Kolumne : Gute Cybersecurity: Weniger Politik, mehr Inhalte!

Wie die Ereignisse in der Corona-Pandemie, der nach wie vor andauernde Russland-Ukraine-Krieg, der Krieg in Nahost und die zunehmenden geopolitisch-strategischen Spannungen zwischen der Volksrepublik China und Taiwan verdeutlichen, werden sich die politisch bedingten Entscheidungen in der Cybersicherheit in den kommenden Jahren perspektivisch weiter verschärfen und ausweiten. Umso wichtiger ist es, das Bundesamt für Sicherheit in der Informationstechnik (BSI) als nationale Cybersicherheitsbehörde schon jetzt auf die Auswirkungen bestehender und zukünftiger globaler Konflikte vorzubereiten, die zwangsläufig auch Auswirkungen auf die Bewertung der Cybersicherheitslage haben werden.

Diese Kolumne setzt inhaltlich die Überlegungen zur Neuordnung der nationalen Cybersicherheitsarchitektur fort, die der Verfasser am 21. September 2023 in einem Beitrag für „CSO“ Deutschland ausgeführt hat. Während es in vorgenanntem Beitrag vor allem um die Gründe für ein unabhängiges BSI ging, haben die nachfolgenden Ausführungen das Aufzeigen konkreter Lösungsansätze und die Bewertung ihrer Praktikabilität und juristischen Durchführbarkeit zum Gegenstand. Deutlich wird dabei: Die aktuell in der Bundesregierung geführte politische Debatte um die Unabhängigkeit des BSI ist keineswegs eine Quadratur des Kreises!

Das BSI im ministerialfreien Raum

Für manche ist der Königsweg zu einem unabhängigen BSI dessen Umwandlung im Wege des „ministerialfreien Raums“ zu einer unabhängigen Behörde, wie es das Grundgesetz bei der Deutschen Bundesbank und dem Bundesrechnungshof vorgesehen hat, welche Kraft Verfassung unabhängig sind.

Der rechtliche Hintergrund dazu: Grundsätzlich geht die Verfassung von einer einheitlichen Organisation der Exekutive aus, bei der die jeweiligen Behörden in einer hierarchischen Weisungskette zur Bundesregierung stehen, wodurch das Parlament eine einheitliche Kontrolle der Exekutive sichern kann und hierdurch das Demokratieprinzip gewahrt wird.

Behörden hingegen, die nicht der Regierung unterworfen sind, fehlt es an politischer Verantwortung in der Führungsebene, welche Rechenschaft ablegen kann – das sind die oben bezeichneten sogenannten „ministerialfreien Räume“. Solche ministerialfreien Räume können in verschiedenen Gestaltungsformen auftreten, bis hin zum Verzicht auf die Rechtsaufsicht, was die Behörde zwar vollkommen unabhängig werden lässt, deren rechtliche Legalität jedoch dann umstritten ist. Deutlich wird damit: Die ministerialfreien Räume müssen der absolute Ausnahmefall bleiben, da sich ein generelles Bestehen von ihnen mit dem Demokratieprinzip nicht in Einklang bringen lässt. Das bedeutet deshalb auch, dass es ein „absolut unabhängiges“ BSI rechtlich insoweit nicht geben kann.

Das BSI als Oberste Bundesbehörde

Eine politisch durchaus populär diskutierte Alternative zu den zuvor skizzierten ministerialfreien Räumen ist der Vorschlag, das BSI von einer Oberen zu einer Obersten Bundesbehörde umzugestalten, wie es unter Hinzunahme des Beispiels des Bundesbeauftragen für den Datenschutz und die Informationsfreiheit (BfDI) der Fall ist. Dieser war zuvor im Bundesinnenministerium (BMI) eingegliedert. Vorteil: Durch eine solche Umstrukturierung soll neben der fachlichen Unabhängigkeit eine direkte Kontrolle durch das Parlament erreicht werden, sodass das BMI von der Aufsicht künftig ausgeschlossen wäre.

Auch hier ergeben sich jedoch Einschränkungen des Demokratieprinzips, auch sind die Erwägungen für ein BSI als Oberste Bundesbehörde nicht mit denjenigen zur Unabhängigkeit des BfDI vergleichbar, dessen Legitimation auch vor dem Hintergrund des europäischen Datenschutzrechts zu sehen ist, das den nationalen Datenschutzaufsichtsbehörden die völlige Unabhängigkeit bei der Aufgabenerfüllung zuspricht.

Das BSI als selbstständige Bundesoberbehörde

Ein Minus zu den zuvor skizzierten Möglichkeiten der Unabhängigstellung des BSI wäre dessen Einrichtung als selbstständige Bundesoberbehörde, um die problematischen fachaufsichtsfreien Räume zu vermeiden. Denkbar wäre zur Aufrechterhaltung limitierter Kontrollstrukturen zum Beispiel, zwischen dem BSI und der Fachaufsicht eine Kontrolle auf der Grundlage von jährlichen Zielvereinbarungen umzusetzen. Dadurch könnte eine ergebnisbezogene Weisung und damit die Steuerung im Einzelfall ausgeschlossen werden. Vorbild könnte hier das Bundeskartellamt sein, das ebenfalls selbstständige Bundesoberbehörde ist.

Ebenfalls politisch diskutiert wird die Errichtung einer eigenen unabhängigen Stelle innerhalb des BSI, die in ihrem Aufgabenbereich vollständig autark handelt und mit einem eigenen Leiter und eigenen Sach- und Personalmitteln ausgestattet wäre. Eine solche Stelle würde weder von außen direkt noch indirekt beeinflusst werden. Ebenso würde sie keine Weisungen entgegennehmen beziehungsweise ersuchen.

Auch hier stellen sich aber hinsichtlich der praktischen Realisierbarkeit erhebliche Probleme, denn es fehlt ebenso an der demokratischen Legitimation als einem grundlegenden nationalen Verfassungsprinzip. Anzudenken wäre zwar, für diese unabhängige Stelle innerhalb des BSI besondere Auswahl-, Ernennungsverfahren und Berichtspflichten gegenüber dem Parlament vorzusehen.

Jedoch wäre das Parlament durch eine solche Berichtspflicht im Ergebnis nur passiv involviert, ohne dass BSI aktiv steuern zu können, sodass auch mit einer solchen Konstellation die strenge Ausnahme des ministerialfreien Raumes ausgehebelt würde. Im Ergebnis bestünden somit auch bei dieser Lösung erhebliche Bedenken im Hinblick auf die Einhaltung des Demokratieprinzips und die Legitimation einer solchen unabhängigen Stelle innerhalb des BSI.

Ausschließliche Rechtsaufsicht durch das BMI

Als Kompromiss zu den vorgenannten Ansätzen wird teils vorgeschlagen, die Aufsicht des BMI über das BSI auf eine reine Rechtsaufsicht zu reduzieren. Somit hätte das BMI gegenüber der Behörde keine inhaltliche Weisungsbefugnis mehr. Eine solche Änderung der Aufsichtsbefugnisse würde auch dem rechtlichen Grundgedanken des neu gefassten § 1 Abs. 3 BSIG entsprechen, wonach das BSI die Aufgaben gegenüber den Bundesministerien auf der Grundlage wissenschaftlich-technischer Erkenntnisse durchführt.

Durch die Neuregelung des § 1 Abs. 3 BSIG selbst erfährt das BSI zwar keine institutionelle Neuaufstellung und die Vorschrift ist auf den öffentlich-rechtlichen Bereich beschränkt, jedoch demonstriert sie eine eindeutige Tendenz zur Positionierung des BSI als Fachbehörde und nicht als politische Institution, wie es in der Vergangenheit mehr und mehr geschehen ist. Durch eine Beschränkung der Aufsicht des BMI im Sinne einer Rechtsaufsicht dürfte in jedem Falle die Unabhängigkeit des BSI gestärkt werden, wenngleich hiermit auch keine vollständige institutionelle Unabhängigkeit verbunden wäre.

Verteilung der Fachaufsicht über das BSI

Ebenfalls als Kompromiss – aber damit zugleich auch als gangbarer politischer Weg – angesehen wird die Möglichkeit, die Fachaufsicht über das BSI zu verteilen. Dieses Modell wird bereits für das Statistische Bundesamt gelebt: So ist die Behörde zwar eine selbstständige Bundesoberbehörde im Geschäftsbereich des BMI, führt ihre Aufgaben aber nach den Anforderungen der fachlich jeweils zuständigen Bundesministerien aus. Durch ein solches Konstrukt ist die Aufsicht bezüglich der fachlichen Erfüllung der zu differenzierenden Aufgaben auf unterschiedliche Ressorts verteilt, die Dienstaufsicht hingegen verbleibt im BMI.

Das Ziel dahinter ist die Bündelung der fachlichen Kompetenz in einer Querschnittsbehörde, deren Ressourcen aber allen Ressorts zugleich zugänglich sind. Für das BSI könnte eine solche Verteilung der Fachaufsicht bedeuten, dass die Möglichkeit der Einflussnahme durch das BMI auf das Tätigkeitsfeld der Cybersicherheit kraft Gesetzes verhindert wird. Ein ausreichender Grad an demokratischer Legitimation würde dabei durch die jeweiligen Fachressorts erbracht.

Politisch würde die Verteilung der Fachaufsicht über das BSI zunächst die Ermittlung fachlich unabhängiger Stränge in der Behörde voraussetzen. Auch wäre in diesem Zusammenhang eine Kompromisslösung denkbar, die eine graduelle Abstufung der Fachaufsicht je nach Relevanzgrad und Kritikalität des Aufgabenbereichs vorsieht. Im Zweifelsfall dürften mit einer Verteilung der Fachaufsicht über das BSI auch ressortbezogene Neustrukturierungen im BMI verbunden sein.

Ressortwechsel innerhalb und außerhalb des BMI

Eine weitere politisch zu diskutierende und rechtlich realisierbare Möglichkeit würde der Ressortwechsel des BSI innerhalb des BMI darstellen, indem dieses aus der Abteilung CI (Cyber- und Informationssicherheit) herausgelöst wird, um der Behörde zu einer größeren fachlichen Selbstständigkeit zu verhelfen. Im Ergebnis sind die damit verbundenen Folgen für die Selbstständigkeit des BSI aber nur gering und im Vergleich dazu die politischen Herausforderungen erheblich.

Die Alternative könnte deshalb auch in einem Ressortwechsel des BSI außerhalb des BMI zu sehen sein. Hier sind die theoretischen Möglichkeiten vielfältig und es werden aktuell Anknüpfungspunkte an verschiedene Bundesministerien diskutiert.

Lange Zeit schien naheliegend, das BSI beim Bundeskanzleramt zu verorten, hier im Speziellen beim Beauftragten der Bundesregierung für Digitalisierung. Da das Amt zurzeit unbesetzt ist, kommt eine derartige Zuordnung gegenwärtig aber nicht in Betracht. Ohnehin jedoch dürfte die Herauslösung des BSI aus dem BMI und die anschließende Eingliederung der Behörde in das Bundeskanzleramt in Anbetracht der geäußerten Kritik zur Nähe des BMI zu den nationalen Sicherheitsbehörden nicht besonders vielversprechend sein, da insbesondere der BND als verdeckt operierende Nachrichtendienstbehörde in den Geschäftsbereich des Bundeskanzleramts fällt.

Rechtlich denkbare Alternativen sind jedoch in einem Ressortwechsel des BSI in den Geschäftsbereich des Bundesministeriums für Digitales und Verkehr zu sehen sowie in den Geschäftsbereich des Bundesministeriums für Wirtschaft und Klimaschutz. Dies würde auch dem Zuschnitt und erheblich geändertem Aufgabenbereich des BSI entsprechen und wäre fachlich insoweit eine zukunftsgerichtete Neuaufstellung. Gerade der Ressortwechsel außerhalb des BMI setzt jedoch eine erhebliche politische Kompromissbereitschaft des Ministeriums voraus. Das sollte im Sinne der Verbesserung der nationalen Cybersicherheit aber eigentlich selbstverständlich und allen beteiligten Akteuren gleichermaßen ein Anliegen sein.

Quo vadis, BSI?

Wir diskutieren bereits seit Jahren über ein unabhängigeres BSI, ohne dass wir bislang nennenswerte Schritte weitergekommen sind. Das ist nicht nur bedauerlich, sondern erweckt gar den Eindruck, dass es den Verantwortlichen eigentlich gar nicht wirklich um die Verbesserung der Cybersicherheit geht. Dabei ist das BSI doch gerade zentraler Dreh- und Angelpunkt für die erfolgreiche weitere Digitalisierung in Deutschland in nahezu allen Bereichen und hat in der Vergangenheit bereits an vielen Stellen erfolgreiche fachliche Pionierarbeit geleistet – sei es im Bereich der internationalen Zusammenarbeit, der Technologieverifikation oder der Kooperation von Wirtschaft und öffentlichen Institutionen im Rahmen von Public Private Partnerships.

Umso wichtiger ist es, dieses aktuell günstige Zeitfenster rund um die nationale Implementierung der europäischen NIS-2-Richtlinie zu nutzen, um politisch ernsthaft über die Neuaufstellung des BSI nicht nur zu diskutieren, sondern auch entsprechend zu handeln.

Mit der Einrichtung einer „Arbeitsgemeinschaft BSI“ ist bereits ein Schritt in die richtige Richtung getan, dem nunmehr auch konkrete Ergebnisse folgen müssen, denn sowohl die Wirtschaft als auch die Zivilgesellschaft sind bereit für diese überfälligen Umstrukturierungen in der nationalen Cybersicherheitsarchitektur getreu dem Motto: Weniger Politik, mehr Inhalte!

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.

In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Dennis-Kenji Kipker erschienen: Die überfällige Reform des deutschen Cyberstrafrechts