Ein vertraulicher Bericht des Bundesrechnungshofs deckt massive Defizite bei der IT-Sicherheit der Bundesverwaltung auf. Weniger als zehn Prozent der rund 100 Rechenzentren erfüllen die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geforderten Mindeststandards. In Krisenlagen steht nicht einmal eine stabile Notstromversorgung zur Verfügung. Die Prüfer stufen den Zustand als „unzureichend“ ein und kritisieren eine „unverändert defizitäre“ IT-Lage im Bund (spiegel: 03.07.25).
IT-Sicherheit ohne verlässliche Grundlagen
Die geprüften Rechenzentren verfehlen das Bewertungssystem HVB-kompakt, das 34 verbindliche Sicherheitsanforderungen umfasst. Laut Bericht besteht ein „dramatisches Umsetzungsdefizit in der Cybersicherheit“. Zwar verfügen viele Behörden über Netzersatzanlagen, doch mangelt es an Betriebskonzepten, Wartung sowie Treibstoffreserven. Die Notstromversorgung bricht im Krisenfall ein.
Besonders kritisch zeigt sich die Lage bei der Redundanz. Zahlreiche Bundesbehörden sichern ihre kritischen IT-Dienste weder georedundant noch betrieblich ab. Vier Stellen besitzen keine funktionierenden Ausfallkonzepte. Zwar existieren dort Backups, doch wurde nie überprüft, ob diese zur Wiederherstellung der Systeme ausreichen. Ohne Redundanz lassen sich staatliche Kernfunktionen wie Sozialleistungen in Krisenszenarien nicht aufrechterhalten.
Strategielosigkeit auf höchster Ebene
Die Prüfer werfen der Bundesregierung vor, ihre Cybersicherheitsstrategie unzureichend ausgearbeitet zu haben. Weder wurden konkrete Mängel benannt, noch existiert ein realistischer Finanz- oder Personalplan. Die Strategie bleibt wirkungslos. Eine Neuausrichtung gilt als überfällig.
Auch beim BSI selbst zeigt sich ein massiver Personalmangel. Für flächendeckende IT-Sicherheit wären 112 Stellen nötig – nur 20 existieren, davon lediglich drei mit Kontrollaufgaben. Die Prüfer beklagen, dass so keine fundierte Lageeinschätzung möglich ist.
IT-Sicherheit leidet unter institutioneller Zersplitterung
Ein weiterer Schwachpunkt ist die Zersplitterung der Zuständigkeiten. Derzeit befassen sich 77 Stellen auf Bundesebene mit IT-Sicherheit und Cyberabwehr. Diese Parallelstrukturen führen zu ineffizienten Abläufen. Selbst zentrale Behörden wie das BSI, das Bundesamt für Bevölkerungsschutz und die Bundesnetzagentur verfügen über keine einheitliche Datenbasis und keinen geregelten Informationsaustausch.
Das 2011 gegründete nationale Cyber-Abwehrzentrum überzeugt die Prüfer ebenfalls nicht. Ein belegbarer Nutzen fehlt. Es fungiert lediglich als Kooperationsplattform – ohne Befugnisse für echte Abwehrmaßnahmen. Die mit dem Begriff verbundenen Erwartungen bleiben unerfüllt.
Geld allein erhöht keine Sicherheit
Die Prüfer fordern von der Bundesregierung eine klare Neuordnung und zentrale Steuerung aller Maßnahmen. Investitionen in Milliardenhöhe müssen mit konkreten Zielen verknüpft werden. „Mehr Geld“ bedeute nicht automatisch mehr Schutz, mahnt der Bundesrechnungshof. Ohne wirksame Kontrolle bleibe die IT-Sicherheit des Bundes auf wackligem Fundament.
Zwar haben die zuständigen Ministerien dem Bericht „im Wesentlichen“ zugestimmt, eine klare Reaktion bleibt jedoch aus. Die Cybersicherheitsstrategie soll erst im August 2025 überarbeitet vorliegen. Bis dahin bleibt die digitale Infrastruktur des Bundes ungeschützt – trotz wachsender Bedrohungen.
Lesen Sie auch: