Was wird politisch vom BSI überhaupt im Detail erwartet; und wie wird dabei eine Kollision dieser „Behördenkonstruktion“ mit überwiegend schwafelnden Politikerauffassungen bzw. Security-Branchenfachleuten vermieden.
Darf man an der Spitze wesentlicher Bundesbehörden sich nur solange persönlich in der öffentlichen Sonne selbst darstellen, bis fallweise hier und da Entscheider (mit Verbindungen im Hintergrund) verärgert wurden, oder durch eine gewisse „Abgehobenheit“ bei der eigenen Amtsführung sich angreifbar gemacht hat? Was darf oder muss man denn Behördenleitern mit Beamtenstatus erwarten? Wie weit muss sich die Besetzungsebene darüber nachvollziehbar erklären, um grundlegend für die Zukunft zu vermeiden unliebsame Stellenplaninhaber zu „wegzuloben“, oder auf Steuerzahlerkosten durch eigene Buddys zu ersetzen? Was war denn die damalige Besetzungsbegründung, bzw. was wurde bei der Führung einer Behörde nicht objektiv umgesetzt bzw. inhaltlich versäumt?
Schon der „Schutz der Netze des Bundes“ sagt alles und doch wenig im operativen Detail aus. Soll ein BSI-Vorgabespektrum von wesentlichen kritischen Infrastrukturgrundlagen bis zur SW-Anwendungsebene (Bund, Land, bzw. Exekutive allgemein) reichen, die weit über eine generelle Aufsicht (Placebo, oder wie netzspezifisch zu realisieren) oder vorherige (Schwellwert?, Einschreitelevel?, Akkreditierungszusage?, uvm.) „Einzelfreigabe“ (§ 8, BSIG) über diverse Einsätze spezifischer IT-Produktkonzeptionen oder Dienstleistungen hinausgeht. Generell grundlegend für alle i.d.R. selbstbewussten Ministerien und Bundesoberbehörden; allerdings mit dort nur rudimentärer, zumindest kapazitiv deutlich begrenzt vorhandener (Personal-) IT- und Security-Expertise?
Allen wohl und keinem Weh! Sicherlich stellen inzwischen die BSI-Grundschutzempfehlungen (?) einen wesentlicher Handhabungsfortschritt dar. Ging es aber im Detail nicht noch deutlicher konkreter? Oder wäre spätestens dann die Schmerzgrenze für einen daraus unvermeidlichen Handlungsdruck bei Bundes- oder Landesbehörden, bzw. sämtlichen IT-technisch unterstützten Verwaltungsstrukturen erreich, weil z.B. Security-Risiken dort seit Jahren und Jahrzehnten faktisch akzeptiert werden. Ob im Falle eines Falles staatliche Institutionen (im Zeitalter eines Cyberwar) „jederzeit“ handlungsfähig bleiben, oder zumindest weitestgehend durch vorher umzusetzende Betriebsauflagen (egal was sie im Einzelnen einmalig oder dauerhaft Kosten werden) die Integrität, Zuverlässigkeit und Vertraulichkeit der elektronisch unterstützter Bearbeitungsvorgängen und deren Dateninhalt nur angemessen „gewährleistet“ werden?
Diesbezüglich fundierte IT-Analysen oder SW-Konfigurationsvorgaben hört kein politischer Amtsinhaber oder Ministeriale gerne. Die müssten sich ja möglicherweise nicht nur für ihre ggf. „karriereschädliche“ Ignoranz rechtfertigen, sondern endlich mal Tacheles reden und entsprechend nachhaltige Digitalisierungsoptimierungen auf dem Weg bringen. Noch ist nicht das IT-Realisierungskönnen das national eigentliche Problem, sondern das produktiv zielführende Umsetzungswollen (Veränderungen, transparentes Handeln, wechselnde Zuständigkeiten, produktivere Workflows, uvm.) In exemplarischen SW-Anwendungsfeldern sind allerdings betriebs- sowie sicherheitskritische Umsetzungsaspekte (jeder kennt sicher noch ein paar mehr in der Bundesrepublik) nicht wirklich zur verhinderung wachsender konsequenzen in Angriff genommen worden:
Flächendeckende Nutzung (mindestens in staatlichen Institutionen, nicht nur mit Sicherheits- oder Gesundheitsaufgaben) eines PC-Standardbürosoftwarekonzeptes mit faktisch externem Provider-Zugriff sowie inzwischen virtuell zwingenden (und noch weiter zunehmenden) Betriebsablaufnotwendigkeiten außerhalb der jeweiligen originären bzw. intransparent entwickelnden Betriebsverantwortung des Anwenders, ja weit außerhalb unserer EU-Rechtsordnung.
Einseitig, zum Teil unbewiesene Diskreditierungen von asiatischen IT-Netzknotenprodukten (Stichwort: Huawei in Mobilfunknetzen mit doch größerer und vor allen Dingen dort unternehmensintern fachkundig ausgeprägter Betriebsexpertise), wo doch amerikanisch ähnlichen IT-Netzprodukte (Cisco, Juniper) für fachlich weniger versierte Firmennutzer die Backdoors schon nachgewiesen wurden.
Unregulierte Verbreitung und Verkauf von Mobilfunkendgeräten, die Anwender grundsätzlich gesetzlich (durch technologisch definierte und permanent überprüfte Realisierungen durch den HW- bzw. SW-Endgeräte-suppliere) nicht in die Lage versetzen, das diese durch am eigenen Smartphone manuell veranlasste Gerätevoreinstellungen (7/24/365 online) nicht hinsichtlich ihres persönlichen Nutzungs- und Bewegungsdaten bzw. DSVO-widrigem Tracking (durch wen alles, zuzüglich verdeckte Mikrofon- oder Kamera-Zugriffe) überwachbar werden. Naturgemäß muss dies auch sämtliche großen Gerätelieferanten „verpflichten“, die sonst als Produktverantwortliche nicht wirklich einem juristisch auch noch praktizierbaren bzw. nicht nur theoretische beweisbaren Sanktionsvorbehalt unterworfen werden. Neben „Lieschen Müller“ dürften präventiv kaum tragfähig etablierte Schutzmaßnamen (im Endgerät selber), bzw. sehr zeitnah verbindliche Reaktionsverpflichtungen besonders dienstliche genutzte Mobilfunkausführungen (Wirtschaftsspionage, Standort und Verhalten einzelner Behördenfunktionen, u.ä.?) ggf. in einem noch zunehmenden Maße dem freien Spiel der Cyberware- und Hacking-Welt aussetzen. Cambridge-Analytika oder PEGASUS waren nur erste Versuche!
Es wurde vom BSI nahezu tatenlos extern zugeschaut, wie sich die Betriebs- und Integritätssicherheit im Gesundheitswesen (kritische Infrastruktur Ja oder Nein?) unter der Federführung der GEMATIK „umgesetzt“ wurde. Neben abenteuerlich ausgeprägten/von unbefugten Dritten umsetzbare „Berechtigungsworkflows“ zur Beantragung und daraufhin aktiv möglicher Nutzung von Ärztekarten (mit daraus resultierenden Zugriffen auf Krankheitsdaten einzelner Bürger) ist hier besonders das Kartell der Kassierer (Gematik-GF plus einem Oligopol aus derzeit nur drei Lieferanten) beim höchst kostspielig versuchten Austausch der sog. Konnektoren in allen bundesdeutschen Ärzte-Praxen hervorzuheben. Wer definiert und prüft oder bewertet im Detail prinzipiell postulierte und damit „einzuhaltende“ Sicherheitslevel (in Arztpraxen, Krankenhäusern und auf der Gesundheitskarte selbst, etc.?). Oder sollte hier das BSI nicht zu genau hinschauen, oder war auch Grund politisch motivierter Erwägungen (im Rahmen eines Allgemeinauftrages) im unmittelbaren Umfeld der Bundesregierung bzw. Bundesgesundheitsministeriums per odr mufti nicht zuständig bzw. außen vor?
Das lässt ja bundesweit noch interessante (normierte bzw. sanktionsfähige?) Sicherheitsvorgaben bei der flächendeckenderen Zwangseinführung von Smart-Metern erwarten. Im Buch „BLACKOUT“ wird ja eindrucksvoll skizziert, was eine böse „externe“ Macht im Zeitalter von Cyberwar mit unserer öffentlichen Stromversorgung so alles veranstalten könnte. Allein vor diesem Hintergrund wäre klar hervorzuheben welche Sicherheitskriterien (auf der Verbraucherseite, auf der EVU-Netzversorgungsseite, u.ä.), das BSI hier permanent (!) praxisbezogen abdecken müsste, oder ob es dazu nur „theoretisch“ (oder punktuell) in der Lage wäre (d.h. nur so tut als ob)!
Bei Behörden ohne operativ legaldefinierte Detailzuständigkeiten, bzw. dazu auch vorhandene Durchgriffsoptionen, eignen sich hervorragend für das öffentlich-multimediale Simulationsschachbrett. Selbst oberflächlich nur angedeutete Handlungsaktivitäten werden danach schnell lautlos relativiert, sobald die Aufnahmemikrofone abgeschaltet wurden.