Das Meldeportal in der AWS-Cloud: Warum nur, BSI?

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Das neue Meldeportal des BSI ist da. Es ist als zentrale, gesetzlich vorgesehene Plattform gedacht: zur Registrierung von NIS2-Einrichtungen ebenso wie zur Entgegennahme, Verarbeitung und Koordination von Meldungen – sowohl von KRITIS-Unternehmen, die dazu verpflichtet sind, als auch von anderen Personen. Das Portal nimmt sensible Daten der kritischsten Unternehmen Deutschlands entgegen und ist für diesen Zweck obligatorisch einzusetzen.

Ein Kommentar von Tobias Glemser

Tobias Glemser ist BSI-zertifizierter Penetrationstester und Geschäftsführer der secuvera GmbH. Seit über 20 Jahren arbeitet er in der Cybersicherheit. Privat ist er unter anderem bei OWASP engagiert.

Die Security-Bubble schreit auf. Der Grund? Das Portal wird bei AWS betrieben. Platt gesagt: Nein, das ist kein Zeichen für die Stärkung der eigenen Digitalindustrie. Und damit auch keines für das, was viele unter nationaler digitaler Souveränität verstehen. Alternativen am deutschen Markt gibt es zuhauf. Sich wie BSI-Präsidentin Claudia Plattner gegenüber heise online auf „eine passende Infrastruktur mit Sicherheitseigenschaften nach dem Stand der Technik“ zurückzuziehen, greift zu kurz.

Rein formal ist alles sauber. Die Datenschutzerklärung des Portals ist transparent und ausführlich. Wenn dort aber steht „Dadurch kann es zu einer Übermittlung der IP-Adresse in die USA kommen“ und gleichzeitig freiwillige Meldungen „einfach und anonym“ erfolgen sollen, zucke ich innerlich zurück. Muss das wirklich sein? Ich denke nicht. Alternativen – siehe oben – gibt es doch.

Souverän oder autark

Der Fairness halber: Das BSI beziehungsweise seine Präsidentin unterscheidet schon seit Längerem zwischen „digital souverän“ und „digital autark“. Internationale Produkte sollen daher so eingebettet werden können, dass „Datenabfluss technisch unmöglich“ ist, wie Frau Plattner im BSI-Cybernation-Blog zur digitalen Souveränität schreibt. Das ist ein nachvollziehbarer Ansatz.

Warum im Falle des Portals nicht konsequent der erste Punkt der Doppelstrategie, den „EU-Markt und die eigene Digitalindustrie“ zu stärken, verfolgt wurde, bleibt bislang unkommentiert. Hier wünsche ich mir dringend einen Nachsatz bei dem zentralen und gesetzlich verpflichtenden Portal für KRITIS-Betreiber.

Auch technisch wirft die Umsetzung Fragen auf, selbst wenn eine Analyse naturgemäß nur eingeschränkt möglich ist. Warum etwa die security.txt nicht RFC-konform implementiert wurde – immerhin Stand der Technik, den das BSI in seinen FAQ für den Umgang mit Schwachstellen selbst empfiehlt –, erschließt sich mir nicht. Offensichtlich kommt zudem die Web Application Firewall (WAF) von AWS zum Einsatz.

„Datenabfluss technisch unmöglich“?

Üblicherweise terminiert eine WAF den verschlüsselten Datenstrom, damit sie den Inhalt analysieren kann. Auch die Vorfallsmeldung eines KRITIS-Unternehmens. Wie unter diesen Voraussetzungen sichergestellt wird, dass ein „Datenabfluss technisch unmöglich“ ist, interessiert mich als Informatiker brennend. Gleiches gilt für die Persistenz der Daten auf AWS und ihre Weiterverarbeitung in nachgelagerten Fachverfahren.

Das bestehende Portal MIP-2 wird übrigens von der Swiss IT Security Deutschland GmbH betrieben – immerhin in Schweizer Hand – und steht KRITIS-Betreibern „voraussichtlich sogar bis 31.12.2026“ zur Verfügung. Funfact am Rande: Im Zuge der Recherche für diese Zeilen habe ich eine klassische Webschwachstelle in MIP-2 gefunden. Gemeldet habe ich sie lieber PGP-verschlüsselt per E-Mail statt über das neue Portal. Nur wenn ich mich selbst darum kümmere, ist technisch sichergestellt, dass ein „Datenabfluss technisch unmöglich“ bleibt. Schade eigentlich.

Dieser Kommentar ist das Editorial zur neuen iX-Ausgabe 02/2026, die ab 22. Januar 2026 erhältlich ist.

(axk)