„Der IT-Rat blieb untätig, obwohl Berichte zur Informationssicherheit auf erhebliche Defizite hinwiesen. Er ließ sogar zu, dass die Ressorts das Berichtswesen aussetzten. Nun fehlen ihm Informationen, um die ressortübergreifende Informationssicherheit steuern zu können.“ so leitet der Bundesrechnungshof (BRH) seine Ergänzungen Nr. 24 zu den Bemerkungen 2022 erin. Er führt weiter aus:
„Die Bundesregierung hat im Jahr 2017 mit dem Umsetzungsplan Bund (UP Bund) eine Leitlinie beschlossen, die allen Bundesbehörden vorschreibt, wie sie sich vor Cyberangriffen schützen müssen. Das zugehörige Berichtswesen soll jährlich darüber informieren, wo und wie die Bundesverwaltung ihren Schutz zielgerichtet weiterentwickeln und verbessern muss. Das BMI koordiniert die Berichte der Ressorts und leitet dem IT-Rat jährlich einen Gesamtbericht zu. Die Gesamtberichte der Jahre 2017 bis 2019 wiesen u. a. deutlich darauf hin, dass fast jede zweite Behörde über kein Notfallkonzept verfügte und den Betrieb ihrer kritischen Geschäftsprozesse nicht sicherstellte. Der IT-Rat nutzte das Berichtswesen nicht, sodass er weder dessen Schwächen erkennen noch die in den Berichten aufgezeigten Defizite abstellen konnte.
Der letzte Gesamtbericht des BMI für das Jahr 2019 hat den Status zur Informationssicherheit zudem nur unvollständig dargestellt. So fehlten Daten zahlreicher Behörden und die Informationen der Ressorts fanden sich nur anonymisiert wieder. Der Bundesrechnungshof regte an, die Aussagekraft und die Wirksamkeit des Berichtswesens zu verbessern. Statt diesen Empfehlungen zu folgen, setzten die Ressorts auf Vorschlag des BMI das Berichtswesen aus. Daher fehlen dem IT-Rat ab dem Jahr 2020 Informationen, inwieweit die Bundesbehörden den UP Bund umgesetzt haben.
Das BMI muss das Berichtswesen umgehend wieder aufnehmen, dessen Schwächen zeitnah beheben und den IT-Rat über den aktuellen Status der Informationssicherheit aller Ressorts informieren. Diese Informationen muss der IT-Rat nutzen, um das Management der Informationssicherheit des Bundes anhand aktueller und vollständiger Daten professionell zu steuern.“
Den Prüfbericht können Sie hier [1] herunterladen.
Quelle: Bundesrechnungshof