IT-Schwachstellenmanagement der Bundesregierung

Berlin: (hib/STO) Um das „IT-Schwachstellenmanagement der Bundesregierung“ geht es in deren Antwort (20/449) auf eine Kleine Anfrage der Fraktion Die Linke (20/262). Darin zitiert die Fraktion aus dem Koalitionsvertrag von SPD, Bündnis 90/Die Grünen und FDP, dass der Staat „keine Sicherheitslücken ankaufen oder offenhalten, sondern sich in einem Schwachstellenmanagement unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informationstechnik immer um die schnellstmögliche Lösung bemühen“ werde.

Wie die Bundesregierung dazu ausführt, setzt sie sich derzeit inhaltlich mit dieser Thematik auseinander. Da die Meinungsbildung zu einem wirksamen Schwachstellenmanagement innerhalb der Bundesregierung nicht abgeschlossen sei, könne zur Frage des möglichen Umgangs mit Schwachstellen lediglich im Rahmen aktuell geltender Regelungen eine Aussage getroffen werden.

Danach haben die Bundesbehörden IT-Sicherheitsmaßnahmen und Meldeverfahren etabliert, um auf IT-Sicherheitslücken beziehungsweise Schwachstellen zu reagieren und diese an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. In diesem Sinne wirke das BSI als Cyber-Sicherheitsbehörde des Bundes gemäß seinem gesetzlichen Auftrag darauf hin, „sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Herstellern zu schließen“.

Darüber hinaus erfolgt der Antwort zufolge für die Sicherheitsbehörden Bundesamt für Verfassungsschutz, ZitiS, Bundespolizei, Bundeskriminalamt, Militärischer Abschirmdienst und Bundesnachrichtendienst der Umgang mit Schwachstellen nach den geltenden gesetzlichen Vorgaben. „Es greifen die allgemeinen fachaufsichtlichen und parlamentarischen Kontrollmechanismen sowie die gesetzlich vorgesehenen Rechtsschutzmöglichkeiten“, heißt es in der Vorlage weiter.