NIS2 in Deutschland: Zwischen IT-Grundschutz und Grundvertrauen

Berlin – Die Bundesregierung hat es wieder geschafft: Eine EU-Richtlinie, die eigentlich schon seit Oktober umgesetzt sein müsste, liegt in Deutschland wie ein unaufgeräumter Schreibtisch – voller Akten, voller Ausnahmen und voller Ausreden. Die Kassenprüfer vom Bundesrechnungshof sehen rot: Was Brüssel „hohes Cybersicherheitsniveau“ nennt, klingt in Berlin eher nach „Wir machen’s so halb, aber mit Briefkopf“.

IT-Grundschutz – aber bitte nur für die Chefetage

Der Entwurf sieht vor, dass nur Bundesministerien und das Kanzleramt verpflichtet werden sollen, den IT-Grundschutz umzusetzen. Die nachgeordneten Behörden – also genau jene, die regelmäßig Mails mit Anhang „Rechnung.doc.exe“ öffnen – dürfen offenbar weiterspielen wie bisher. Es ist ein bisschen, als würde man im Fußball nur den Torwart trainieren und hoffen, dass die Feldspieler irgendwie mitlaufen.

Das Auswärtige Amt als Sonderfall

Besonders kurios: Das Auswärtige Amt soll weitgehend ausgenommen werden – obwohl die meisten ihrer Systeme in deutschen Rechenzentren laufen. Übersetzt heißt das: „Wir haben Schlösser und Schlüssel, aber wir lassen die Hintertür offen – weil Tradition.“

Prüfungen light für Behörden

Unternehmen müssen sich künftig alle drei Jahre von externen Prüfern den Cyberschutz absegnen lassen. Die Bundesverwaltung dagegen soll sich nur alle fünf Jahre selbst attestieren, dass alles bestens läuft. Selbstzertifizierung also – nach dem Motto: „Ich hab meine Hausaufgaben gemacht, ehrlich, Mama!“ Dass der Bundesrechnungshof daran zweifelt, ist so überraschend wie ein Windows-Update am Montagmorgen.

Neuer CISO Bund – ohne echte Macht

Die Regierung möchte einen Koordinator für Informationssicherheit einführen: den CISO Bund. Klingt beeindruckend, nur fehlt das Wichtigste – klare Aufgaben, Pflichten und Befugnisse. Man könnte sagen: Es ist der erste Sicherheitschef der Nation ohne Schlüssel fürs Serverzimmer.

Die Kostenfrage – ein satirisches Zahlenwerk

900 Millionen Euro und 1276 neue Stellen sollen es laut Regierung bis 2029 kosten. Der Bundesrechnungshof nennt die Zahlen „unplausibel“. Vermutlich, weil jedes Ministerium nach dem Motto gerechnet hat: „Wir brauchen mindestens drei zusätzliche Stellen – einen für den Kaffee, einen für die Firewall und einen für PowerPoint.“

Altes Regelwerk, neue Versäumnisse

Bereits 2007 hatte die Regierung beschlossen, die Bundesverwaltung sicherer zu machen – Ergebnis: nicht umgesetzt. Also fast zwei Jahrzehnte Zeit gehabt, aber irgendwie wichtigeres zu tun gefunden. Wahrscheinlich musste man erst einmal prüfen, ob man für die Umsetzung noch einen Arbeitskreis gründen sollte.

Randnotiz

Dass das Innenministerium die Gelegenheit zur Stellungnahme weitgehend verstreichen ließ, passt ins Bild. In der IT-Sicherheit gilt: Wer nichts sagt, hat meistens schon das Passwort „123456“.

Deutschland ringt mit NIS2 wie ein Schüler mit Mathehausaufgaben: zu spät, voller Ausnahmen, mit fragwürdigen Eigenangaben. Der Bundesrechnungshof empfiehlt dringend mehr Ernsthaftigkeit. Aber was kümmert schon Cybersecurity, wenn die wirkliche Gefahr oft aus dem eigenen Faxgerät kommt?