Cybersicherheit und Stellenentwicklung im Bereich IT-Sicherheit im Geschäftsbereich des Bundesministeriums für wirtschaftliche Zusammenarbeit und Entwicklung
der Abgeordneten Tobias Matthias Peterka, Ulrich von Zons, Lukas Rehm, Manfred Schiller, Tobias Teich, Gerold Otten, Dr. Rainer Kraft, Jan Wenzel Schmidt, Thomas Korell, Dr. Paul Schmidt, Robin Jünger, Dr. Malte Kaufmann, Dr. Daniel Zerbin, Mirco Hanker, Dr. Christina Baum, Reinhard Mixl, Dr. Michael Blos, Carolin Bachmann, Stefan Keuter, Knuth Meyer-Soltau, Dr. Maximilian Krah, Claudia Weiss, Julian Schmidt, Achim Köhler, Edgar Naujok, Kay-Uwe Ziegler, Joachim Bloch, Marc Bernhard, Udo Theodor Hemmelgarn, Stefan Henze, Uwe Schulz, Sascha Lensing, Rocco Kever, Volker Scheurell, Otto Strauß, Tobias Ebenberger und der Fraktion der AfD
Vorbemerkung
Die Cybersicherheitslage in Deutschland wird von der Bundesregierung und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig als „angespannt bis kritisch“ beschrieben (www.tuev-verband.de/pressemitteilungen/angespannt-bis-kritisch-die-cybersicherheitslage-in-deutschland#). Auch der Bundesrechnungshof warnt vor eklatanten Sicherheitslücken in den Rechenzentren und Netzen des Bundes (www.spiegel.de/politik/deutschland/cybersicherheit-rechnungshof-warnt-vor-mangelndem-schutz-der-bundes-it-a-6baacfe5-2e6b-4e8b-a64b-e10d9cf2585e). Unter anderem bemängelt der Bundesrechnungshof, dass weniger als 10 Prozent der mehr als 100 Bundesrechenzentren die Mindeststandards erfüllen, dass die Notstromversorgung in Krisenlagen vielfach unzureichend ist und dass kritische IT-Dienste oft nicht georedundant verfügbar sind (s. o.). Nach aktuellen Berichten hat die Bundesregierung im Bereich IT-Sicherheit Stellen abgebaut (www.security-insider.de/bund-reduziert-it-sicherheitsstellen-a-508f57e078fd32fa7cd1a915db00c76e/).
Die digitale Transformation betrifft zunehmend auch internationale Entwicklungszusammenarbeit. Projekte in Partnerländern beruhen immer stärker auf digitalisierten Verwaltungs- und Steuerungssystemen, elektronischen Datenbanken sowie auf international vernetzten Plattformen. Hierbei werden sensible Informationen verarbeitet – von personenbezogenen Daten bis hin zu Finanzierungsflüssen und geopolitisch relevanten Projektinformationen.
Cyberangriffe können Entwicklungsprojekte erheblich beeinträchtigen, indem sie Daten manipulieren, Finanzströme stören und Kommunikationswege unterbrechen. Dies kann zu sicherheitspolitisch schweren Beeinträchtigungen der außenpolitischen Beziehungen führen. Besonders Partnerländer im Globalen Süden, die oftmals über schwächere Cyberresilienz verfügen, sind anfällig für Angriffe. Gleichzeitig ist auch die Sicherheit der IT-Infrastruktur im Geschäftsbereich des Bundesministeriums für wirtschaftliche Zusammenarbeit und Entwicklung (BMZ) von zentraler Bedeutung, weil hier Daten über Projekte, Partnerorganisationen und Fördermittel zusammenlaufen.
Vor diesem Hintergrund stellt sich den Fragestellern die Frage, inwieweit Cybersicherheitsaspekte in den Verantwortungsbereich des BMZ integriert sind und wie sich die personelle Ausstattung in den letzten Jahren entwickelt hat.
Wir fragen die Bundesregierung:
Fragen25
Über wie viele Rechenzentren verfügt das BMZ aktuell, und wie viele davon erfüllen nachweislich die geltenden Mindeststandards für IT-Sicherheit?
Welche dieser Rechenzentren verfügen über eine funktionsfähige Notstromversorgung, die auch längerfristige (über mehrere Stunden oder Tage) Krisenlagen abdecken kann?
An welchen Standorten des BMZ sind kritische IT-Dienste georedundant verfügbar, und wie wird die Ausfallsicherheit regelmäßig überprüft?
Welche Investitionen hat das BMZ in den Jahren von 2020 bis 2025 konkret für den Ausbau und die Absicherung seiner IT-Infrastruktur (einschließlich Rechenzentren, Netze, Cloudlösungen) getätigt?
In welchem Umfang hat das BMZ in den vergangenen fünf Jahren Sicherheitsüberprüfungen (z. B. durch das BSI oder durch unabhängige Dienstleister) durchführen lassen, und mit welchen Ergebnissen?
Welche organisatorischen Zuständigkeiten für Cybersicherheit bestehen innerhalb des BMZ (z. B. eigenes Computer Emergency Response Team [CERT], IT-Sicherheitsreferate, Zusammenarbeit mit dem BSI)?
Welche spezifischen Zuständigkeiten bestehen im Geschäftsbereich des BMZ für den Schutz sensibler Projektdaten, Finanzinformationen und Datenbanken im Kontext der Entwicklungszusammenarbeit?
Welche Maßnahmen hat das BMZ seit 2020 ergriffen, um auf die Kritikpunkte des Bundesrechnungshofes im Bereich IT-Sicherheit zu reagieren?
Wie viele Sicherheitsvorfälle oder Cyberangriffe wurden in den letzten fünf Jahren im Zuständigkeitsbereich des BMZ registriert, und wie wurde jeweils darauf reagiert (bitte nach Jahr und Anzahl der Zwischenfälle aufschlüsseln)?
Welche Bedrohungsanalysen zu Cyberangriffen auf BMZ-interne Systeme liegen derzeit vor, und wie werden diese in die IT-Sicherheitsstrategie integriert?
Welche Bedrohungsanalysen liegen derzeit zu Cyberangriffen auf digitale Systeme und Dateninfrastrukturen von Partnerländern oder Entwicklungsprojekten vor?
Welche technischen und organisatorischen Maßnahmen wurden seit 2018 ergriffen, um BMZ-interne Daten, Finanzflüsse in der Entwicklungszusammenarbeit, Projektdatenbanken und digitale Plattformen gegen Cyberangriffe abzusichern?
Welche besonderen Vorkehrungen bestehen für Krisen- und Notlagen (z. B. Angriffe auf IT-Systeme in Partnerländern, Manipulation von Projektdaten)?
Welche konkreten Schritte plant das BMZ ggf., um bis spätestens 2030 die vollständige Einhaltung der vom Bundesrechnungshof geforderten Mindeststandards (inklusive Notstromversorgung und georedundanter Systeme) sicherzustellen?
Wie viele Stellen im Bereich IT-Sicherheit existieren derzeit im Geschäftsbereich des BMZ (bitte nach Behörden und Besoldungs- bzw. Entgeltgruppen aufschlüsseln)?
Wie hat sich die Zahl der IT-Sicherheitsstellen im BMZ seit 2018 entwickelt (bitte jährlich angeben und nach Behörden differenzieren sowie nach Besoldungs- bzw. Entgeltgruppe aufschlüsseln)?
Wurden in den Jahren von 2020 bis 2024 Stellen im Bereich IT-Sicherheit im Geschäftsbereich des BMZ abgebaut, umgewidmet oder neu geschaffen, und wenn ja, in welchem Umfang?
Welche konkreten Aufgabenbereiche decken die IT-Sicherheitsstellen im BMZ ab (z. B. Netzwerksicherheit, Kryptografie, Incident Response, Schutz kritischer Infrastrukturen, IT-Forensik)?
Wie viele dieser Stellen (vgl. Vorbemerkung der Fragesteller) sind derzeit unbesetzt, und wie lange bleiben offene Stellen im Durchschnitt vakant?
Welche spezifischen Qualifikationen (z. B. IT-Sicherheit, Datenschutz, internationale Cybersicherheitskooperationen) werden bei der Besetzung von Stellen mit Blick auf die Versorgungsketten- und Infrastruktursicherheit gefordert oder bevorzugt berücksichtigt?
Welche Schulungen und Fortbildungen wurden für Beschäftigte des BMZ und seiner nachgeordneten Behörden im Bereich IT-Sicherheit seit 2018 durchgeführt (bitte nach Jahr und Art der Fortbildung aufschlüsseln)?
Welche Kooperationen bestehen mit anderen Ressorts, insbesondere dem Bundesamt für Sicherheit in der Informationstechnik, sowie mit europäischen und internationalen Organisationen (z. B. United Nations [UN], Weltbank, Organization for Economic Co-operation and Development-Development Assistance Committee [OECD-DAC]) zur Stärkung der Resilienz gegen Cyberangriffe?
Welche Maßnahmen ergreift das BMZ, um die Resilienz seiner besonders sensiblen Systeme trotz möglicher Personalknappheit im Bereich IT-Sicherheit sicherzustellen?
Plant die Bundesregierung, die IT-Sicherheitskapazitäten im BMZ mittelfristig auszubauen, und mit welchem zeitlichen Horizont?
In welchem Umfang und in welcher Höhe unterstützt das BMZ seit 2018 Partnerländer beim Aufbau eigener Kapazitäten im Bereich Cybersicherheit, um die Resilienz von Projekten und lokalen Infrastrukturen zu stärken?