Drucksache 18/12850
– 374 –
Deutscher Bundestag – 18. Wahlperiode
Eine Herausforderung bestehe seinen Angaben zufolge in der „weit zersplitterten IT-Landschaft des Bundes“, die aus der grundsätzlich bestehenden Eigenverantwortung der Ressorts für die IT und ihre Sicherheit
resultiere. Im Jahr der Snowden-Enthüllungen habe es dazu eine Erhebung mit folgendem Ergebnis gegeben:
„119 Rechenzentren, über 1 200 Serverräume, 40 unterschiedliche Netze. Im Hinblick
auf die IT-Sicherheit führt das zu unterschiedlichen IT-Sicherheitsvorkehrungen in
den einzelnen Behörden, die nur dort einheitlich sind, wo sie typischerweise einheitlich finanziert sind, zum Beispiel – prominentestes Beispiel vielleicht – bei den Regierungsnetzen, IVBB und anderen Regierungsnetzen, die ressortübergreifend vom
BMI bereitgestellt werden.“1499
Das BMI habe sich daher regelmäßig veranlasst gesehen, die Ressorts an ihre Eigenverantwortung zu erinnern. Im gesamten Untersuchungszeitraum habe es einen immerwährenden Druck des BMI auf die Bundesministerien gegeben, mehr für die Sicherheit in ihren Behörden auf allen Ebenen zu tun. Es habe zu diesem
Thema Kabinettsbefassungen, Staatssekretärsbesprechungen, diverse Sensibilisierungsveranstaltungen, Präsentationen in Staatssekretärsrunden gegeben und in praktisch jeder Sitzung des Rats der IT-Beauftragten der
Bundesministerien seien Fragen der IT-Sicherheit seit Anfang 2008 adressiert worden.“1500
a)
Politisch-strategische Ebene
Der Zeuge Martin Schallbruch hat erläutert, die Bundesregierung habe – soweit es den Untersuchungszeitraum betreffe – bereits im Jahr 2005 mit dem „Nationalen Plan zum Schutz der Informationsinfrastrukturen“
eine erste IT-Sicherheitsstrategie vorgelegt. Diese habe in erster Linie die Bundesverwaltung betroffen, aber
darüber hinaus auch Fragen der Internetsicherheit, der Erweiterung der Aufgaben des BSI und der Technologiepolitik. Er hat weiter ausgeführt, dieser nationale Plan sei auch Beginn einer engeren Zusammenarbeit
mit Unternehmen im Bereich der kritischen Infrastruktur gewesen. 2009 sei das BSI-Gesetz novelliert worden und das BSI habe zusätzliche Befugnisse für die Kontrolle der Sicherheit der IT des Bundes, aber auch
zusätzliche Aufgaben im Bereich der Unterstützung von Unternehmen und Warnung der Bürger erhalten.
Mit dieser Novelle des BSI-Gesetzes erhielt nach Angaben des Zeugen Andreas Könen das BSI erstmalig
eine operative Verantwortung für die Cybersicherheit der Regierungsnetze.1501 Durch die zu diesem Zeitpunkt eingeführte Meldepflicht auf Bundesebene erhalte das BSI als zentrale Meldestelle und IT-Lagezentrum alle relevanten Informationen über Vorfälle bei den Bundesbehörden.1502
2011 wurde die Cyber-Sicherheitsstrategie des Bundes beschlossen. Der Zeuge Martin Schallbruch hat betont, dass diese ressortübergreifend zustande gekommen sei.1503 Mit dem Cyber-Sicherheitsrat sei ein wesentliches Umsetzungsgremium eingerichtet worden. Dort würden Fragen in diesem Bereich ressortübergrei-
1499)
1500)
1501)
1502)
1503)
Schallbruch, Protokoll-Nr. 104 I, S. 78.
Schallbruch, Protokoll-Nr. 104 I, S. 78.
Könen, Protokoll-Nr. 104 I, S. 8.
Könen, Protokoll-Nr. 104 I, S. 8.
Schallbruch, Protokoll-Nr. 104 I, S. 78.