Schrödingers BSI-Präsidentin?

Mit Wirkung zum 1. Juli 2023 wurde Claudia Plattner neue Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ihr Amtsantritt fällt auf einen denkbar spannenden Zeitpunkt. Hierfür gibt es zwei Gründe: Zum einen hat sich die Bundesregierung im Koalitionsvertrag (S. 16) vorgenommen, das BSI unabhängiger aufzustellen. Gleichzeitig hat der Gesetzgeber am 15. Juni 2023 den § 54 Abs. 1 des Bundesbeamtengesetzes (BBG) um eine neue Nr. 14 ergänzt, wonach die Präsidentin des BSI zukünftig politische Beamtin ist. Eine Abberufung wäre damit deutlich geräusch- und problemloser möglich als bei ihrem Vorgänger.

Dieser Beitrag will nicht Claudia Plattner kritisieren; die Personalie bekam vor Amtsantritt einhelliges Lob. Dieser Beitrag will vielmehr – um mit dem quantenmechanischen Gedankenexperiment Erwin Schrödingers zu sprechen – die paradoxe Rolle thematisieren, die Claudia Plattner bekommen hat: Sie soll eine zukünftig organisatorisch unabhängige(re) Behörde leiten und muss dabei wohl unbequeme Wahrheiten aussprechen, gleichzeitig kann sie als politische Beamtin aber nach § 54 Abs. 1 BBG jederzeit in den einstweiligen Ruhestand versetzt werden und entspricht damit dem Inbegriff der persönlichen Abhängigkeit. Die Anforderungen an ihr Amt zwingen sie – überspitzt gesprochen – in einen Überlagerungszustand vergleichbar mit Schrödingers Katze.

Um herauszufinden ob der Vergleich passt, braucht es einen Überblick welche Aufgaben das BSI hat und welche es bald bekommen könnte. Im Anschluss gilt es zu klären, warum man das BSI unabhängig machen will und ob die Unabhängigkeit wirklich die beste Lösung ist. Zum Schluss stellt sich die Frage, ob eine unabhängige Behörde von einer politischen Beamtin geleitet werden kann und sollte.

Welche Aufgaben hat das BSI und welche könnte es bald haben?

Die Geschichte des BSI seit 1991 ist geprägt durch einen stetigen Kompetenzaufwuchs. Der Aufgabenkatalog des BSI in § 3 BSIG wird immer länger und der Trend ist noch nicht gebrochen. Gegründet als Bundesoberbehörde für die Informationssicherheit der Bundesverwaltung im Geschäftsbereich des Bundesinnenministeriums (§ 1 Satz 1 BSIG), ist das BSI mittlerweile zur maßgeblichen nationalen Behörde für alle Angelegenheiten der IT-Sicherheit gewachsen. Nicht nur die Sicherheit einzelner IT-Systeme, sondern die Sicherheit des gesamten Cyberraums ist mittlerweile Aufgabe des BSI. Zuständigkeiten hat das BSI im Bereich der IT-Sicherheit des Bundes, der Sicherheit Kritischer Infrastrukturen und digitaler Dienste und der Prävention und Bewältigung von Cyber-Vorfällen. Das BSI hat mit der Zeit zahlreiche Eingriffsbefugnisse erhalten und agiert nicht nur im Bereich der Produktsicherheit, sondern auch im Bereich der Gefahrenprävention inzwischen als „Sonderpolizei im digitalen Raum“. Nach § 3 Abs. 1 Nr. 13 BSIG übernimmt das BSI auch unterstützende Tätigkeiten für zahlreiche Sicherheitsbehörden.

Nach den Plänen des Bundesinnenministeriums (BMI) wird das BSI schon in naher Zukunft weiter an Bedeutung gewinnen: Nicht nur soll es zentrale Stelle der IT-Sicherheit des Bundes werden, sondern vergleichbar mit dem Bundeskriminalamt (BKA) auch eine Zentralstellenfunktion im Bund-Länder-Verhältnis bekommen. Hierzu bedarf es einer Änderung des GG. Auch die Umsetzung der im Dezember 2022 veröffentlichten Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie )und der Entwurf des Cyber Resilience Act der EU werden dem BSI neue Aufgaben bringen. Wer an der Spitze des BSI sitzt, übernimmt zukünftig also eine enorm wichtige Behörde für die Sicherheit der digitalen Gesellschaft.

Das Misstrauen, die Schwachstellen und das BMI

Die Cybersicherheitscommunity fordert die Unabhängigkeit des BSI vom BMI, dessen Fach- und Rechtsaufsicht es untersteht, schon seit langer Zeit (siehe zu dieser Debatte bei Herpig sowie die Forderung der Gesellschaft für Informatik). Neben anfänglichen Vorbehalten gegen das BSI aufgrund seiner Entwicklung aus der Zentralstelle für das Chiffrierwesen beim BND, gibt es heute eigentlich nur noch einen zentralen Grund für das Misstrauen, das bei der Forderung nach Unabhängigkeit immer mit schwingt: Der staatliche Umgang mit den Schwachstellen in Software, die für eine Infiltration der Systeme genutzt werden kann. Sowohl Cyberkriminelle als auch der Staat brauchen sie.

Das BSI als staatliche Meldestelle für entdeckte Sicherheitslücken steht hier zwischen den Fronten und versinnbildlicht die Doppelrolle des Staates in der IT-Sicherheit: Der Staat ist auf der einen Seite für das Funktionieren von Verwaltung, Wirtschaft und Gesellschaft in der digitalen Transformation auf sichere IT-Systeme angewiesen. Dafür müssen die Schwachstellen geschlossen werden und Meldestellen wie das BSI brauchen das Vertrauen der Entdecker:innen dieser Sicherheitslücken. Auf der anderen Seite ist der Staat für die Arbeit seiner Sicherheitsbehörden auf Schwachstellen in Hard- und Software zur Durchführung von Onlinedurchsuchung und Quellentelekommunikationsüberwachung angewiesen. Fast alle an diesem Interessenkonflikt beteiligten Behörden finden sich im Geschäftsbereich des BMI: Das BSI soll für die Sicherheit des Cyberraums sorgen, während das Bundesamt für Verfassungsschutz und das Bundeskriminalamt von der Unsicherheit profitieren und der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) sogar das aktive Arbeiten an dieser Unsicherheit unterstellt wird. Das BMI vereint unter seiner Aufsicht also Behörden mit gegensätzlichen Interessen. Der Unabhängigkeitsforderung liegt die Befürchtung zugrunde, dass das BMI im Zweifel der „analogen Sicherheit“ den Vorrang geben wird.

Für die Abwägung verschiedener Interessen ist eine oberste Bundesbehörde aber gerade da. Behörden die unabhängig voneinander in gegensätzliche Richtungen arbeiten kann niemand wollen. Dennoch ist man aber gut beraten das – keineswegs eingebildete – Misstrauen in der Cybersicherheitscommunity ernst zu nehmen. Nimmt es überhand, drohen Sicherheitsempfehlungen des BSI nicht mehr befolgt zu werden, oder die Bereitschaft von IT-Sicherheitsforschenden dem BSI im Rahmen seines Coordinated Vulnerability Disclosure(CVD)-Programms Schwachstellen zu melden sinkt, denn IT-Sicherheit ist schließlich Vertrauenssache! Ob eine Weitergabe der gemeldeten Schwachstellen stattfindet oder nicht, weiß die Öffentlichkeit nicht. Aber dass das Recht dies nicht verhindert, schürt bereits Verdacht.

Leider ist der Verdacht dem BSI gegenüber nicht völlig aus der Luft gegriffen: 2015 wurde öffentlich, dass das BSI mindestens an der Systemsicherheit einer Remote Forensic Software (sog. Staatstrojaner) für das BKA beteiligt war.

Unabhängigkeit des BSI als Lösung?

Aber ist die organisatorische Unabhängigkeit der Behörde die beste Lösung für dieses Problem? Auf den ersten Blick spricht viel dafür: Die europäische Cybersicherheitsagentur ENISA ist nach Art. 3 Abs. 3 Cybersecurity Act (VO(EU) 2019/881) ebenfalls unabhängig, die DSGVO schreibt in Art. 52 DSGVO die Unabhängigkeit der Datenschutzaufsichtsbehörden vor und das Europarecht verlangt immer häufiger die Unabhängigkeit von ministerieller oder politisch-parlamentarischer Kontrolle. Zuletzt für die Staatsanwaltschaften oder bei der Bundesnetzagentur.

In Deutschland hingegen ist eine unabhängige Behörde eine Ausnahme, die gut begründet sein muss, denn das Demokratieprinzip des Art. 20 Abs. 1, 2 GG fordert eine personelle Legitimation in einer ununterbrochenen Kette von den kleinsten Amtsträger:innen bis hin zum direkt vom Volk gewählten Parlament. Nach dem vorherrschenden Modell der Ministerialverwaltung geschieht dies über die Ministerien, deren Hausleitung dem Parlament gegenüber Rechenschaft schuldet. Eine organisatorisch unabhängige Behörde durchtrennt diese Kette.

Ausnahmen hierfür darf es nur geben, wenn die Aufgabe der Behörde eine unabhängige Wahrnehmung rechtfertigt und die Durchbrechung der Legitimationskette durch andere Kontroll- und Rechenschaftspflichten kompensiert wird (BVerfGE 151, 202 [293 f., Rn. 134]). Anerkannt ist das bspw. bei Zentralbanken, dem Bundesrechnungshof und Regulierungsbehörden. Das BVerfG hat jedoch auch klar gemacht, dass je höher die politische Tragweite der Aufgabe ist, desto weniger darf man sie Stellen übertragen, die Parlament und Regierung, letztlich also der Verantwortung der Politik, entzogen sind.

Die Resilienz und Verteidigungsfähigkeit im Cyberraum ist aktuell eine der wichtigsten politischen Fragen. Verständliche Unzufriedenheit mit den Lösungsansätzen der Politik sollte sich aber eher in Wahlentscheidungen der Bürger:innen niederschlagen, als die Aufgabe der Politik zu entziehen. Den zentralen Grund für das latente Misstrauen anzugehen bedürfte auch gar keine Änderung im Organisationsrecht des BSI: Der Umgang mit Schwachstellen, die den Softwareherstellern noch nicht bekannt sind und daher noch keine Sicherheitsupdates verfügbar sind (sog. Zero-Days), müsste in einem transparenten und vertrauenswürdigen Verfahren geregelt werden, sodass sich IT-Sicherheitsforschende sicher sein können, dass ihre Arbeit nicht im Arsenal staatlicher Cyberwaffen landet. Ein sog. Vulnerabilities Equities Process (VEP) oder Schwachstellenmanagement wäre besser geeignet den Interessenskonflikt zu regeln, als ihn der Politik zu entziehen. Auf die Notwendigkeit einer solchen Regelung durch ein Gesetz hat das BVerfG 2021 in seinem Beschluss zu den IT-Sicherheitslücken (BVerfGE 158, 170) hingewiesen und die Ampelkoalition hat sich im Koalitionsvertrag (S. 109) zur Aufgabe gemacht ein Schwachstellenmanagement zu erarbeiten.

Nur für eine Aufgabe die dem BSI bzw. seiner Präsidentin zukünftig zufallen könnte, der eines Chief Information Security Officers der gesamten Bundesverwaltung (CISO Bund), wäre zumindest eine Abhängigkeit vom Beauftragten der Bundesregierung für Informationstechnik im BMI zu vermeiden, da dessen Arbeit ja auch kontrolliert werden soll.

Kann eine politische Beamtin eine unabhängige Behörde leiten?

Mit der Leitung des BSI durch eine politische Beamtin kommt zur möglicherweise zukünftigen organisatorischen Unabhängigkeit eine weitere Besonderheit hinzu. Während die Unabhängigkeit Probleme mit dem Demokratieprinzip verursacht, vertragen sich politische Beamt:innen nur schwer mit den hergebrachten Grundsätzen des Berufsbeamtentums in Art. 33 Abs. 5 GG. Diese Dopplung organisationsrechtlicher Besonderheiten für das BSI und seine Leitung wäre einzigartig für eine deutsche Behörde.

30 Abs. 1 Satz 1 BeamtStG beschreibt, dass politische Beamt:innen „ein Amt bekleiden, bei dessen Ausübung sie in fortdauernder Übereinstimmung mit den grundsätzlichen politischen Ansichten und Zielen der Regierung stehen müssen“. Daher könnte die BSI-Präsidentin selbst bei atmosphärischen Störungen mit der Bundesinnenministerin in den Ruhestand versetzt werden. Aufgrund des Konflikts mit Art. 33 Abs. 5 GG dürfen nur sog. Transformationsämter, also „notwendige politische Schlüsselstellen für die wirksame Umsetzung der politischen Ziele der Regierung, die auf eine aktive Unterstützung seitens der betreffenden Amtsträger angewiesen ist“ (BVerfGE 149, 1 [46, Rn. 84]) mit politischen Beamt:innen besetzt werden. Mit Ausnahme der eher technisch unterstützenden ZITiS sind nun fast sämtliche sicherheitsrelevante Behörden im Geschäftsbereich des BMI von politischen Beamt:innen geleitet. Diese Behörden haben allesamt großen Einfluss auf die innere Sicherheit und sind ohne Frage die wichtigsten Werkzeuge zur Umsetzung der Politik einer Innenministerin. Angesichts der nie dagewesenen Bedrohungslage im Cyberraum und der Bedeutung von IT-Sicherheit für das Funktionieren einer digitalen Gesellschaft hat Claudia Plattner ein Transformationsamt inne: Sie ist das nötige Zahnrad zwischen der Cybersicherheitspolitik der Bundesregierung und der Verwaltung und daher auf das Vertrauen der Ministerin angewiesen. Das macht sie aber persönlich abhängig.

Eine abhängige Behördenleitung kann aber keine unabhängige Behörde leiten! Zweck einer unabhängigen Behörde ist es der Politik bestimmte Zugriffsmöglichkeiten zu nehmen und spezifischen Sachverstand voll zur Geltung zu bringen. Sei es die Durchsetzung nationaler Interessen bei Anwendung europäischen Wettbewerbsrechts durch das Bundeskartellamt oder Einflussnahme auf die Kontrolle der Haushalts- und Wirtschaftsführung des Bundes durch den Bundesrechnungshof: Unabhängige Behörden tun Dinge, die der Politik unangenehm sein können. Ohne personelle Unabhängigkeit kommt der Sachverstand einer hochspezialisierten Behörde nur schwer zur Geltung, da der Sachverstand schon morgen seinen Posten verlieren könnte. Mit einer derart abhängigen Behördenleitung wie einer politischen Beamtin erhält die Politik auch wieder Einfluss auf Fragen, den eine organisatorische Unabhängigkeit der Behörde gerade verhindern wollte. Sobald Politik wieder Einfluss hat, schmelzen die Vorteile unabhängiger Institutionen: Wer jederzeit austauschbar ist, überlegt sich jedenfalls gut, ob er der Politik etwas zumutet. Als politische Beamtin ist die BSI-Präsidentin daher stark abhängig und als Leiterin einer unabhängigen Behörde untergräbt die vorgesehene politische Abhängigkeit der Präsidentin die Unabhängigkeit der von ihr geleiteten Behörde.

Neue Probleme bei der Organisation, alte Probleme der (Cyber)-Sicherheitspolitik

Claudia Plattner kann politische Beamtin sein, oder eine unabhängige Behörde leiten. Beides kann sie aber nicht! Blickt man zurück auf die Maßstäbe des BVerfG für unabhängige Behörden wird klar: Cybersicherheit betrifft uns alle. Jedes Gerät kann gehackt werden und jede Software hat Fehler. Cybersicherheitspolitik ist ein Nerd-Thema, aber von viel zu hoher Tragweite als es der Verantwortung der Politik zu entziehen. Das BSI sollte daher keine unabhängige Behörde sein!

Dass Claudia Plattner politische Beamtin wird macht angesichts dieser Bedeutung Sinn. Wenn sie jetzt noch kein Transformationsamt innehat, dann spätestens beim nächsten Kompetenzaufwuchs des BSI. Sie zur politischen Beamtin zu ernennen kam jedoch aufgrund des Misstrauens der Cybersicherheitscommunity zur falschen Zeit. Zwar gründet dieses Misstrauen nur auf dem vagem Verdacht und der inneren Einstellung, dem BMI zuzutrauen, was die National Security Agency (NSA) in der Vergangenheit praktiziert hat. Aber das zweifellos vorhandene Misstrauen verschlimmert sich nur, wenn man der Öffentlichkeit signalisiert, dass Deutschlands oberste Cybersicherheits-Expertin jederzeit rausgeworfen werden kann. Vertrauensstiftend wäre es alleine gewesen, bei gleicher Gelegenheit auch einen Gesetzesentwurf für das Schwachstellenmanagement vorzulegen um den Verdacht auszuräumen.

Für die Situation von Claudia Plattner gibt es keine einfache Möglichkeit den Kasten zu öffnen und nachzusehen ob die Katze noch lebt. In das Innenverhältnis zwischen ihr und der Innenministerin kann keiner blicken. Aber es gilt: Sie ist entweder unabhängig oder abhängig. Ist sie abhängig, kann sie aber keine unabhängige Behörde leiten.