Bericht des Bundesrechnungshofs
Massive IT-Sicherheitslücken in der Bundesverwaltung
News
23.07.2025 | 09:00 Uhr
Bild: Science Photo Library RF/GettyImages
Sicherheitslücken in der IT der Bundesverwaltung erhöhen das Risiko von Cyberangriffen.
Bereits mehrere Male haben im Juni und Juli 2025 laut Mitteldeutschen Rundfunk prorussische Hacker Webseiten der Landesregierung von Sachsen-Anhalt attackiert. Die Abwehrsysteme, so die Behörden, hätten aber „einwandfrei“ funktioniert und die Bedrohung abwehren können. Ob das tatsächlich so selbstverständlich ist, dürfte aber fraglich sein. Zumindest den für die IT-Systeme der Bundesverwaltung zuständigen Sicherheitssystemen stellt ein aktueller Bericht des Bundesrechnungshofes ein sehr schlechtes Zeugnis aus. Das Sicherheitsniveau der Rechenzentren bei den meisten der vom Rechnungshof geprüften Bundesbehörden sei alarmierend, die Prüfung habe ein „dramatisches Umsetzungsdefizit in der Cybersicherheit“ ergeben. Das Politikmagazin Politico hat den Bericht Anfang Juli online gestellt, der Bundesrechnungshof bestätigte in der Zwischenzeit die Echtheit dieses Reports.
BSI-Standards nicht erfüllt
Die Prüfer des Bundesrechnungshofes hatten die IT-Systeme mit dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgestellten Bewertungsschema „HVB-kompakt“ analysiert. Dieses definierte 34 Kriterien und Mindestwerte für den sicheren Betrieb von IT-Systemen und Rechenzentren. Laut Bericht würden weniger als 10 Prozent der 100 Rechenzentren des Bundes die Mindeststandards des BSI erfüllen, in Krisenzeiten sei nicht einmal die Notstromversorgung garantiert.
Kein Notstrom für Krisen
Die meisten Behörden seien zwar mit Netzersatzanlagen (NEA) ausgestattet, aber die Notstromversorgung für kritische IT-Geschäftsprozesse sei nur unzureichend gesichert. Es fehle an hinreichenden Vorkehrungen für Betrieb, Wartung und Pflege der NEA sowie für die Treibstoffversorgung.
Wenig Resilienz
Den IT-Diensten des Bundes würde es weiterhin an Redundanz und damit an Resilienz im Krisenfall fehlen. Der Bundesrechnungshof stellte fest, dass bei 11 befragten Behörden, die im Spannungs- und Verteidigungsfall besonders wichtige staatliche Aufgaben übernehmen müssten, selbst bei kritischen IT-Diensten keine Georedundanz, teilweise noch nicht einmal eine Betriebsredundanz vorliege. Für den Fall der Zerstörung eines Rechenzentrums hätten 4 Behörden angegeben, zwar über keine Redundanzen zu verfügen, aber dafür regelmäßige Backups anzufertigen. Ob mit diesen auch eine Wiederherstellung der Dienste möglich sei, habe aber keine getestet.
Begriffsklärungen: Georedundanz und Betriebsredundanz von Rechenzentren IT-Systeme und Daten sollten auf mehrere, räumlich getrennte Rechenzentren verteilt werden, um die Gefahr der komplette Ausfallmöglichkeit der behördlichen IT-Systemen so weit wie möglich zu senken. Das Bewertungsschema HVB-kompakt des BSI unterschiedet dabei 2 Redundanzarten für Rechenzentren: Georedundanz und Betriebsredundanz. Bei der Georedundanz müssen die betriebseigenen Rechenzentren mindestens 100 km auseinanderliegen, während sie bei einer Betriebsredundanz nur wenige Kilometer auseinander liegen können. Letzteres erfordert eine laufende, bei jeder einzelnen Transaktion sicherzustellende, synchrone Replikation aller Daten. |
Mangel an Kontrolle und Zuständigkeitsgewirr
Bei den Steuergremien IT-Systeme der Bundesverwaltung fehle es laut Bericht zudem an genügend Kontrolleuren. Das seit Ende 2021 für Prüfungen der Sicherheit der Bundes-IT befugte BSI habe für flächendeckende Aussagen zur Lage 112 Stellen veranschlagt. Lediglich 20 Stellen seien zugewiesen, 3 seien mit Beschäftigten für flächendeckende Kontrollen besetzt. Als weiteren Problemfaktor hat der Bundesrechnungshof einen „Dschungel von Institutionen und Zuständigkeiten“ für die Cybersicherheit ausgemacht. Derzeit seien es 77 staatliche Behörden und Institutionen auf Bundesebene, die Zusammenarbeit zwischen diesen Stellen sei aber unzureichend und teilweise gar nicht vorhanden. Es fehle zentralen Akteuren der Cybersicherheitsarchitektur wie dem BSI, dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und der Bundesnetzagentur auch an einer gemeinsamen Datenbasis und einem einheitlichen, strukturierten Datenaustausch.
Der Bericht des Bundesrechnungshofs ist hier einsehbar.
Heise Online, MDR und Politico.eu
Schlagworte zum Thema:
Cybersicherheit
,
Öffentliche Verwaltung
-
Personalakten im öffentlichen Dienst
1201
-
Schafft das Mitarbeitergespräch ab!
51
-
Teilzeitkrankschreibung – ein Gewinn für Arbeitnehmer und Arbeitgeber?
50
-
KI-Sprachmodell für die Verwaltung wird jetzt in NRW getestet
33
-
Faxgeräte in Behörden - Bann oder Beibehaltung?
31
-
Neue Plattform soll zusätzlichen Schub für KI in der Verwaltung bringen
28
-
165.000 Vollzeitkräfte könnten in der Verwaltung durch generative KI ersetzt werden
25
-
OZG 2.0: Neue Studie erkennt nur wenig Bewegung bei Online-Diensten
22
-
Fünf Tipps für erfolgreiche Behördenkommunikation
21
-
Bürgernahe Verwaltungssprache: Mit KI soll der Kunde auch bei der Sprache zum König werden
14
-
Bürgernahe Verwaltungssprache: Mit KI soll der Kunde auch bei der Sprache zum König werden
17.02.2026
-
Neue Plattform soll zusätzlichen Schub für KI in der Verwaltung bringen
11.02.2026
-
OZG 2.0: Neue Studie erkennt nur wenig Bewegung bei Online-Diensten
03.02.2026
-
Die Leistungslüge
26.01.2026
-
KI-Sprachmodell für die Verwaltung wird jetzt in NRW getestet
21.01.2026
-
Hybrides Arbeiten: Wie Verwaltungen damit gleich zwei Herausforderungen meistern wollen
13.01.2026
-
Staatsmodernisierung: Digitalminister Wildberger verspricht Fortschritte für 2026
05.01.2026
-
Stadt Halle für Pilotprojekt auf dem Weg zu mehr KI in der Verwaltung ausgewählt
15.12.2025
-
Umfrage in Behörden: Digitalisierung geht eher langsamer als schneller voran
01.12.2025
-
Chatbot 115-Einführung in Berlin: Bürgerservice rund um die Uhr
24.11.2025
Aktuelle Informationen zum Thema Digitalisierung & Transformation im Öffentlichen Dienst frei Haus – abonnieren Sie unseren Newsletter:
- Digitalisierung
- Transformation
- Weiterbildung