Pressemitteilung: Anzahl IT-Sicherheitsstellen im Bund stagniert erstmalig
Erstmals seit 2020 stagniert die Anzahl der IT-Sicherheitsstellen des Bundes: Gab es in den Vorjahren stets Zuwächse an Personalstellen im dreistelligen Bereich, sind seit Anfang 2025 lediglich 24 Stellen hinzugekommen, was einem Plus von 0,6 Prozent entspricht. Positiv hingegen hat sich der Anteil der besetzten IT-Sicherheitsstellen entwickelt. Lag dieser Anfang 2020 noch bei 74 Prozent, verbesserte er sich bis Anfang 2025 auf 85 Prozent und liegt aktuell bei 89 Prozent. Dieses Level erreichen jedoch nicht alle Ministerien. Neben dem neu gegründeten Digitalministerium, das noch 75 Prozent unbesetzte IT-Sicherheitsstellen aufweist, fällt das Gesundheitsministerium auf: Mit 54 Prozent unbesetzten Stellen schneidet es stark unterdurchschnittlich und unverändert so schlecht wie im Vorjahr ab. Die Informationen gehen aus einer parlamentarischen Anfrage an die Bundesregierung hervor. Dazu erklärt Donata Vogtschmidt, Obfrau im Digitalausschuss für die Linksfraktion und Sprecherin für Digitalpolitik und Cybersecurity:
„Ich stelle anerkennend fest, dass der Anteil unbesetzter IT-Sicherheitsstellen im Bund in den vergangenen Jahren schrittweise kleiner geworden ist. Vielleicht hat auch die seit 2020 regelmäßige parlamentarische Abfrage der dazugehörigen Daten durch die Linksfraktion und die hergestellte Transparenz einen Anteil an dieser positiven Entwicklung. Ein direkt positives Bild liefert die amtierende Bundesregierung jedoch nicht ab, denn erstmals seit 2020 stagniert die Gesamtzahl der IT-Sicherheitsstellen des Bundes. Das ist ein Problem, weil der Bund der Cyber-Bedrohungslage bisher keineswegs gerecht wurde und nach wie vor viel aufzuholen ist. Zudem hat Herr Dobrindt erst kürzlich zum BSI-Lagebericht 2025 festgestellt, dass unsere Angriffsfläche größer werde, die Gefährdung steige und die Schäden auch heute schon erkennbar deutlich ansteigend seien. Zudem identifiziert der Bericht vor allem die öffentliche Verwaltung als Angriffsziel. Nimmt man hinzu, dass allein zur Anwendung der NIS-2-Richtlinie hunderte neue Stellen allein beim Bund geschaffen werden müssen und mit der anstehenden Umsetzung weiterer Rechtsakte wie des Cyber Resilience Acts noch weitere benötigt werden, erscheint die Stagnation der IT-Sicherheitsstellen unverständlich und fahrlässig.
Während sich der hohe Anteil unbesetzter IT-Sicherheitsstellen beim BMDS mit der Gründung erst 2025 vielleicht noch rechtfertigen lässt, fehlt mir für das auffallend große Defizit im Gesundheitsministerium jedes Verständnis. Mehr als 50% der IT-Sicherheitsstellen sind dort unbesetzt. Das Problem ist seit Jahren bekannt und es gelingt offensichtlich nicht, etwas dagegen zu tun. Das passt leider zu den Sicherheitslücken der elektronischen Patientenakte, auf die das Ministerium zumindest indirekt Einfluss hat. Auch hier werden seit Jahren bekannte konzeptionelle Sicherheitsmängel einfach nicht behoben. Insgesamt bleibt hier der Eindruck, dass IT-Sicherheit beim BMG eine verstörend geringe Priorität hat. Die chronische Missachtung der IT-Sicherheit ist ausgerechnet beim Thema sensible Gesundheitsdaten und der Tatsache, dass die elektronische Patientenakte eines der größten IT-Projekte Deutschlands ist, völlig unverantwortlich auch seitens des BMG und erfordert endlich Konsequenzen.“
Hinweis: Vor etwa einem Jahr verbreitete Meldungen, es sei erstmalig zum Abbau von IT-Sicherheitsstellen im Bund gekommen, hatten sich als unzutreffend herausgestellt, nachdem die Bundesregierung nachträglich die gemeldeten Zahlen für die Jahre 2023 und 2024 korrigiert hatte. Der vorliegenden Meldung liegen diese korrigierten Daten zugrunde.