60 Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr Kat. B

Transkript

1 Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr Kat. B 60.0 Die IT-Sicherheitsvorschriften des Bundesverteidigungsministeriums sind nicht aktuell. Seine dem Parlament im Jahr 2006 gegebene Zusage, die ressortübergreifenden Standards des Bundesamtes für Sicherheit in der Informationstechnik zu verwenden, hat es nicht eingehalten. Abläufe und Verantwortlichkeiten für die IT-Sicherheit regelte es nicht, nachdem es den Betrieb der Informationstechnik auf eine IT-Gesellschaft übertragen hatte. Dies führt zu unklaren Zuständigkeiten zwischen den IT-Sicherheitsbeauftragten der Bundeswehr und der IT-Gesellschaft und behindert die IT-Sicherheitsbeauftragten bei ihren Aufgaben Das Bundesverteidigungsministerium regelt in einer Dienstvorschrift die IT-Sicherheit für das Ministerium sowie die militärischen und zivilen Dienststellen der Bundeswehr. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt ressortübergreifende Standards zur Sicherheit der Informationstechnik (IT). Es passt die Standards regelmäßig den neuen Erkenntnissen zur IT-Sicherheit an. Dadurch unterstützt es die Bundesverwaltung, ihre IT-Sicherheitskonzepte und -maßnahmen stets aktuell zu halten. Anders als die übrige Bundesverwaltung, die die Standards des BSI verwendet, hat das Bundesverteidigungsministerium diese nicht in seine Dienstvorschrift übernommen. Der Bundesrechnungshof hatte in den Bemerkungen des Jahres 2005 (Bundestagsdrucksache 16/160 Nr. 17) beanstandet, dass das Bundesverteidigungsministerium die ressortübergreifenden Standards nicht anwendete und die Dienstvorschriften zur IT-Sicherheit nicht aktuell waren. Das Bundesverteidigungsministerium hatte dem Rechnungsprüfungsausschuss des Haushaltsausschusses des Deutschen Bundestages (Rechnungsprüfungsausschuss) daraufhin im Jahr 2006 zugesagt, die ressortübergreifenden Standards des BSI zu verwenden. Außerdem hatte es zugesagt, die

2 339 Vorschrift um Durchführungsbestimmungen zu ergänzen. So könne es auf aktuelle Gefährdungen oder geänderte Rahmenbedingungen in der Bundeswehr schnell reagieren. Bis Ende des Jahres 2011 hatte es die ressortübergreifenden Standards des BSI nicht in die Dienstvorschrift einbezogen. Seit März 2007 modernisiert und betreibt eine IT-Gesellschaft die administrative und logistische IT der Bundeswehr. Seitdem haben sich Abläufe und Verantwortlichkeiten für die IT-Sicherheit verändert, ohne dass das Bundesverteidigungsministerium sie in die Dienstvorschrift der Bundeswehr zur IT-Sicherheit aufnahm. Dies führte zu unklaren Zuständigkeiten mit folgenden Problemen: Den Dienststellenleiterinnen und Dienststellenleitern und den sie unterstützenden IT- Sicherheitsbeauftragten war nicht bekannt, welche Sicherheitsaufgaben sie oder die IT-Gesellschaft wahrzunehmen haben. Das Heeresamt empfahl dem Bundesverteidigungsministerium dringend, die Dienststellenleiterinnen und Dienststellenleiter von ihrer Verantwortung für die IT-Sicherheit zu entbinden. Das Bundesverteidigungsministerium folgte dem Vorschlag nicht. IT-Sicherbeauftragte erstellten daraufhin eigene Arbeitshilfen. Beispielsweise erarbeitete der IT-Sicherheitsbeauftragte des Heeres eine handhabbare Handlungsanweisung zu den verbleibenden Mitwirkungs- pflichten zur IT-Sicherheit. Der IT-Sicherheitsbeauftragte der Luftwaffe erstellte eine IT-Sicherheitsdatenbank mit Verfahrenshinweisen für die IT-Sicherheitsverantwortlichen in den Dienststellen der Luftwaffe. Auch der IT-Sicherheitsbeauftragte der Streitkräftebasis erstellte für seine Dienststellen eine Arbeitshilfe. Die IT-Sicherheitsbeauftragten müssen regelmäßig prüfen, ob Sicherheitsmaßnahmen umgesetzt und Sicherheitsvorschriften eingehalten werden. So können sie beurteilen, ob sich die Qualität der IT-Sicherheit in den Dienststellen verbessert hat oder zumindest erhalten blieb (IT-Sicherheitsinspektionen). Hierzu gab es eine bundeswehreinheitliche Prüfliste. Die IT-Sicherheitsbeauftragten konnten die Prüfliste nicht mehr anwenden, weil eine Aufgabenabgrenzung zur IT-Gesellschaft fehlte. Die Streitkräftebasis sowie die Luftwaffe begannen daraufhin, eigene Prüflisten zu erarbeiten. Andere Organisationsbereiche passten die bestehenden Prüflisten ihren Erfordernissen an. Damit die IT-Sicherheitsbeauftragten bei dem Verdacht eines Verstoßes gegen die IT-Sicherheit tätig werden können (Auditing), benötigen sie den Zugriff auf bestimmte Systemdateien (Protokolldateien). Darin sind z. B. unberechtigte Versu-

3 340 che registriert, bestimmte Dateien zu lesen oder zu verändern. Die IT- Sicherheitsverantwortlichen haben, nachdem die Betriebsverantwortung auf die IT-Gesellschaft übergegangen ist, keinen Zugriff mehr auf die Protokolldateien. Ohne diesen Zugriff konnten sie möglichen Sicherheitsverstößen nicht nachgehen. Sie benötigten hierzu die Unterstützung der IT-Gesellschaft Der Bundesrechnungshof hat beanstandet, dass das Bundesverteidigungsministerium fünf Jahre nach seiner Zusage an den Rechnungsprüfungsausschuss die IT- Sicherheitsstandards der Bundesverwaltung nicht in seine Dienstvorschriften einbezogen hat. Nach wie vor muss es erheblichen Aufwand betreiben, um seine IT- Sicherheitsvorschriften neuen Entwicklungen in der IT anzupassen. Der Bundesrechnungshof hat empfohlen, in die Dienstvorschriften des Bundesverteidigungsministeriums aufzunehmen, dass die Bundeswehr die ressortübergreifenden IT- Sicherheitsstandards des BSI anwendet. Der Bundesrechnungshof hat weiter beanstandet, dass die wichtigen Aufgaben der IT-Sicherheitsbeauftragten nicht klar beschrieben sind. Die dadurch entstandenen unklaren Zuständigkeiten zwischen ihnen und der IT-Gesellschaft führen zu zusätzlichem Abstimmungsaufwand und behindern die IT-Sicherheitsbeauftragten bei ihren Aufgaben. Obwohl dem Bundesverteidigungsministerium diese Probleme bereits seit Jahren bekannt sind, hat es entgegen seiner Zusage an den Rechnungsprüfungsausschuss die Dienstvorschrift nicht aktualisiert und den geänderten Rahmenbedingungen angepasst. Der Bundesrechnungshof hat das Bundesverteidigungsministerium aufgefordert, die Dienstvorschrift zur IT-Sicherheit zu aktualisieren. Dabei sollte es die Aufgaben der IT-Sicherheitsverantwortlichen in der Bundeswehr sowie der IT- Gesellschaft voneinander abgrenzen. Außerdem sollte es die IT-Sicherheitsverantwortlichen kurzfristig durch eine Handlungsanweisung unterstützen. Diese sollte auch das Vorgehen bei IT-Sicherheitsinspektionen und bei Verstößen gegen die IT- Sicherheit einbeziehen Das Bundesverteidigungsministerium hat dargelegt, dass es mit einer neuen, im

4 341 Entwurf vorliegenden Dienstvorschrift beabsichtige, die IT-Sicherheitsstandards des BSI für die Bundeswehr verbindlich vorzuschreiben. Die Aufgaben der IT-Sicherheitsverantwortlichen und der IT-Gesellschaft seien bereits geregelt. Die IT-Sicherheitsverantwortlichen seien weiterhin für materielle, organisatorische und personelle Aspekte der IT-Sicherheit in ihrer Dienststelle verantwortlich. Dies beziehe z. B. die Sensibilisierung der Beschäftigten sowie das Überprüfen, ob diese die IT in unerlaubter Weise nutzen, ein. Deshalb sei das Bundesverteidigungsministerium dem Vorschlag des Heeresamtes, die Dienststellenleiterinnen und Dienststellenleiter von ihrer Verantwortung für die IT-Sicherheit zu entbinden, nicht gefolgt. Die Verantwortung für betrieblich-technische Aspekte liege dagegen bei der IT-Gesellschaft. Diese von der Dienstvorschrift abweichenden Regelungen habe es jedoch noch nicht ausreichend kommuniziert. Sie müssten sich in der Praxis noch ein- spielen und ließen zu viele Auslegungsmöglichkeiten zu. Die neue Dienstvorschrift werde die Aufgaben der IT-Sicherheitsverantwortlichen deutlicher darstellen. Darüber hinaus habe das Bundesverteidigungsministerium erkannt, dass eine Arbeitshilfe für die IT-Sicherheitsverantwortlichen notwendig sei. Die IT-Sicherheitsbeauftragten könnten bei ihren Sicherheitsinspektionen durch die IT-Gesellschaft Unterstützung erhalten. Dazu müssten sie jährlich ihren beabsichtigten Inspektionskalender an eine zentrale Stelle übermitteln. Diese werde den Inspektionskalender mit weiteren Stellen und der IT-Gesellschaft abstimmen. Danach könnten die IT-Sicherheitsbeauftragten eine notwendige Unterstützung rechtzeitig vor einer geplanten Inspektion anfordern. In der neuen Dienstvorschrift werde das Bundesverteidigungsministerium auch Vorgaben zu Protokollierung und Auditing machen. Hierbei werde es darlegen, wer welche Aufgaben wahrzunehmen hat, wenn mögliche Verstöße gegen die IT-Sicherheit zu klären sind. Weiterhin werde es Verfahren festlegen, um notwendige Werkzeuge, z. B. Auswertesoftware, bereitzustellen sowie Vorgaben zur Datenspeicherung und zu Löschfristen zu berücksichtigen Der Bundesrechnungshof hält es für erforderlich, mehr als fünf Jahre nach Übernahme der Betriebsverantwortung durch die IT-Gesellschaft die Aufgaben der IT- Sicherheitsverantwortlichen der Bundeswehr von denen der IT-Gesellschaft klar ab-

5 342 zugrenzen. Dazu sind umgehend die genannten Änderungen der Dienstvorschrift zur IT-Sicherheit einzuführen sowie den IT-Sicherheitsverantwortlichen der Bundeswehr eine Arbeitshilfe an die Hand zu geben, in der die materiellen, organisatorischen und personellen Sicherheitsmaßnahmen, für die sie zuständig sind, vollständig dargestellt sind. Es reicht nicht aus, dass die IT-Sicherheitsbeauftragten ihre Inspektionen jährlich mit der IT-Gesellschaft abstimmen. Auf IT-Sicherheitsvorfälle kann die Bundeswehr so nicht angemessen reagieren. Sofern die IT-Sicherheitsverantwortlichen weiter für Aufgaben des Auditing verantwortlich sind, müssen ihnen Zugriffsrechte auf die Protokolldateien jederzeit zur Verfügung stehen. Der Bundesrechnungshof fordert das Bundesverteidigungsministerium auf sicherzustellen, dass die IT-Sicherheitsverantwortlichen der Bundeswehr die vorgeschriebenen IT-Sicherheitsinspektionen und das Auditing ohne langwierige Abstimmungen mit der IT-Gesellschaft ausführen können. Der Bundesrechnungshof hält es für nicht akzeptabel, dass das Bundesverteidigungsministerium über fünf Jahre nach seiner Zusage gegenüber dem Rechnungsprüfungsausschuss die Dienstvorschrift zur IT-Sicherheit nicht auf den aktuellen Stand gebracht hat. Er erwartet, dass es in seiner Dienstvorschrift umgehend die ressortübergreifenden Standards des BSI verbindlich vorgibt. Es sollte dabei die Zuständigkeiten der IT-Sicherheitsbeauftragten zutreffend abbilden und die Arbeitshilfe hierzu erarbeiten.