Die Digitalisierung der Verwaltung ist von Bund, Ländern und Kommunen als wichtiges politisches Ziel identifiziert worden. Als Cyber-Sicherheitsbehörde des Bundes leistet das BSI einen wichtigen Beitrag zur Erreichung dieses Ziels, denn Informationssicherheit ist auch hier ein wesentlicher Erfolgsfaktor.

Die Erhöhung der Informationssicherheit und der Schutz der IT-Systeme der Bundesverwaltung gehören zu den Kernaufgaben des BSI als der Cyber-Sicherheitsbehörde des Bundes. Im Rahmen des Nationalen Verbindungswesens steht das BSI auch Behörden der Länder und Kommunen bei Bedarf unterstützend zur Seite. Neben dem Schutz der Regierungsnetze und der Abwehr von Cyber-Angriffen umfassen die Dienstleistungen des BSI für den Bund unter anderem die IT-Sicherheitsberatung von Behörden und Institutionen, die Etablierung von Mindeststandards, die Bereitstellung und Zulassung von VS- und IT-Sicherheitsprodukten, die Durchführung von Penetrationstests und Webchecks, sowie die Unterstützung von Behörden bei der Umsetzung des Onlinezugangsgesetzes (OZG).
Mit der im Dezember 2020 vom IT-Rat beschlossenen „Informationssicherheitsrichtlinie IT-Konsolidierung Bund“ wurde die Funktion eines „Informationssicherheitsbeauftragten für die IT-Konsolidierung Bund“ geschaffen, die durch das BSI gestellt wird. Durch die neue Richtlinie ist die sichere Gestaltung der Digitalisierung in der Bundesverwaltung einen wesentlichen Schritt vorangekommen, denn die IT-Konsolidierung ist eines der wichtigsten Digitalisierungsprojekte des Bundes und erfordert ein entsprechend leistungsfähiges Informationssicherheitsmanagement.

Zum Schutz der Regierungsnetze und IT-Systeme des Bundes vor Cyber-Angriffen betreibt das BSI das „Bundes Security Operations Center“ (BSOC), das unter anderem Dienstleistungen zur Erfassung und Auswertung von Protokollierungs- und Sensordaten sowie zur Erkennung und Abwehr von Schadsoftware umfasst. Das Nationale IT-Lagezentrum des BSI beobachtet und bewertet die aktuelle IT-Sicherheitslage und leitet bei Bedarf die Bewältigung von IT-Sicherheitsvorfällen ein. Regelmäßige Lageberichte und Warnungen vor aktuellen Cyber-Gefahren stellt das BSI verschiedenen Zielgruppen innerhalb und außerhalb der Bundesverwaltung zur Verfügung. Die Bewältigung von Cyber-Sicherheitsvorfällen erfolgt gemeinsam durch CERT-Bund, die mobilen Einsatzteams des BSI (MIRT) sowie die unterschiedlich passenden technischen Analysten.

Auf der Grundlage des § 8 Abs. 1 BSIG erarbeitet das BSI Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Dadurch kann ein einheitliches Mindestsicherheitsniveau mit effektiven Maßnahmen zur Abwehr von Cyber-Angriffen innerhalb der heterogenen Behördenlandschaft etabliert werden.

Die IT-Sicherheitsberatung des BSI ist die zentrale Anlaufstelle zur Beratung und Unterstützung bei Fragen zur Informationssicherheit sowie zum materiellen und IT-Geheimschutz. Darüber hinaus gehört auch die Durchführung von Schulungen und Workshops zu den Aufgaben der Sicherheitsberatung.

IT-Sicherheitsprodukte, die für die Verarbeitung, Übertragung und Speicherung von amtlich geheim gehaltenen Informationen (Verschlusssachen, VS) eingesetzt werden, bedürfen nach den Vorgaben der Verschlusssachenanweisung (VSA) einer Zulassung durch das BSI. Im Rahmen der Zulassung werden IT-Sicherheitsprodukte geprüft und eine verbindliche Aussage zur Stärke der umgesetzten Sicherheitsfunktionen getroffen. Der Antrag auf Zulassung eines IT-Sicherheitsproduktes kann grundsätzlich nur von einem bundesbehördlichen Anwender (Bedarfsträger) gestellt werden.

Um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer Web-Anwendung festzustellen, bietet das BSI vorrangig Bundesbehörden die Durchführung von Penetrationstests und Webchecks an. Sie dienen dazu, die Erfolgsaussichten eines vorsätzlichen Angriffs einzuschätzen und dadurch die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen sowie weitere notwendige Sicherheitsmaßnahmen abzuleiten.

Das 2017 in Kraft getretene Onlinezugangsgesetz verpflichtet Behörden von Bund, Ländern und Kommunen, ihre Verwaltungsleistungen auch elektronisch über einen Verbund von Verwaltungsportalen anzubieten. Um Bürger und Unternehmen sicher identifizieren und authentifizieren zu können, stellen Bund und Länder dazu Nutzerkonten bereit. Das BSI macht in seinen Technischen Richtlinien Vorgaben, wie diese Nutzerkonten interoperabel genutzt werden können, und definiert die erforderlichen Vertrauensniveaus auf Basis der eIDAS-Verordnung der EU, denen Behörden ihre Verwaltungsleistungen zuordnen müssen.