Von Bundesregierung beantwor…
Wie sicher sind deutsche Überwachungssysteme vor Spionage?
Hintergrund
Anlass der Anfrage waren Berichte über erfolgreiche Hacks iranischer Verkehrs- und Überwachungskameras durch ausländische Nachrichtendienste. Die AfD wollte wissen, wie sicher deutsche Systeme vor ähnlichen Angriffen sind. Zudem thematisierte sie die weit verbreitete Nutzung ausländischer Cloud-Dienste in der deutschen Verwaltung – allein 2024 gab der Bund rund 481,4 Millionen Euro für Lizenzen eines großen ausländischen Softwareanbieters aus.
Die Bundesregierung hat am 7. Mai 2026 eine AfD-Anfrage zu Sicherheitsrisiken staatlicher Überwachungssysteme und Cloud-basierter IT-Lösungen beantwortet (BT-Drs. 21/5844). Transparenz in einzelnen Bereichen. Verweigerung von Auskünften in anderen – die Antwort zeigt beide Seiten.
Risiken bei Cloud-Diensten dargestellt
Die Bundesregierung führt Risiken beim Einsatz cloudbasierter Kommunikations- und Kollaborationsdienste aus Drittstaaten detailliert auf. Besonders die Gefahr eines „Vendor Lock-in-Effekts“ – also der Abhängigkeit von einzelnen Anbietern – wird genannt. Als Schutzmaßnahme verweist sie auf BSI-Standards wie den „Mindeststandard zu Nutzung externer Cloud-Dienste“.
Das BSI hat zur Stärkung der digitalen Souveränität die Criteria enabling Cloud Computing Autonomy (C3A) entwickelt. Diese ermöglichen eine Bewertung, ob Cloud-Angebote selbstbestimmt genutzt werden können. Ergänzend priorisiert das Programm P20 Open-Source und europäische Lösungen.
Pegasus-Frage nicht beantwortet
Völlig anders die Reaktion bei brisanten Themen. Die Frage nach dem Einsatz der Pegasus-Spyware durch deutsche Sicherheitsbehörden beantwortet die Bundesregierung schlicht nicht. Sie verweigert die Auskunft aus Staatswohlgründen – selbst eine Übermittlung an die Geheimschutzstelle des Bundestages kommt nicht in Betracht.
Die Regierung befürchtet, dass bereits das Bekanntwerden von Details über Überwachungssoftware deren Wirksamkeit gefährden könnte.
Dies ist bemerkenswert, da normalerweise zumindest eine vertrauliche Unterrichtung des Parlaments erfolgt. Konkrete Schutzmaßnahmen für Endgeräte von Regierungsmitgliedern werden ebenfalls geheim gehalten, ebenso forensische Fähigkeiten zur Erkennung von Kompromittierungen. Die Bundesregierung argumentiert mit einem „schwerwiegenden Sicherheitsrisiko“ bei Bekanntwerden solcher Informationen.
Datenlage unvollständig
Zu wichtigen Grundsatzfragen hat die Bundesregierung keine Informationen. Sie kennt nicht den Umfang, in dem Überwachungs- und IT-Systeme in Bund, Ländern und Kommunen zentral oder dezentral betrieben werden. Hintergrund ist vermutlich die föderale Struktur und fehlende zentrale Erfassung. Bei konkreten Nachfragen beschränkt sich die Antwort meist auf Systeme der Bundespolizei.
Das Fazit der Antwort: Die Bundesregierung führt zwar Sicherheitsrisiken ausländischer IT-Systeme detailliert auf, hält jedoch viele Details zum Schutz kritischer Infrastruktur unter Verschluss.
Betroffen sind alle Nutzer staatlicher IT-Systeme und Bürger, deren Daten über möglicherweise unsichere Überwachungs- und Cloud-Systeme verarbeitet werden. Besonders relevant ist dies für Behörden, Polizei und Sicherheitskräfte, die auf diese Systeme angewiesen sind.
Die Antwort ist vollständig erteilt. Das Thema IT-Sicherheit bleibt jedoch aktuell, da die Bundesregierung weiterhin an ihrer Strategie der digitalen Souveränität arbeitet und das BSI kontinuierlich neue Sicherheitsstandards entwickelt.
- BSI
- Bundesamt für Sicherheit in der Informationstechnik – die zentrale Cyber-Sicherheitsbehörde des Bundes
- Pegasus-Spyware
- Überwachungssoftware des israelischen Unternehmens NSO Group, die heimlich auf Smartphones installiert werden kann
- Cloud-basierte IT-Lösungen
- IT-Dienste und Software, die nicht lokal, sondern über das Internet von externen Anbietern bereitgestellt werden
