Cybersicherheit : Wie kann das BSI unabhängiger werden?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die wichtigste Behörde zur Gewährleistung und Verbesserung von IT- und Cybersicherheit in Deutschland. Jedoch wird seine für die Arbeit enorm wichtige fachliche Unabhängigkeit immer wieder angezweifelt. Die Kontroversen, die zu diesen Zweifeln führen, ergeben sich vor allem aus der Verortung des BSI innerhalb der Behördenlandschaft.

Das BSI wurde 1991 im Ressort des Bundesinnenministerium (BMI) gegründet und ist aktuell die „Cyber-Sicherheitsbehörde des Bundes“. Durch die immer weiter steigende Bedeutung der Digitalisierung aller Lebensbereiche im 21. Jahrhundert wurde das BSI zu einem wichtigen Akteur der deutschen Sicherheitspolitik. Es gibt jedoch eine Frage, die seit vielen Jahren sowohl in der politischen als auch in der technischen Community diskutiert wird, und sogar Eingang in den aktuellen Koalitionsvertrag fand: Gefährdet die Abhängigkeit der Behörde vom BMI das Vertrauensverhältnis anderer Akteure in das BSI?

Der Grund für diese Kontroverse liegt nicht nur in der Vergangenheit der Behörde, genauer: ihrer Entstehung aus dem Bundesnachrichtendienst und ihrer Zusammenarbeit mit dem Bundeskriminalamt (BKA). Schwerer wiegt die aktuelle Situation, in der der staatliche Umgang mit Schwachstellen in Hardware und Software ungeklärt ist und das BMI sowohl Behörden beheimatet die IT-Sicherheit fördern sollen, als auch solche, die von IT-Unsicherheit profitieren.

Ein jüngeres Ereignis wird häufiger als Argument für eine Unabhängigkeit des BSI vom BMI angeführt: Das BSI hätte das BKA bei der Programmierung einer Schadsoftware – auch bekannt als „Bundestrojaner“ oder „Staatstrojaner“ unterstützt. Laut Netzpolitik.org hat das BSI, statt seinem Auftrag nachzukommen und die IT-Systeme in Deutschland sicherer zu machen, sein Wissen genutzt, um anderen Behörden zu helfen, in IT-Systeme einzudringen. Stand 2020 verneint das BSI, Schwachstellen zum offensiven Einsatz an andere Behörden weitergegeben zu haben. Eine wohlwollende Lesart wäre, dass das BSI dem BKA lediglich dabei half, die Schadsoftware sicherer zu machen, damit keine Kriminellen, Nachrichtendienste oder andere Dritte die Ermittlungen des BKA gefährden können. Das würde zwar nicht dem gesetzlichen Auftrag des BSI widersprechen, wohl aber seiner strategischen Rolle: Denn eigentlich soll die Behörde vor Schadsoftware schützen und nicht Schadsoftware sicherer machen.

Die Kontroversen über die BND-Vergangenheit, die Mitentwicklung des „Bundestrojaners“ und den Umgang mit Schwachstellen sind jedoch nur Symptome für einen grundlegenden Mangel an Vertrauen. Die Ursache liegt in der aktuellen Struktur der Exekutive, genauer: dem Aufgabenzuschnitt des BMI. In diesem Ressort sind nämlich nicht nur das BSI, sondern auch mehrere Behörden beheimatet, die teilweise von einer Schwächung der Cyber- und IT-Sicherheit profitieren.

Im Ressort des BMI sind neben dem BSI auch das BKA, das BfV und die Bundespolizei (BPol). Diese drei Behörden profitieren aus genannten Gründen von IT-Unsicherheit, zum Beispiel in Form von (unter Verschluss gehaltenen) offenen Schwachstellen. Hinzu kommt die Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS), deren Auftrag es ist, die von den Polizeien und Nachrichtendiensten entsprechend benötigten digitalen Werkzeuge und Dienstleistungen zu beschaffen. Jede dieser dafür benötigten, offenen Schwachstellen kann aber gleichzeitig auch von organisierter Kriminalität und ausländischen Nachrichtendiensten und Militärs ausgenutzt werden. Das bringt die Sicherheitsbehörden – im Gegensatz zum BSI, das einen klaren IT-Schutzauftrag hat – in eine Zwickmühle, da das BKA auch für den Schutz vor Cyberkriminalität und das BfV auch für den Schutz vor Cyberspionage und -sabotage zuständig sind.

Aktuell befindet sich das BSI im Ressort des BMI und unterliegt dessen Fachaufsicht, Rechtsaufsicht und Dienstaufsicht. Diese unterscheiden sich wie folgt:

• Fachaufsicht ist die Aufsicht über die Recht- und Zweckmäßigkeit des Verwaltungshandelns.
• Bei der Rechtsaufsicht ist die Befugnis der aufsichtsführenden Behörde darauf beschränkt, die Rechtmäßigkeit des Verwaltungshandelns zu überprüfen.
• Dienstaufsicht bezieht sich auf Beschäftigte, Organisationseinheiten oder Aufbau und Abläufe. Sie zielt insbesondere auf persönliche Pflichterfüllung der Beschäftigten, die hiermit in Verbindung stehende innere Ordnung und den Dienstbetrieb der nachgeordneten Organisationseinheit.

Betrachtet man die Aufsicht als Basis der Abhängigkeit des BSI vom BMI, ergeben sich unterschiedliche Optionen für eine institutionelle Aufstellung des BSI, die die Behörde unabhängig von den entgegengesetzten Interessen der Sicherheitsbehörden im Ressort des BMI machen würde.

Denkbar wäre zum Beispiel, das BSI zum Informationssicherheitsbeauftragten des Bundes zu machen. Das BSI wäre in diesem Fall zwar noch immer im Ressort des BMI, aber unabhängiger von den Sicherheitsbehörden und ein effektiveres Kontrollorgan des Beauftragten der Bundesregierung für Informationstechnik. Ein weiteres Modell wäre, dem BMI ausschließlich die Rechtsaufsicht über das BSI zuzuweisen. Die Aufsicht des BMI über das BSI könnte auf eine reine Rechtsaufsicht reduziert werden. Damit würde das BMI weiterhin als Kontrollorgan des BSI fungieren, hätte aber keine (inhaltliche) Weisungsbefugnis ihm gegenüber mehr. So könnte das BMI das BSI zum Beispiel nicht mehr anweisen das BKA bei der Programmierung einer Schadsoftware zu unterstützen.

Eine andere, nahe liegende Option wäre der Übergang des BSI aus dem Ressort des BMI in ein anderes Ressort. Denkbar wären zum Beispiel das Bundesministerium für Wirtschaft und Energie (BMWi) oder das Bundesministerium für Verkehr und digitale Infrastruktur (BMVI). Jedoch würde sich auch in diesem Fall eine Abhängigkeit des BSI vom jeweiligen Ministerium ergeben.

So wäre eine viertes Modell prüfenswert: Das BSI könnte von einer Oberen zu einer Obersten Bundesbehörde werden, wie zum Beispiel der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) – der bis 2016 im Ressort des BMI war – oder der Bundesrechnungshof. Hierdurch würde dem BSI ein Höchstmaß an fachlicher Unabhängigkeit zugestanden, eine Kontrolle könnte dann zum Beispiel wie beim BfDI durch das Parlament erfolgen.

Wie auch immer man sich entscheiden mag: Es ist an der Zeit, dass sich die Bundesregierung der Kontroverse annimmt, und dem Bundesamt für Sicherheit in der Informationstechnik mehr Unabhängigkeit einräumt. Davon würde die Cyber- und IT-Sicherheit in Deutschland sicherlich profitieren, da das BSI so seine Rolle – vor allem in (vertrauensvoller) Zusammenarbeit mit anderen Akteuren – effektiver ausüben könnte.

Sven Herpig ist Leiter für internationale Cyber-Sicherheitspolitik bei der Stiftung Neue Verantwortung (SNV). Bevor Herpig zur SNV kam, arbeitete er mehrere Jahre bei deutschen Bundesbehörden im Bereich IT-Sicherheit – unter anderem beim BSI. Der Gastbeitrag basiert auf dem Paper „Die ‚Unabhängigkeit‘ des Bundesamtes für Sicherheit in der Informationstechnik“, das heute erscheint.