Cybersicherheit und Stellenabbau im Bereich IT-Sicherheit im Geschäftsbereich des Bundesministeriums des Innern
der Abgeordneten Tobias Matthias Peterka, Ulrich von Zons, Lukas Rehm, Manfred Schiller, Tobias Teich, Gerold Otten, Dr. Rainer Kraft, Jan Wenzel Schmidt, Thomas Korell, Dr. Paul Schmidt, Robin Jünger, Dr. Malte Kaufmann, Dr. Daniel Zerbin, Mirco Hanker, Reinhard Mixl, Dr. Michael Blos, Carolin Bachmann, Dr. Maximilian Krah, Dr. Christina Baum, Stefan Keuter, Knuth Meyer-Soltau, Claudia Weiss, Julian Schmidt, Achim Köhler, Marc Bernhard, Edgar Naujok, Kay-Uwe Ziegler, Joachim Bloch, Udo Theodor Hemmelgarn, Stefan Henze, Uwe Schulz, Sascha Lensing, Rocco Kever, Volker Scheurell, Otto Strauß, Tobias Ebenberger und der Fraktion der AfD
Vorbemerkung
Cybersicherheit ist eine zentrale Zukunftsaufgabe, die gesamtstaatlich gedacht und umgesetzt werden muss. Nach aktuellen Berichten wurden im Geschäftsbereich des Bundesministeriums des Innern (BMI) rund 344 Stellen im Bereich IT-Sicherheit gestrichen, betroffen sind damit auch zentrale Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und möglicherweise weitere nachgeordnete Behörden (www.security-insider.de/bund-reduziert-it-sicherheitsstellen-a-508f57e078fd32fa7cd1a915db00c76e/).
Angesichts der von der ehemaligen Bundesregierung selbst als „besorgniserregend“ beschriebenen Cybersicherheitslage erscheint dieser Stellenabbau den Fragestellern widersinnig (s. o.).
Der Stellenabbau im Geschäftsbereich des BMI erscheint ihnen widersprüchlich, weil gerade das BMI eine Kernverantwortung für die zivile Cybersicherheit, den Schutz kritischer Infrastrukturen sowie die Koordinierung der gesamtstaatlichen Abwehrmaßnahmen trägt. Im Hinblick auf die zunehmende Bedrohungslage durch Cyberoperationen staatlicher und nichtstaatlicher Akteure (www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html#:~:text=2.,verwundbar%20waren%20zudem%20Android%2DSysteme) ist ein Abbau von Ressourcen in diesem sicherheitskritischen Bereich nach Auffassung der Fragesteller erklärungsbedürftig.
Auch mit Blick auf die Warnung des Bundesrechnungshofes vor eklatanten Sicherheitslücken in den Rechenzentren und Netzen des Bundes (www.spiegel.de/politik/deutschland/cybersicherheit-rechnungshof-warnt-vor-mangelndemschutz-der-bundes-it-a-6baacfe5-2e6b-4e8b-a64b-e10d9cf2585e) ist der Stellenabbau in den Augen der Fragesteller fragwürdig. Unter anderem bemängelt der Bundesrechnungshof, dass weniger als 10 Prozent der mehr als 100 Bundesrechenzentren die Mindeststandards erfüllen, dass die Notstromversorgung in Krisenlagen vielfach unzureichend sei und dass kritische IT-Dienste oft nicht georedundant verfügbar seien (s. o.).
Die Sicherheitsbehörden des Bundesministeriums des Innern – darunter das Bundesamt für Sicherheit in der Informationstechnik, das Bundeskriminalamt (BKA), das Bundesamt für Verfassungsschutz (BfV), die Bundespolizei sowie die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) – sind in besonderem Maße mit der Abwehr, Aufklärung und Bekämpfung von Cyberangriffen sowie mit der Absicherung der eigenen Informations- und Kommunikationssysteme befasst.
Vor diesem Hintergrund ist es in den Augen der Fragesteller von besonderem Interesse, wie das BMI organisatorisch, personell und technisch aufgestellt ist, um solchen Bedrohungen wirksam begegnen zu können. Gleichzeitig stellen sich den Fragestellern Fragen nach der Prioritätensetzung und der strategischen Ausrichtung der Bundesregierung.
Wir fragen die Bundesregierung:
Fragen27
Wie viele Stellen im Bereich IT-Sicherheit wurden seit 2022 im Geschäftsbereich des BMI abgebaut – aufgeschlüsselt nach Behörde, Jahr und Funktion?
Welche Behörden (z. B. BSI, BfV oder spezifische Referate im BMI) sind vom Stellenabbau besonders betroffen?
In welcher Relation stehen diese Abbauzahlen zur durchschnittlichen Personalausstattung in vergleichbaren Haushaltsjahren?
Welche konkreten Gründe lagen dem BMI für die Entscheidung über den Abbau zugrunde (z. B. Haushaltseinsparungen, Prioritätenverschiebung, Umstrukturierung)?
Welche Kriterien und Prozesse wurden angewendet, um zu entscheiden, welche Stellen gestrichen werden?
Wurden fachlich besonders qualifizierte oder schwer zu ersetzende Positionen bevorzugt verschont, und wenn ja, wie wurde das methodisch sichergestellt?
Welche Auswirkungen erwartet die Bundesregierung im BMI-Fachbereich für IT-Sicherheit (z. B. beim BSI) durch den Stellenabbau konkret für Aufgaben wie Abwehr, Monitoring, Krisenreaktion, Prävention?
Gibt es interne Risikoanalysen oder Szenarien, in denen durch Stellenabbau Fähigkeiten eingeschränkt werden könnten (z. B. bei größeren Cybervorfällen)?
Wurden durch das BMI bereits konkrete Leistungseinbußen gegenüber Dritten (Bundesministerien, nachgeordnete Behörden, KRITIS-Betreiber [KRITIS = kritische Infrastrukturen]) festgestellt und diagnostiziert?
Wie viele unbesetzte Stellen im Bereich IT-Sicherheit (nach Eingruppierung) existieren aktuell im Geschäftsbereich des BMI?
Wie haben sich offene Positionen (inklusive langdauernde Vakanz) im IT-Sicherheitsbereich über die Jahre von 2022 bis 2025 entwickelt?
Welche Maßnahmen unternimmt das BMI, um Fachkräfte für IT-Sicherheit zu gewinnen, zu binden und ggf. neu aufzubauen?
Verfolgt das BMI einen mittelfristigen Personalplan, um den Rückgang im IT-Sicherheitsbereich zu stoppen oder umzukehren, insbesondere wenn die Bedrohungslage zunimmt?
Gibt es Szenarien oder Triggerpunkte (z. B. bei bestimmten Cybervorfällen, Bedrohungsindizes), bei denen das BMI personalpolitisch reagiert (z. B. Rückbaustopp, Neueinstellungen)?
Welche Rolle spielen externe Kooperationen (z. B. mit Ländern, EU, Privatwirtschaft) zur Kompensation von Personaldefiziten im Bereich IT-Sicherheit, in welchem Umfang greifen das BMI und die genannten Sicherheitsbehörden auf externe Dienstleister im Bereich IT-Sicherheit zurück, und welche Risiken sieht die Bundesregierung dabei ggf. für die Vertraulichkeit, Integrität und Sicherheit der Arbeitsprozesse?
Wie hat das BMI gegenüber anderen Ressorts, Behörden und externen Akteuren (z. B. KRITIS-Betreiber, IT-Dienstleister) den Stellenabbau begründet und kommuniziert?
Über wie viele Rechenzentren verfügt das BMI aktuell, und wie viele davon erfüllen nachweislich die geltenden Mindeststandards für IT-Sicherheit?
Welche dieser Rechenzentren (vgl. Frage 17) verfügen über eine funktionsfähige Notstromversorgung, die auch längerfristige (über mehrere Stunden oder Tage) Krisenlagen abdecken kann?
An welchen Standorten des BMI sind kritische IT-Dienste georedundant verfügbar, und wie wird die Ausfallsicherheit regelmäßig überprüft?
Welche Investitionen hat das BMI in den Jahren von 2020 bis 2025 konkret für den Ausbau und die Absicherung seiner IT-Infrastruktur (einschließlich Rechenzentren, Netze, Cloudlösungen) getätigt?
In welchem Umfang hat das BMI in den vergangenen fünf Jahren Sicherheitsüberprüfungen (z. B. durch das BSI oder unabhängige Dienstleister) durchführen lassen, und mit welchen Ergebnissen?
Welche organisatorischen Zuständigkeiten für Cybersicherheit bestehen innerhalb des BMI (z. B. eigenes Computer Emergency Response Team [CERT], IT-Sicherheitsreferate, Zusammenarbeit mit dem BSI)?
Welche Maßnahmen hat das BMI seit 2020 ggf. ergriffen, um auf die Kritikpunkte des Bundesrechnungshofes im Bereich IT-Sicherheit zu reagieren?
Wie viele Sicherheitsvorfälle oder Cyberangriffe wurden in den letzten fünf Jahren im Zuständigkeitsbereich des BMI registriert, und wie wurde jeweils darauf reagiert (bitte nach Jahr, Anzahl der Zwischenfälle, Behörde und Art der Angriffe differenzieren)?
Welche Bedrohungsanalysen zu Cyberangriffen auf die genannten Sicherheitsbehörden des BMI liegen dem BMI vor?
Welche technischen und organisatorischen Maßnahmen wurden seit 2018 ergriffen, um das BMI und seine Sicherheitsbehörden gegen Cyberangriffe abzusichern?
Welche konkreten Schritte plant das BMI ggf., um bis spätestens 2030 die vollständige Einhaltung der vom Bundesrechnungshof geforderten Mindeststandards (inklusive Notstromversorgung und georedundanter Systeme) sicherzustellen?