Bundesrechnungshof: Rechenzentren der Behörden haben massive Schwachstellen

Der Bundesrechnungshof übt scharfe Kritik am aktuellen Stand der Cybersicherheit in der Bundesverwaltung. Ein als vertraulich eingestuftes Dokument, das Der Spiegel zitiert, kommt zu dem Schluss, dass wesentliche Teile der staatlichen IT-Infrastruktur gravierende Sicherheitsmängel aufweisen und nicht den Mindestanforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen.

Der Bundesrechnungshof (BRH) ist das oberste deutsche Kontrollorgan für die Haushalts- und Wirtschaftsführung des Bundes. Er prüft, ob Bundesbehörden, Ministerien, Bundesunternehmen und andere öffentliche Einrichtungen ordnungsgemäß, wirtschaftlich und sparsam mit Steuergeldern umgehen. Dabei ist er unabhängig, sowohl von der Bundesregierung als auch vom Bundestag.

In dem Bericht moniert er, dass es kein zentrales, ressortübergreifendes Informationssicherheitscontrolling gebe. Die bestehende Sicherheitsarchitektur müsse effizienter gestaltet werden.

Unzureichend: Controlling und NIS2-Vorbereitung

Ein weiterer Kritikpunkt kommt durch die Anforderungen der NIS2-Richtlinie hinzu [1] [2] [3]. Diese bringt erhebliche neue Pflichten für Bundesbehörden und KRITIS-nahe Organisationen mit sich – insbesondere in Bezug auf Prävention, Nachweispflichten und BSI-Kontrollen. Viele Einrichtungen sind darauf weder technisch noch organisatorisch ausreichend vorbereitet.

Der Rechnungshof bewertet zwar positiv, dass durch die Anpassung der Schuldenbremse gezielt in Cybersicherheit investiert werden kann. Die Investitionen sind jedoch an die nachweisbare Wirksamkeit der Maßnahmen gebunden. In der Praxis bedeutet dies: Nur wer belegen kann, dass geplante Sicherheitsmaßnahmen zu konkreten Verbesserungen führen, wird künftig Fördermittel erhalten.

Steigender Handlungsdruck

Der Bericht verdeutlicht den steigenden Handlungsdruck in der öffentlichen Verwaltung. Die Bedrohungslage verschärft sich weiter – mit jährlichen Schadenssummen in dreistelliger Milliardenhöhe. Der Bundesrechnungshof fordert ein Umdenken: hin zu einem strukturierten, datengestützten und nachhaltigen Sicherheitsmanagement. Alarmierend ist das flächendeckende Versagen: In fast allen Rechenzentren deutscher Behörden finden sich gravierende Schwachstellen – mit dramatischen Konsequenzen für Sicherheit, Resilienz und Vertrauenswürdigkeit der staatlichen IT-Infrastruktur. Behörden und KRITIS-Organisationen müssen jetzt aktiv werden und modernes Schwachstellenmanagement einführen.

Oft fehlt dabei sogar die Notstromversorgung, nicht einmal ein Zehntel der untersuchten Rechenzentren erfüllen die BSI-Mindeststandards für Hochverfügbarkeit. Das, so die Untersuchung, sei besorgniserregend: Fehlende Redundanz, veraltete Systeme, unzureichende Ausfallsicherheit: All das gefährdet die Funktionsfähigkeit kritischer Infrastruktur im Krisenfall.

Über 180 Milliarden Euro Schaden jedes Jahr

Dabei ist der Schaden bereits da: Laut aktueller Zahlen verursachen Cyberangriffe jedes Jahr Schäden von über 180 Milliarden Euro in Deutschland. Sabotageakte, hybride Angriffe und Blackout-Szenarien sind längst Realität – Tendenz steigend.

Laut Bundesrechnungshof fehlt es aber an vielen Stellen: an strukturierter Informationssicherheit und ressortübergreifendem, datenbasiertem IT-Risikomanagement und passendem Controlling. Es fehlen belastbare Informationen. Ohne diese lassen sich weder die Gefahrenlage noch etwaige Fortschritte im Einzelfall realistisch einschätzen – und schon gar nicht nachweisen.

Greenbones Schwachstellenmanagement hilft

Geht es darum, die richtigen Maßnahmen umzusetzen und ihre Wirksamkeit nachzuweisen, kommen Lösungen wie die von Greenbone ins Spiel. Modernes Schwachstellenmanagement bietet einen entscheidenden strategischen Vorteil: Es schafft eine verlässliche, belastbare Datenbasis für die Entscheidungen der Administratoren und des Managements.

OPENVAS von Greenbone erkennt, bewertet und priorisiert Schwachstellen automatisch, kontinuierlich und objektiv. So entsteht ein verlässliches Fundament für IT-Controlling-Strukturen – auch in Ministerien, Behörden und anderen öffentlichen Betrieben. Vulnerability Management schafft überdies in Zeiten wachsender Rechenschaftspflicht eine unverzichtbare Transparenz – und wird so vom „Nice to Have“ zum Pflichtbaustein.

Die Reports des Greenbone Vulnerability Managements enthalten Bewertungen durch die Metriken CVSS (Common Vulnerability Scoring System) und EPSS (Exploit Prediction Scoring System), Trendanalysen und Fortschrittsindikatoren. Damit können Behörden nicht nur intern dokumentieren, sondern gegenüber Rechnungshöfen und Ministerien auch messbare Verbesserungen belegen.

Gerüstet für NIS2 

Die neue NIS2-Richtlinie verschärft Anforderungen für Betreiber kritischer Infrastrukturen, definiert neue Verantwortlichkeiten, weitet BSI-Kontrollen und Meldepflichten aus und konkretisiert einzusetzende Softwarekomponenten. Daher beschäftigen sich mehr und mehr Unternehmen mit der bevorstehenden deutschen Variante der Regelung.

Greenbones Lösungen unterstützen Behörden und KRITIS-nahe Organisationen aktiv bei der Vorbereitung auf regulatorische Prüfungen. Funktionen wie das automatisierte Schwachstellenmanagement, revisionssichere Reportings und Audit-Trails bieten Sicherheit, auch unter steigender behördlicher Kontrolle.

Webinare helfen bei der Prävention – Jetzt ist die Zeit zum Handeln!

Greenbones Kundschaft erhält konkrete Hilfe, wenn es darum geht, die BSI-Vorgaben im Rechenzentrum zu erfüllen, Audits vorzubereiten und das Schwachstellenmanagement als Bestandteil der Notfallvorsorge zu sehen. Denn Prävention ist immer günstiger und effektiver als die Krisenbewältigung.

Der Bericht des Bundesrechnungshofs ist ein Weckruf – und eine Chance. Und weil Cybersicherheit mit Sichtbarkeit beginnt, ist Greenbone die richtige Wahl. Kontaktieren sie uns oder besuchen sie unsere Webinare – ganz aktuell die Reihe für Behörden und KRITIS. Dort erhalten sie tiefgehenden Informationen zur Umsetzung der NIS-2-Richtlinie, Rechenzentrumshärtung und Georedundanz aber auch zum grundsätzlichen Aufbau eines Schwachstellen-Controllings. Termine, Inhalte und Anmeldung finden Sie auf der Website.

NIS2 oder NIS-2? Im text wird einheitlich NIS-2 genutzt, in den Überschriften NIS2.