Betreiber von Internetportalen müssen ihre Systeme sicherer machen und z. B. eine Zwei-Faktor-Authentifizierung (Besitz und Wissen) auf ihren Portalen vorsehen. Hierbei wird beim Login-Vorgang ein weiteres Geheim nis z. B. per SMS an den Nutzer zur Eingabe bei der Anmeldung gesendet.
5.14.4 IT-Konsolidierung im Geschäftsbereich des BMI
Die Zusammenfassung der IT-Betriebe innerhalb der Bundesregierung schreitet weiter fort. Das BMI plant seit
2006 die sogenannte IT-Konsolidierung für fast alle Behörden im seinem Geschäftsbereich - ausgenommen
sind zurzeit nur Sicherheitsbehörden und das Ministerium selbst.
Das BMI hat für Behörden in seinem Geschäftsbereich vorgesehen, die IT bei der Bundesstelle für Informati onstechnik (BIT) im Bundesverwaltungsamt (BVA) zu bündeln. Bereits umgesetzt ist diese Maßnahme für das
BVA selbst, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, das Statistisches Bundesamt (StBA), das Bundesamt für Migration und Flüchtlinge und das Beschaffungsamt des Bundesministeriums
des Innern.
Ich habe die Konsolidierung von Anfang an kritisch begleitet und klargestellt, welche datenschutztechnischen
und -rechtlichen Rahmenbedingungen vor einer Konsolidierung erfüllt sein müssen. So muss z. B. eine ausreichende Abschottung der IT-Betriebe voneinander gewährleistet sein (Mandantentrennung) und die Weitverkehrsverbindungen und die lokalen Netzwerke müssen ausreichend leistungsfähig sein, damit Verfügbarkeit und
Notfallvorsorge gegeben sind. Außerdem müssen sie einen ausreichenden Schutz der Vertraulichkeit durch Verschlüsselung bieten. Diese datenschutzrechtlichen Voraussetzungen sind aber nicht immer erfüllt. So führte eine
Kontrolle der Maßnahmen und Vereinbarungen zur Konsolidierung des StBA zu einer Beanstandung gegenüber
dem BMI (vgl. Nr. 5.9).
Die Einhaltung der Anforderungen des Datenschutzes werde ich deswegen auch bei den nächsten Maßnahmen
zur Konsolidierung bei der Hochschule des Bundes für öffentliche Verwaltung, bei der Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern, bei der Bundeszentrale für politische Bildung, bei der
Bundesanstalt Technisches Hilfswerk, beim Bundesamt für Kartographie und Geodäsie und beim BSI kontrol lieren.
5.14.5 Entwurf für ein IT-Sicherheitsgesetz - ein Beitrag zur IT-Sicherheit bei kritischen Infrastrukturen
Mit dem Gesetzentwurf für ein IT-Sicherheitsgesetz plant die Bundesregierung Defizite im Bereich der IT-Sicherheit - insbesondere bei Betreibern kritischer Infrastrukturen - abzubauen.
Mit der digitalen Durchdringung von Staat, Wirtschaft und Gesellschaft entstehen in nahezu allen Lebensberei chen neue Potentiale, Freiräume und Synergien. Gleichzeitig wächst die Abhängigkeit von IT-Systemen in allen
Bereichen und damit die Bedeutung der ihrer Verfügbarkeit und Sicherheit. Dabei ist die IT-Sicherheitslage in
Deutschland weiterhin angespannt: Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) erhält
kontinuierlich eine Vielzahl von Informationen zur aktuellen Bedrohungssituation.
Durch den vom BMI vorgelegten Entwurf des IT-Sicherheitsgesetzes sollen das BSI-Gesetz erweitert und weitere Gesetze angepasst werden. Betreiber kritischer Infrastrukturen in Deutschland werden verpflichtet, ange messene organisatorische und technische Vorkehrungen zum Schutz informationstechnischer Systeme zu schaffen und durch Standardisierungen und Auditierungen zu belegen. Zudem sollen Betreiber kritischer Infrastrukturen IT-Sicherheitsvorfälle, die Auswirkungen auf ihre Funktionsfähigkeit haben können, unverzüglich dem
BSI melden. Die Regelungen entsprechen im Grundsatz dem Vorschlag der Europäischen Kommission für eine
BfDI 25. Tätigkeitsbericht 2013-2014
– 103 –