Cybersicherheitsstrategie : Ein unabhängigeres BSI als Vertrauensanker in der Cybersicherheitsarchitektur

Der Digitalausschuss führt am Mittwoch eine Öffentliche Anhörung zum Thema „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“ durch. Ich erhoffe mir von der Anhörung wichtige Hinweise, wie wir die derzeit unübersichtliche und widersprüchliche Cybersicherheitsarchitektur in Deutschland deutlich effizienter organisieren und wie wir das Bundesamt für Sicherheit in der Informationstechnik (BSI) unabhängiger aufstellen können.

Die Einleitung eines „strukturellen Umbaus der IT-Sicherheitsarchitektur“ die Stärkung und „unabhängigere“ Aufstellung des BSI und dessen Ausbau als „zentrale Stelle im Bereich IT-Sicherheit“ sind sehr wichtige Vorhaben des Koalitionsvertrages. Zwar wird inzwischen angeführt, dass der Koalitionsvertrag der Ampel-Regierung ja vor der „Zeitenwende“ verhandelt wurde und dass diese zahlreiche Vorhaben als obsolet erscheinen lasse. Es ist richtig, dass der russische Angriffskrieg auf die Ukraine viele Gewissheiten zerstört hat und in vielen Bereichen grundsätzlich neue Antworten erzwingt.

Für die Stärkung der Unabhängigkeit des BSI gilt dies ausdrücklich nicht. Im Gegenteil: Die Herausforderung und Gefährdungen informationstechnischer Systeme und Infrastrukturen, die sich im Kontext der Zeitenwende massiv verschärfen werden, erfordern weitreichende Befugnisse und Kompetenzen für das BSI. Diese setzen Akzeptanz und Vertrauen voraus. Eine deutlich unabhängigere Aufstellung ist daher die zentrale Akzeptenzvoraussetzung und Legitimierung der wichtigsten nationalen Cybersicherheitsbehörde als zentraler Vertrauensanker. Auffällig ist, dass ein unabhängiger aufgestelltes BSI in beinahe allen Stellungnahmen für die Anhörung die zentrale Schaltstelle einer zeitgemäßen Cybersicherheitsarchitektur einnimmt – vorausgesetzt das Amt genießt das Vertrauen und die Akzeptanz aller Akteure.

Forderung nach stärkerer Unabhängigkeit ist nicht neu

Das BSI ist eine technische Behörde von besonderer Bedeutung zur Gewährleistung und Verbesserung der IT- und Cybersicherheit von Bundesbehörden, Parlamenten, Gerichten und Ansprechpartner für die Wirtschaft und Bürgerinnen und Bürger. Die Frage der rechtlichen Aufstellung und insbesondere die Forderung einer stärkeren fachlichen Unabhängigkeit des BSI ist beinahe so alt wie das Amt selbst.

Mit dem IT-Sicherheitsgesetz 2.0 hat die damalige Große Koalition einen ersten Schritt in Richtung einer Stärkung der Unabhängigkeit unternommen, der aber in der Fachöffentlichkeit zu Recht als vollkommen unzureichend kritisiert wird. Aus meiner Sicht zu Recht. Die Frage der stärkeren Unabhängigkeit stellt sich, aus vergleichbaren Gründen, in immer mehr Bereichen. So schreibt das europäische Recht für die Datenschutzaufsichtsbehörden und den zukünftigen Digitalen-Dienste-Koordinator die vollständige Unabhängigkeit fest. Auch die Bundesnetzagentur, das Bundesamt für Statistik oder das Bundeskartellamt weisen aufgrund ihres gesetzlichen Auftrages einen hohen Grad an Unabhängigkeit auf.

Der Auftrag und die Kompetenzen des BSI erfordert eine vergleichbare Unabhängigkeit. Denkbar sind verschiedene Optionen: eine unabhängige Bundesbehörde und die Angliederung an das Parlament, die Angliederung an ein anderes Ministerium oder die Sicherung der Weisungsfreiheit durch die Trennung von Rechts- und Fachaufsicht.

Wo weitgehende Weisungsfreiheit sinnvoll ist

Angesichts der Breite der Aufgaben des BSI und der Zuständigkeit des Schutzes der IT-Systeme des Bundes oder des technischen Geheimschutzes scheint ein Herauslösen aus dem Geschäftsbereich des Bundesinnenministeriums (BMI) nicht zielführend zu sein. Im Gegenzug steht es aus meiner Sicht aber auch nicht zur Disposition, das BSI als Einheit in Frage zu stellen. Die Stärke des BSI bezieht es aus der Breite seines Aufgabenkatalogs, der erst durch den offenen Austausch und dem Zusammenwirken der einzelnen Abteilungen möglich wird.

Wohl aber sollte in allen Bereichen, in denen das BSI die technische Sicherheit einschätzen, bewerten und über Maßnahmen zum Schutz oder zur Abwehr von Cybersicherheitsgefährdungen entscheiden muss, eine weitgehende Weisungsfreiheit im Rahmen der Fachaufsicht gesetzlich fixiert werden. Die Kontrolle der Rechtmäßigkeit des Handelns des BSI bleibt bei einer solchen unabhängigeren Aufstellung im Rahmen der Rechtsaufsichtsfunktion durch das BMI unberührt.

Auch steht derzeit die Frage im Raum, ob das BSI zukünftig von einer oder einem „politischen Beamten“ geleitet werden soll. Aus meiner Sicht muss man die Frage der Unabhängigkeit des BSI und der Rechtstellung der Leitung zusammendenken. Auf der einen Seite soll das BSI weitgehend unabhängig und weisungsfrei allein nach wissenschaftlich-technischen Kriterien agieren können und unterliegt lediglich der Rechtsaufsicht durch das BMI. Zugleich wird durch die Einstufung als „politischer Beamter“ neben einer Aufwertung im Behördenverbund auch sichergestellt, dass die Hausleitung des BSI auch das Vertrauen des BMI und der Bundesregierung – und letztlich auch das Vertrauen in Wirtschaft und Gesellschaft – genießt.

Deswegen ist es so wichtig, dass die neue Präsidentin oder der neue Präsident neben der ausgewiesenen fachlichen Expertise zwingend ein hohes Maß an persönlicher Integrität und Unabhängigkeit mitbringt. Ich bin mir sicher, dass die Bundesinnenministerin hier zeitnah einen entsprechenden Vorschlag machen wird.

Mehr parlamentarische Kontrolle notwendig

Auch bedarf es einer Änderung der Geschäftsordnung der Bundesregierung, denn es dient weder dem Vertrauen noch der IT-Sicherheit und ist daher bestenfalls als obsolet zu bewerten, wenn das BSI sich die Unterstützung anderer Ressorts oder staatlicher Institutionen oder genehmigen lassen muss. Zudem bedarf es bei einer unabhängigeren Aufstellung des BSI einer stärkeren parlamentarischen Kontrolle. So sollte es neben einer gesetzlich verankerten Berichtspflicht des BSI an den Deutschen Bundestag auch ein Anrufungsrecht für die Leitung des BSI beim Deutschen Bundestag geben – und zwar ohne dass dies einer Genehmigung oder gar Aussagefreigabe durch das BMI bedarf.

Was auf keinen Fall passieren darf, ist, dass das Parlament nicht auf die Hilfe und Unterstützung des BSI setzen kann, weil es aufgrund mangelnder Unabhängigkeit nicht das Vertrauen des ganzen Hauses genießt.

Wir werden als Fortschrittskoalition gemeinsam mit dem BMI die entsprechenden Änderungen zur Neuordnung der Cybersicherheitsarchitektur und zur Stärkung der Unabhängigkeit des BSI auf den Weg bringen.

Jens Zimmermann ist digitalpolitischer Sprecher der SPD-Bundestagsfraktion