenn die Parteien im Wahlkampf über Digitalisierung stritten, durfte ein Aspekt nicht fehlen: die Schaffung eines eigenen Ministeriums. Nun scheint es so, als wäre so ein neues Ministerium vom Tisch. Andere Optionen werden laut Medienberichten diskutiert: Staatsminister:in oder Chief Digital Officer im Bundeskanzleramt? Die Aufwertung eines bestehenden Ministeriums? Was auch immer die Koalitionsverhandlungen ergeben, die Antwort ist für die Cybersicherheitspolitik nicht uninteressant. Denn: Sollte es in der neuen Regierung eine neue Zuordnung für die Digitalverantwortung geben, wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit neu eingeordnet werden?
Einer der Sätze, die der Präsident des BSI nicht müde wird zu betonen, ist, dass es ohne Cybersicherheit keine Digitalisierung gibt. Und da hat er natürlich Recht. Übersetzt in den technischen Bereich könnte man hier auch von „Security-by-Design“ sprechen. Es ist wichtig, dass Cybersicherheit direkt am Anfang von Digitalisierung mitgedacht wird. Was passiert, wenn das nicht der Fall ist, konnten wir gerade erneut an der ID-Wallet und an scoolio beobachten. In der „IT-Sicherheitsszene“ spricht man hier sinnbildlich von einem „Dumpster Fire“, einem brennenden Müllcontainer, sprichwörtlich für eine ziemlich verkorkste Situation.
Auf den ersten Blick ergibt es also Sinn, dass wenn eine neue Verantwortlichkeit die Digitalisierung in Deutschland vorantreiben soll, dass die Cybersicherheit auch direkt dort mitgedacht wird. Und welche Behörde kann besser IT-Sicherheit von Anfang an mit einbringen als das BSI? Ein ganz klarer Pull-Faktor gen BSI.
Mehr Unabhängigkeit für das BSI
Dazu kommt aber auch noch ein Push-Faktor. Das sind Gründe, warum das BSI nicht mehr in seinem aktuellem Ministerium, dem Innenressort (BMI), beheimatet sein sollte. Das BMI hat es unter anderem bis heute nicht geschafft, den Zielkonflikt zwischen öffentlicher Sicherheit und IT-Sicherheit vernünftig zu moderieren, weshalb die Unabhängigkeit des BSI in Expert:innenkreisen immer wieder diskutiert wird. Zuletzt sogar prominent bei der Anhörung zum IT-Sicherheitsgesetz 2.0. Für eine stärkere Unabhängigkeit des BSI vom BMI gibt es unterschiedliche Modelle, die „Verschiebung“ in ein anderes Ressort ist eine Option. Dafür müssten jedoch einige Bedingungen erfüllt sein.
Die Gefährdungslage für Deutschland im Cyberraum ist weiterhin „angespannt bis kritisch“. Und mit der Cybersicherheitsstrategie hat die scheidende Bundesregierung der neuen ein langes Hausaufgabenheft mitgegeben. Es ist daher wichtig für die nationale Sicherheit, dass das BSI in einem durchsetzungsstarken Ressort beheimatet ist (lies: starkes Ministerium, bei dem „Digitales“ eine zentrale Rolle spielt).
Sollte die neue Digitalisierungsinstanz nur eine koordinierende Rolle in der Bundesregierung einnehmen oder „Digitales“ nur ein kleiner Teil der Zuständigkeiten des neuen Ressorts sein, wäre ein Verbleib im Innenressort möglicherweise zielführender. Hierbei sollte dann jedoch geprüft werden, ob zumindest die fachliche Aufsicht des BMI über das BSI aufgegeben werden sollte. Alternativ könnte bei einer rein koordinierenden Rolle eine starke Unabhängigkeit des BSI durch die Herauslösung aus dem Innenressort und ein Umbau zu einer eigenen Obersten Bundesbehörde mit Kontrolle durch das Parlament, wie beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, erwogen werden.
Modelle der Verantwortlichkeiten und Pflichten
Entscheiden sich die Regierungsparteien aber dafür die Digitalisierung über ein mit ausreichend Ressourcen und Zuständigkeiten ausgestattete Instanz voranzutreiben, könnte dies die neue Heimat des BSI werden. Was aber bedeutet die Zuordnung zu einem Ressort eigentlich? Meist sind hiermit die Fach-, Dienst- und Rechtsaufsicht gemeint. Aktuell nimmt beim BSI das BMI alle diese Aufsichtsfunktionen wahr.
So ist zum Beispiel vorstellbar, dass die neue Digitalverantwortung die Dienst- und Rechtsaufsicht des BSI übernimmt, sich aber die Fachaufsicht mit dem BMI zukünftig teilt. Denn: es gibt Bereiche im BSI, wie zum Beispiel den Geheimschutz, die operative Sicherheit der Netze des Bundes oder die Vorfallsbearbeitung, die weitaus stärker im Zuständigkeitsbereich des BMI liegen werden, unabhängig davon, wie der Zuschnitt einer neuen Digitalisierungsinstanz aussehen wird.
Ein solches Modell gibt es beispielsweise bereits beim Statistischen Bundesamt. In der Praxis wird eine geteilte Fachaufsicht für das BSI natürlich eine Herausforderung, vor allem falls noch weitere Ressorts einen Teil der Fachaufsicht bekommen sollten, zum Beispiel das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) für den neuen BSI-Bereich „Digitaler Verbraucherschutz.“ Die operative Umsetzung muss daher genau geplant und festgehalten werden.
Die Alternative zu dem Status Quo wäre die Auftrennung des BSI in mehrere Bereiche, die dann jeweils mit entsprechender Fach-, Dienst-, und Rechtsaufsicht im BMI und Digitalressort verortet werden.
Diese Option ist jedoch vermutlich aus Effizienz- und Effektivitätsgesichtspunkten noch problematischer als der Verbleib im Innenressort. Während das BSI über die letzten Jahre starken Personal- und Kompetenzaufwuchs erfahren hat, blieb die interne Logik grundlegend gleich: die Nutzung interner Wertschöpfungsketten und Synergien zwischen Technikkompetenz (Abteilungen KM und TK), Digitalisierung begleiten (Abteilungen DI und SZ), operativen Fähigkeiten (Abteilung OC) und Transfer in Verwaltung, Wirtschaft und Gesellschaft (Abteilungen BL und WG). Das Heraustrennen einzelner Bereich, zum Beispiel der operativen Fähigkeiten, hätte direkte negative Auswirkungen auf die Effektivität der anderen Bereiche.
Abseits von strukturellen Argumenten, wird aber die politische Lage eine bedeutende Rolle spielen. Vertreter:innen von SPD, Bündnis 90/Die Grünen und FDP haben in der Vergangenheit ein – vom BMI – unabhängiges BSI gefordert. Bei einer Ampel-Koalition wird daher eine dieser Parteien das Personal für die neue Instanz stellen und sich an der Umsetzung der Forderung messen lassen müssen.
Sollte sich die kommende Bundesregierung auf eine starke Rolle der Digitalisierungsinstanz einigen können, sollten zumindest Teile der Fachaufsicht über das BSI in diesem Ressort liegen. Um die oftmals von Expert:innen und Digitalpolitiker:innen kritisierte fehlende Unabhängigkeit zu adressieren, müssten dort zusätzlich auch die Dienst- und Rechtsaufsicht verortet werden. Aber alles unter der Prämisse, dass die Behörde weiterhin ihre Synergien ausspielen kann.
