© 2019 Deutscher Bundestag WD 8 - 3000 - 014/2019 

 

Zu den Aufgaben des Bundesamts für Sicherheit in der  
Informationstechnik 

Sachstand 

Wissenschaftliche Dienste 



 
 
 

 

 

Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages 
bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner
 Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen
 und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt
 der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten
 des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte
 oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder 
Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich
 berät über die dabei zu berücksichtigenden Fragen. 

Wissenschaftliche Dienste Sachstand 
WD 8 - 3000 - 014/2019 

Seite 2 

 
Zu den Aufgaben des Bundesamts für Sicherheit in der Informationstechnik 
 

Aktenzeichen: WD 8 - 3000 - 014/2019 
Abschluss der Arbeit: 07.02.2019 
Fachbereich: WD 8: Umwelt, Naturschutz, Reaktorsicherheit, Bildung und  

 Forschung 

  



 
 
 

 

 

 

Wissenschaftliche Dienste Sachstand 
WD 8 - 3000 - 014/2019 

Seite 3 

Inhaltsverzeichnis 

1. Einleitung 4 

2. Aufgaben und Befugnisse 4 

3. Meldepflichten 5 

4. Politischer Diskurs über die Unabhängigkeit des BSI 7 
 
  



 
 
 

 

 

 

Wissenschaftliche Dienste Sachstand 
WD 8 - 3000 - 014/2019 

Seite 4 

1. Einleitung 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde am 1. Januar 1991 gegründet
 und gehört als nachgeordnete Behörde zum Geschäftsbereich des Bundesministeriums des 
Innern, für Bau und Heimat. 

Ziel des BSI ist es, dass der Einsatz von moderner Informations- und Kommunikationstechnik 
sicher ist und Sicherheitsaspekte bereits bei der Entwicklung von IT-Systemen und –Anwendungen
 eine vorrangige Rolle spielen. Dabei richtet das BSI sein Angebot an folgende Zielgruppen: 
öffentliche Verwaltung in Bund, Ländern und Kommunen sowie Unternehmen und Privatanwender
. Das BSI bietet hierbei Dienstleistungen auf vier Ebenen an: Information, Beratung, Entwicklung
 und Zertifizierung. 

2. Aufgaben und Befugnisse 

„Das BSI soll technische Vorgaben für die Sicherung der Informationstechnik des Bundes machen
 und Maßnahmen ergreifen, um Gefahren für die Sicherheit der IT des Bundes abzuwehren. 
Darüber hinaus soll das BSI Informationen über Sicherheitslücken und neue Angriffsmuster sammeln
, auswerten und Informationen und Warnungen an die betroffenen Stellen, zu denen auch 
die Strafverfolgungsbehörden, die Polizeien des Bundes und der Länder sowie die Verfassungsschutzbehörden
 gehören, und die Öffentlichkeit weitergeben. Ganz allgemein soll das BSI die Gewährleistung
 von Cybersicherheit in Deutschland unterstützen. In diesem Zusammenhang arbeitet
 es „rein präventiv“ auch mit der NSA zusammen (BT-Drs. 17/14456 S. 27). Eine Aufgabenbeschreibung
 erfolgt in § 3, die im Einzelfall sehr weitgehenden Befugnisse werden in § 5 eingeräumt
.“1 

§ 5 Abs. 1 BSIG2 ermächtigt das BSI zur Abwehr von Gefahren für die Kommunikationstechnik 
des Bundes, Protokolldaten sowie Daten, die an den Schnittstellen der Kommunikationstechnik 
des Bundes anfallen, zu erheben und automatisiert auszuwerten. Unter den einschränkenden Voraussetzungen
 von Abs. 2 bis Abs. 7 der Vorschrift dürfen die Daten gespeichert, verarbeitet und 
darüber hinausgehend verwendet werden. 

Was unter der Kommunikationstechnik des Bundes im Sinne des Gesetzes zu verstehen ist, regelt 
§ 2 Abs. 3 S. 1 BSIG. Demnach ist die Kommunikationstechnik des Bundes im Sinne des BSIG 
die Informationstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder
 mehrerer Bundesbehörden betrieben wird und der Kommunikation oder dem Datenaustausch 
der Bundesbehörden untereinander oder mit Dritten dient. § 2 Abs. 3 S. 2 BSIG statuiert hiervon 
eine Ausnahme für die Kommunikationstechnik der Bundesgerichte, soweit sie nicht öffentlichrechtliche
 Verwaltungsaufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundes-

                                     

1  Buchberger, in: Schenke/Graulich/Ruthig/Buchberger, 2. Auflage 2019, BSIG, § 1 Rn. 9. 

2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vom 14. August 2009 (BGBl. I S. 
2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist. 
https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html  



 
 
 

 

 

 

Wissenschaftliche Dienste Sachstand 
WD 8 - 3000 - 014/2019 

Seite 5 

präsidenten und des Bundesrechnungshofes und konstatiert, dass diese nicht Kommunikationstechnik
 des Bundes im Sinne des § 2 Abs. 3 S. 1 BSIG ist, soweit sie ausschließlich in deren eigener
 Zuständigkeit betrieben wird. 

„§ 2 Abs. 3 Satz 2 stellt klar, dass damit nicht die Kommunikationstechnik gemeint ist, (…) die 
eigenständig vom Bundestag, Bundesrat, Bundespräsidenten und Bundesrechnungshof sowie den 
Bundesgerichten, soweit diese nicht Verwaltungsaufgaben wahrnehmen, betrieben werden, die 
ihrer verfassungsrechtlichen Stellung wegen einer Direktionsbefugnis des Bundesamtes entzogen 
sind. Dementsprechend sind etwa Sonderlösungen („Bypass-Anschluss“) denkbar, um die verfassungsrechtlich
 verbürgte Unabhängigkeit und das Geheimhaltungsbedürfnis abzusichern. Entsprechendes
 dürfte für die Verfassungsorgane gelten.“3 

In der Begründung zum Entwurf des Gesetzes zur Stärkung der Sicherheit in der Informationstechnik
 des Bundes wird hierzu ausgeführt: 

„Die verfassungsrechtliche Stellung des Deutschen Bundestages, des Bundesrates und des Bundespräsidenten
 sowie der Bundesgerichte ist im Gesetz zu berücksichtigen. Deshalb ist deren 
Kommunikationstechnik, soweit sie in eigener Zuständigkeit betrieben wird, nicht Gegenstand 
dieses Gesetzes.“4 

Vor diesem Hintergrund nimmt lediglich § 5 Abs. 10 BSIG eine Aufgabenzuweisung vor und statuiert
 eine jährliche Berichtspflicht des BSI gegenüber dem Innenausschuss des Deutschen Bundestages
 über „die Anwendung dieser Vorschrift“. Über was genau berichtet werden soll, wird im 
Gesetz nicht konkretisiert.5 Nach der Begründung des Innenausschusses soll das Bundesamt nach 
§ 5 Abs. 10 BSIG eine umfängliche Berichterstattung über die Umsetzung der Vorschrift, insbesondere
 die Bedrohungslage und die technische Entwicklung, stattfinden. Die Unterrichtung beinhaltet
 auch die Zahlen nach § 5 Abs. 9 BSIG.6 

3. Meldepflichten 

§ 4 BSIG regelt die Funktion des BSI als zentrale Meldestelle für Informationssicherheit. Das BSI 
soll daher Informationen zu Sicherheitslücken, Schadprogrammen und IT-Sicherheitsvorfällen 
zentral sammeln und auswerten. „Es kanalisiert damit den Informationsaustausch zu Sicherheitslücken
 und Sicherheitsvorkehrungen. Dabei ist die Aufzählung nach § 4 Abs. 2 Nr. 1 nicht abschließend
, wie sich aus dem Wort „insbesondere“ ergibt. Über die einschlägigen Informationen 

                                     

3 Buchberger, in: Schenke/Graulich/Ruthig/Buchberger, 2. Auflage 2019, BSIG, § 2 Rn. 5. 

4 Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik, Gesetzentwurf der Bundesregierung
 vom 16.02.2009, BT-Drs. 16/11967, S. 11, 
http://dip21.bundestag.de/dip21/btd/16/119/1611967.pdf  
(Fettungen durch Verf.)  

5 Buchberger, in: Schenke/Graulich/Ruthig/Buchberger, 2. Auflage 2019, BSIG, § 5 Rn. 48. 

6 Beschlussempfehlung und Bericht des Innenausschusses zu dem Gesetzentwurf der Bundesregierung vom 
29.05.2009, BT-Drs. 16/13259, S. 7. 
http://dipbt.bundestag.de/dip21/btd/16/132/1613259.pdf  



 
 
 

 

 

 

Wissenschaftliche Dienste Sachstand 
WD 8 - 3000 - 014/2019 

Seite 6 

muss es andere Bundesbehörden unterrichten, etwa über Informationen in Bezug auf bestimmte 
Software, die von neu entdeckten Sicherheitslücken betroffen ist oder auch Sicherheitslücken, 
die noch nicht geschlossen worden sind. Insoweit ist dem BSI – anders als in § 7 – kein Ermessen
 eingeräumt. Vielmehr ist die Informationspflicht gegenüber den Bundesbehörden ebenso wie 
die Pflicht nach § 4 Abs. 2 Nr. 1 zwingend zu erfüllen. Gegenüber anderen Behörden und sowie 
Herstellern, Anwendern und sonstigen Dritten besteht diese Verpflichtung nicht. 

Der Verpflichtung nach Abs. 2 korrespondiert die Verpflichtung anderer Bundesbehörden, das 
Bundesamt entsprechend über ihrerseits gewonnene Erkenntnisse nach Abs. 2 Nr. 1 zu unterrichten
. Auf diese Weise wird die Datenbasis des BSI verbreitert, was die zentrale Auswertung und 
Aufbereitung sowie die Verteilung der IT-Sicherheitsinformationen an die anderen Bundesbehörden
 ermöglicht. Einzelheiten dazu regelt die Allgemeine Verwaltungsvorschrift7, die aufgrund 
von § 4 Abs. 6 erlassen wurde.“8 

Von der Unterrichtungspflicht ausgenommen sind die nach § 4 Abs. 2 Nr. 2 und Abs. 3 genannten
 nicht übermittlungsfähigen Informationen. In dem Gesetzentwurf der Bundesregierung heißt 
es hierzu: 

„Die Übermittlung und Weitergabe von eingestuften Informationen an das BSI durch die Nachrichtendienste
 des Bundes richtet sich nach dem Bundesverfassungsschutzgesetz, dem MAD-Gesetz
 und dem BND-Gesetz. Dort bestehende Übermittlungsvorschriften können einer Übermittlung
 von Informationen im Sinne von § 4 Absatz 2 Satz 2 Nummer 1 an das BSI entgegenstehen. 
Stellen, denen kraft Verfassung oder Gesetzes eine besondere Unabhängigkeit zukommt, wie 
dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit oder den Verfassungsorganen
 Bundestag, Bundesrat und dem Bundespräsidenten, sind von der Unterrichtungspflicht
 ausgenommen, wenn eine Übermittlung im Widerspruch zu dieser Unabhängigkeit stehen
 würde.“9 

„Gleiches gilt darüber hinaus für Informationen, durch deren Weitergabe die verfassungsrechtliche
 Stellung oder Unabhängigkeit eines Abgeordneten des Bundestages (…) beeinträchtigt werden
 könnte. (…).“10 

Auch in der soeben erwähnten Verwaltungsvorschrift über das Meldeverfahren gemäß § 4 Abs. 6 
BSIG legt § 3 Abs. 1 der Verwaltungsvorschrift nochmals fest, dass alle Bundesbehörden melde-

                                     

7 Allgemeine Verwaltungsvorschrift über das Meldeverfahren gemäß § 4 Abs. 6 BSIG, abrufbar unter: 
http://www.verwaltungsvorschriften-im-internet.de/bsvwvbund_08122009_IT5606000111.htm  
(zuletzt aufgerufen am 07.02.2019) 

8 Buchberger, in: Schenke/Graulich/Ruthig/Buchberger, 2. Auflage 2019, BSIG, § 4 Rn. 2 f. 

9 Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik, Gesetzentwurf der Bundesregierung
 vom 16.02.2009, BT-Drs. 16/11967, S. 13, 
http://dip21.bundestag.de/dip21/btd/16/119/1611967.pdf  
(Fettungen durch Verf.)  

10 Buchberger, in: Schenke/Graulich/Ruthig/Buchberger, 2. Auflage 2019, BSIG, § 4 Rn. 4. 



 
 
 

 

 

 

Wissenschaftliche Dienste Sachstand 
WD 8 - 3000 - 014/2019 

Seite 7 

pflichtig sind. Stellen, denen Kraft Verfassung oder Gesetz eine besondere Unabhängigkeit zukommt
, wie u. a. den Verfassungsorganen Bundestag, Bundesrat und dem Bundespräsidenten 
sind von der Meldepflicht ausgenommen, wenn eine Übermittlung im Widerspruch zu dieser 
Unabhängigkeit stehen würde. Nicht meldepflichtige Stellen des Bundes können sich freiwillig 
an dem Verfahren beteiligen und an das BSI melden. 

So auch das BSI in seiner jüngst veröffentlichten Pressemitteilung: „Das BSI ist zuständig für den 
operativen Schutz der Regierungsnetze. Für die Absicherung parteilicher oder privater Kommunikation
 von Mandatsträgern kann das BSI nur beratend und auf Anfrage unterstützend tätig 
werden.“11 

4. Politischer Diskurs über die Unabhängigkeit des BSI 

Die fehlende Unabhängigkeit des Bundesamts war bereits mehrmals Gegenstand für Forderungen 
nach einer Herauslösung des BSI aus dem Geschäftsbereich des BMI. Dementsprechend wurde 
die Bundesregierung in einem Antrag der Abgeordneten Dr. Konstantin von Notz, u. a. zu Folgendem
 aufgefordert: 

„Koordination und klare Zuständigkeit: Die Verantwortung für IT-Sicherheit muss aus dem Bundesministerium
 des Innern, für Bau und Heimat herausgelöst werden, um den effektiven Grundrechtschutz
 zu stärken. Zudem müssen klare Zuständigkeiten innerhalb der Bundesregierung benannt
 werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird – zumindest 
im Rahmen seiner Aufgaben gegenüber Wirtschaft und Zivilgesellschaf[t] – unabhängig gestellt 
und in seiner Beratungsfunktion gegenüber Bürgerinnen und Bürgern wie Unternehmen gestärkt. 
Eine gesonderte Bund und Länder übergreifende unabhängige Institution muss für die Sicherheit 
des elektronischen Rechtsverkehrs einschließlich des besonderen elektronischen Anwaltspostfaches
 zuständig sein, um Gefahren für das Justizsystem entgegenzuwirken. Die rechtliche Grundlage
 und der Aufgabenzuschnitt für die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich
“ (ZITIS) sind kritisch zu überprüfen und eine grundrechtlich orientierte gesetzliche Regelung
 vorzulegen.“12 

Ebenso richtete sich eine Kleine Anfrage zum Thema „Cybersicherheit“ an die Bundesregierung, 
in der nach der Position der Bundesregierung hinsichtlich der Vorschläge auf Herauslösung des 
BSI aus dem BMI gefragt wurde. In der dazugehörigen Antwort heißt es dazu: 

                                     

11 Pressemitteilung vom 05.01.2019, „Update: Unbefugte Veröffentlichung von persönlichen Daten und Dokumenten
 im Internet“, abrufbar unter https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Update_Unbefugte
_Veroeffentlichung_persoenlicher_Daten_und_Dokumente_050119.html 
(zuletzt aufgerufen am 07.02.2019) 
(Fettungen durch Verf.) 

12 IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern. Antrag der Abgeordneten Dr. Konstantin von Notz, Tabea
 Rößner, Kerstin Andreae, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN vom 
21.03.2018, BT-Drs. 19/1328, S. 3, 
http://dipbt.bundestag.de/dip21/btd/19/013/1901328.pdf 



 
 
 

 

 

 

Wissenschaftliche Dienste Sachstand 
WD 8 - 3000 - 014/2019 

Seite 8 

„Die Bundesregierung verfolgt keine Pläne, das Bundesamt für Sicherheit in der Informationstechnik
 (BSI) aus dem Geschäftsbereich des Bundesministeriums des Innern herauszulösen. Die 
Beibehaltung der bisherigen organisatorischen Struktur des BSI ist im Interesse einer effizienten 
Steuerung und Koordination der Zusammenarbeit mit anderen Sicherheitsbehörden zur Gewährleistung
 von Cyber-Sicherheit geboten. Darüber hinaus ist insbesondere eine organisatorische 
Stärkung des BSI zur Verbesserung der Cyber-Sicherheit der öffentlichen Verwaltung wie auch 
der Wirtschaft und Bürger geboten.“13 

Solange das BSI damit nicht als eine „unabhängige“ Bundesbehörde agiert, erscheint eine über 
die in § 5 Abs. 10 BSIG statuierte Berichterstattung des BSI an den Innenausschuss des Deutschen
 Bundestags hinausgehende Tätigkeit nicht realisierbar. Hierfür wäre eine organisatorische 
und vor allem rechtliche Umstrukturierung erforderlich.14 

 

*** 

                                     

13 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Stephan Thomae, Jimmy Schulz, Manuel 
Höferlin, weiterer Abgeordneter und der Fraktion der FDP vom 24.05.2018, BT-Drs. 19/2307, S. 4, 
http://dipbt.bundestag.de/doc/btd/19/023/1902307.pdf  

14 VDI Nachrichten (2015), „Bundesamt BSI im Interessenkonflikt“, https://www.vdi-nachrichten.com/Technik-
Gesellschaft/Bundesamt-BSI-im-Interessenkonflikt 
(zuletzt aufgerufen am 07.02.2019)