IT-Schwachstellenmanagement der Bundesregierung

Berlin: (hib/STO) Das IT-Schwachstellenmanagement der Bundesregierung ist ein Thema ihrer Antwort (21/2289) auf eine Kleine Anfrage der Fraktion Die Linke (21/1697). Wie die Bundesregierung darin ausführt, betreibt sie „ein Schwachstellenmanagement zur Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme“. Gemäß Paragraf 4 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI) müssen den Angaben zufolge grundsätzlich alle Bundesbehörden Informationen im Zusammenhang mit neu festgestellten Schwachstellen, die für die Erfüllung von Aufgaben oder die Sicherheit der Informationstechnik anderer Behörden von Bedeutung sind, an das BSI melden.

„Gefundene Schwachstellen werden über das BSI dem betroffenen Hersteller gemeldet, damit dieser die Möglichkeit erhält, die Schwachstelle zu schließen“, heißt es in der Vorlage weiter. Das Verfahren ziele darauf ab, den durch eine mögliche Ausnutzung von Schwachstellen resultierenden Schaden zu minimieren.

Zugleich schreibt die Bundesregierung, dass die materiell-rechtlichen Vorgaben für „Eingriffe in Grundrechte durch informationstechnische Überwachungsmaßnahmen, die ein Schwachstellenmanagement notwendig machen“, in verschiedenen Gesetzen, etwa der Strafprozessordnung, geregelt seien. Für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die Online-Durchsuchung zu Zwecken der Strafverfolgung gelte - neben dem allgemeinen Erfordernis der Verhältnismäßigkeit -, dass das eingesetzte Mittel nach dem Stand der Technik gegen unbefugte Nutzung zu schützen ist. Im Bereich der Gefahrenabwehr ergebe sich das gleiche Erfordernis für das Bundeskriminalamt.