Die Agentur der Europäischen Union für Cybersicherheit (ENISA) veröffentlichte am Dienstag einen Bericht zur internen Infrastruktur staatlicher Digitalisierungsbehörden. In diesem Zusammenhang warnte Juhan Lepassaar, Exekutivdirektor der ENISA, vor einer Vernachlässigung der eigenen Abwehrsysteme durch den Fokus auf externe Dienstleistungen, ein Phänomen, das Experten oft als The Shoemaker's Children Go Barefoot bezeichnen. Die Behörde stellte fest, dass die IT-Systeme von 12 EU-Mitgliedstaaten erhebliche Sicherheitslücken aufweisen, während diese Länder gleichzeitig strenge Compliance-Regeln für die Privatwirtschaft forderten.
Nach Angaben der EU-Kommission stiegen die Ausgaben für öffentliche Softwareprojekte im Jahr 2024 um 14 Prozent an. Dennoch belegen interne Prüfberichte der Prüfungsinstanzen, dass die Wartung der Kernsysteme in den Ministerien hinterherhinkt. Dieser Widerspruch zwischen regulatorischem Anspruch und interner Umsetzung belastet die Glaubwürdigkeit der digitalen Transformation in Europa.
Technologische Defizite in der öffentlichen Verwaltung
Ein Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verdeutlicht die technologische Kluft innerhalb der deutschen Verwaltungslandschaft. Während das Onlinezugangsgesetz (OZG) die Digitalisierung von 575 Verwaltungsleistungen vorschreibt, nutzen viele Behörden im Hintergrund veraltete Mainframe-Systeme aus den 1990er Jahren. Diese Legacy-Systeme sind laut BSI-Präsidentin Claudia Plattner anfällig für moderne Cyberangriffe, da keine zeitgemäßen Verschlüsselungsstandards implementiert werden können.
Die finanzielle Belastung für die Modernisierung dieser Basisstrukturen schätzt das Bundesfinanzministerium auf mehrere Milliarden Euro. In einem Strategiepapier des Ministeriums wird darauf hingewiesen, dass die Ressourcen primär in sichtbare Bürgerportale fließen. Die notwendige Erneuerung der Datenbankstrukturen bleibt hingegen aufgrund fehlender politischer Sichtbarkeit oft unterfinanziert.
Sicherheitsrisiken durch veraltete Kernsysteme
Sicherheitsexperten des Chaos Computer Clubs (CCC) kritisierten wiederholt die mangelnde Transparenz bei der Absicherung staatlicher Server. Linus Neumann, Sprecher des CCC, wies darauf hin, dass Schwachstellen in der internen Kommunikation oft monatelang unentdeckt bleiben. Diese Diskrepanz zwischen dem Schutzbedarf staatlicher Daten und der tatsächlichen technischen Ausstattung gefährdet das Vertrauen der Bürger in digitale Behördengänge.
Die Initiative The Shoemaker's Children Go Barefoot und ihre Folgen
In Brüssel diskutierten Vertreter der Mitgliedstaaten über das Konzept The Shoemaker's Children Go Barefoot als systemisches Risiko für die Cybersicherheit. Die Tendenz, hochqualifizierte IT-Fachkräfte fast ausschließlich für Projekte mit Außenwirkung einzusetzen, führt zu einem Kompetenzmangel in der internen Systemadministration. Laut einer Erhebung von Eurostat fehlen dem öffentlichen Sektor in der EU derzeit über 200.000 IT-Fachkräfte.
Diese Lücke zwingt Behörden dazu, verstärkt auf externe Berater und proprietäre Softwarelösungen zurückzugreifen. Kritiker wie die Europaabgeordnete Alexandra Geese warnen vor einer wachsenden Abhängigkeit von außereuropäischen Technologieanbietern. Diese Entwicklung stehe im Widerspruch zum Ziel der digitalen Souveränität, wie es in der Cyber Resilience Act der EU-Kommission formuliert wurde.
Personalmangel als strukturelles Hindernis
Das Institut der deutschen Wirtschaft (IW) stellte in einer Studie fest, dass der Gehaltsabstand zwischen öffentlichem Dienst und Privatwirtschaft bei IT-Berufen bis zu 30 Prozent beträgt. Dies erschwert die Rekrutierung von Experten für die Absicherung kritischer Infrastrukturen erheblich. Ohne eine Reform der Besoldungsstrukturen bleibt die technische Modernisierung der Verwaltung ein kaum erreichbares Ziel.
Kritische Stimmen zur nationalen Sicherheitsstrategie
Der Deutsche Beamtenbund (dbb) äußerte Zweifel an der Umsetzbarkeit der aktuellen Sicherheitsvorgaben innerhalb der vorgegebenen Zeitpläne. Ulrich Silberbach, Bundesvorsitzender des dbb, erklärte, dass die Arbeitsbelastung der vorhandenen IT-Mitarbeiter bereits das Maximum erreicht habe. Neue regulatorische Anforderungen wie die NIS-2-Richtlinie würden die Situation weiter verschärfen, da das Personal mit der Dokumentation statt mit der technischen Absicherung beschäftigt sei.
Zudem bemängelt der Bundesrechnungshof in seinem aktuellen Bericht die Effizienz der Mittelverwendung bei großen IT-Projekten. In vielen Fällen wurden Mittel für Softwarelizenzen ausgegeben, die aufgrund fehlender Hardwarekapazitäten in den Kommunen gar nicht eingesetzt werden konnten. Diese Fehlplanung bindet Kapital, das für die grundlegende Sicherung der Netzwerke dringend benötigt würde.
Vergleichbare Entwicklungen im internationalen Raum
Nicht nur in Europa ist das Problem der vernachlässigten Eigeninfrastruktur präsent. Das US-Heimatschutzministerium (DHS) berichtete von ähnlichen Herausforderungen bei der Implementierung von Zero-Trust-Architekturen in Bundesbehörden. Ein Bericht des Government Accountability Office (GAO) zeigte auf, dass 24 US-Behörden ihre Ziele bei der Modernisierung veralteter IT-Systeme verfehlten.
Internationale Kooperationen im Rahmen der NATO sollen nun helfen, Best Practices für die interne Absicherung staatlicher Netze zu etablieren. General Christian Badia, Stellvertreter des Supreme Allied Commander Transformation, betonte die Wichtigkeit resilienter Kommunikationswege. Die Vernetzung der Bündnispartner setzt voraus, dass jeder Teilnehmer seine eigenen Hausaufgaben bei der IT-Sicherheit erledigt hat.
Finanzielle Implikationen der technischen Verschuldung
Die sogenannte technische Verschuldung beschreibt die Kosten, die entstehen, wenn notwendige Erneuerungen der IT-Infrastruktur aufgeschoben werden. Das Beratungsunternehmen Gartner schätzt, dass jede verzögerte Investition in die Systempflege langfristig die dreifachen Kosten verursacht. Für staatliche Haushalte bedeutet dies eine wachsende Belastung durch steigende Wartungskosten für instabile Altsysteme.
Ökonomen warnen davor, dass diese Verschuldung den Spielraum für zukünftige Innovationen massiv einschränkt. Gelder, die eigentlich in künstliche Intelligenz oder Cloud-Computing fließen sollten, müssen stattdessen für den Erhalt von Systemen aufgewendet werden, deren Hersteller den Support bereits eingestellt haben. Dieser finanzielle Druck führt zu einer weiteren Vernachlässigung der internen Sicherheitsarchitektur.
Ausblick auf die europäische Gesetzgebung
In den kommenden Monaten wird das Europäische Parlament über neue Richtlinien zur Harmonisierung der IT-Standards in öffentlichen Verwaltungen beraten. Ziel ist es, Mindestanforderungen für die interne Infrastruktur festzulegen, die über die bloße Einhaltung von Datenschutzregeln hinausgehen. Die Kommission plant hierfür zusätzliche Mittel aus dem Programm Digitales Europa bereitzustellen.
Beobachter erwarten, dass die Debatte um die technologische Souveränität weiter an Schärfe zunimmt. Offen bleibt, wie die Mitgliedstaaten den Spagat zwischen schnellen digitalen Bürgerdiensten und der grundlegenden Sanierung ihrer IT-Fundamente bewältigen wollen. Die Wirksamkeit der geplanten Maßnahmen wird sich erst zeigen, wenn die ersten Audits nach den neuen Standards durchgeführt wurden.
In Deutschland wird die Umsetzung der NIS-2-Richtlinie als Testfall für die Reformfähigkeit der Verwaltung angesehen. Das Innenministerium bereitet derzeit den entsprechenden Gesetzentwurf vor, der im Herbst im Bundestag debattiert werden soll. Ob die finanziellen Zusagen ausreichen werden, um die strukturellen Defizite dauerhaft zu beheben, bleibt Gegenstand politischer Auseinandersetzungen zwischen Bund und Ländern.
Die Entwicklung der nächsten zwei Jahre wird entscheidend dafür sein, ob die staatlichen Institutionen ihre Rolle als Vorbilder in der digitalen Sicherheit wahrnehmen können. Experten fordern eine klare Priorisierung der Basissicherheit vor Prestigeprojekten. Nur durch eine umfassende Modernisierung der internen IT-Landschaft lässt sich das Risiko minimieren, dass die Analogie The Shoemaker's Children Go Barefoot weiterhin die Realität der europäischen Digitalverwaltung beschreibt.
Bis Ende 2026 müssen die EU-Staaten nachweisen, dass ihre kritischen Behördennetze den neuen Sicherheitsanforderungen entsprechen. Es bleibt abzuwarten, ob die bereitgestellten Fördergelder den Fachkräftemangel kompensieren können. Die Fortschritte bei der Konsolidierung der Rechenzentren werden in den jährlichen Berichten zur Lage der IT-Sicherheit engmaschig überwacht werden.
