Unabhängigkeit des BSI – Umsetzungsvorschläge der „Stiftung Neue Verantwortung“
Dr. Sven Herpig, Leiter für Internationale Cybersicherheitspolitik der „Stiftung Neue Verantwortung“, hat heute das Papier „Die „Unabhängigkeit“ des Bundesamtes für Sicherheit in der Informationstechnik“ veröffentlicht, in dem er die Probleme eines BSI als untergeordnete Behörde des Bundesministeriums des Inneren, für Bau und Heimat (BMI) beleuchtet und konkrete Lösungsvorschläge aufzeigt. Die AG KRITIS fordert seit ihrer Gründung ein unabhängiges BSI
Die fehlende Unabhängigkeit schwächt das Vertrauen der beteiligten Parteien, den Betreibern kritischer Infrastrukturen und der Bürger*innen in das BSI, da es durch die Fachaufsicht des BMI an dessen Weisungen gebunden ist. Das BMI hat jedoch auch die Fachaufsicht über das Bundeskriminalamt, das Bundesamt für Verfassungsschutz und die Bundespolizei. Die Aufgaben dieser Behörden stehen in einem Zielkonflikt mit dem Auftrag des BSI, für Sicherheit in der Informationstechnik zu sorgen. Zur Erfüllung der Aufgaben der genannten Behörden, haben diese ein Interesse daran, auf IT-Systeme zugreifen zu können, Überwachungsmaßnahmen durchzuführen und für diesen Zweck IT-Sicherheitslücken auszunutzen. Das BMI ist rechtlich in der Lage, das Schließen von Schwachstellen, die dem BSI als „nationale Cybersicherheitsbehörde“ gemeldet werden, durch eine Weisung zu unterbinden und die Schwachstelle ebendiesen Strafverfolgungsbehörden zur Nutzung zu übergeben. Wie Dr. Sven Herpig schreibt, könnte die Folge davon sein, dass „[…]der Informationsfluss [von IT-Sicherheitsforscher*innen an das BSI] abnehmen oder sogar versiegen [würde]. “
In der Kurzanalyse gibt die „Stiftung Neue Verantwortung“ konkrete Beispiele für konkrete Möglichkeiten der Reorganisierung des BSI: Neben einem Ressortwechsel in ein anderes Bundesministerium oder der Reduzierung der Aufsichtsfunktion auf die ausschließliche Rechtsaufsicht werden auch Möglichkeiten aufgezeigt, die eine noch weitergehende Unabhängigkeit des BSI beschreiben; u.a. der Einstufung des BSI als oberste Bundesbehörde oder der Installation des BSI als Informationssicherheitsbeauftragter des Bundes. Das Beleuchten der Vor- und Nachteile der verschiedenen Formen übersteigt den Umfang dieses Artikels, wir verweisen hier auf den lesenswerten Aufsatz von Dr. Sven Herpig.
Vielen Dank an Dr. Sven Herpig von der „Stiftung Neue Verantwortung“ für diese detaillierte Analyse.