Das geht aus einem vertraulichen Bericht hervor, über den das Handelsblatt am Donnerstag (19.2.2026) berichtet. Die Prüfer sprechen von strategischen Versäumnissen und fehlenden klaren Zuständigkeiten.
Betroffen ist eine Gesellschaft, die mehr als 13.000 Kilometer Bundesautobahnen über digitale Systeme steuert. Dazu zählen Verkehrsbeeinflussungsanlagen, Leitstellen und Tunnelzentralen. Ein erfolgreicher Angriff könnte Anzeigen manipulieren oder zentrale Steuerungssysteme beeinträchtigen.
Die bundeseigene Autobahn GmbH des Bundes ist Betreiberin einer kritischen Infrastruktur. In einer militärischen Krise wären funktionierende Fernstraßen für den Transport von Personal und Material von zentraler Bedeutung.
Strategische Versäumnisse bei der IT-Ausrichtung
In dem Bericht des Bundesrechnungshofs heißt es laut Handelsblatt, die Gesellschaft habe "wesentliche Aspekte entsprechender Entscheidungen wie Informations- und Cybersicherheit, Souveränität und langfristige Wirtschaftlichkeit" nicht als strategisches Ziel berücksichtigt. Angesichts der veränderten Sicherheitslage seit dem russischen Angriff auf die Ukraine wiege dies besonders schwer.
Kritisiert wird zudem, dass nicht geprüft worden sei, ob erhöhte IT-Sicherheitsanforderungen Auswirkungen auf die IT-Strategie hatten. Eine übergreifende Gesamtverantwortung fehle weiterhin.
Keine zentrale IT-Gesamtverantwortung
"Die Autobahn GmbH hat keiner Organisationseinheit die zentrale Gesamtverantwortung für die IT zugewiesen", zitiert das Handelsblatt aus dem Bericht. Stattdessen seien "drei unterschiedliche Geschäftsführungen" zuständig gewesen.
Hinweise externer Prüfer und der internen Revision seien nach Darstellung des Rechnungshofs nicht konsequent umgesetzt worden. "Stattdessen überließ sie es den jeweiligen Niederlassungen, diese zu beheben", heißt es weiter.
Parteipolitische Reaktionen
Die Vorwürfe haben parteiübergreifend Reaktionen ausgelöst. Marc Henrichmann (CDU), Vorsitzender des Parlamentarischen Kontrollgremiums, sprach von einem "Warnschuss". "Cybersicherheit ist eine Frage unserer nationalen Resilienz", sagte Marc Henrichmann dem Handelsblatt. Es brauche klare Zuständigkeiten und eine strategische Gesamtverantwortung.
Auch Johannes Schätzl (SPD) äußerte sich kritisch. "Die veröffentlichten Details aus dem Bericht des Bundesrechnungshofs sind besorgniserregend", sagte Johannes Schätzl dem Blatt. Schwerwiegende Defizite bei einer bundeseigenen Gesellschaft seien "nicht hinnehmbar und müssen umfassend, strukturell und praktisch aufgearbeitet werden".
Konstantin von Notz (Bündnis 90/Die Grünen) verwies auf die anhaltend hohe Bedrohungslage. "Wir erleben weiterhin beinahe täglich sehr ernste Angriffe auf unsere kritischen Infrastrukturen", sagte Konstantin von Notz der Zeitung. Alle Verantwortlichen seien gefordert, die Auswirkungen möglicher Angriffe zu begrenzen.
Vergleichbare Risiken im Verkehrssektor
Der Verkehrssektor gilt als besonders anfällig für Cyberangriffe. Als Beispiel wird auf eine jüngste Attacke auf die Deutsche Bahn verwiesen, bei der es sich nach Unternehmensangaben um einen sogenannten DDoS-Angriff handelte. Dabei werden Systeme durch eine Vielzahl gleichzeitiger Anfragen überlastet.
Im Fall der Bahn waren Auskunfts- und Buchungssysteme zeitweise beeinträchtigt. Kundendaten seien nicht abgeflossen. Der Vorfall verdeutlicht jedoch die Abhängigkeit zentraler Infrastrukturen von funktionierender IT.
Der Bericht des Rechnungshofs reiht sich in eine breitere Debatte über die Sicherheitsarchitektur des Bundes ein. Bereits in früheren Prüfungen hatte die Behörde strukturelle Defizite und unklare Zuständigkeiten im Bereich der Cybersicherheit beanstandet.
Politische Forderungen nach Gesamtstrategie
Von Notz kritisierte zudem die Bundesregierung. Kanzler Friedrich Merz (CDU) habe eine Gesamtstrategie gegen hybride Bedrohungen angekündigt. Ein umfassendes Lagebild liege jedoch weiterhin nicht vor. Dem zuständigen Innenminister Alexander Dobrindt (CSU) warf er eine "Verweigerungshaltung" vor.
Im Raum steht die Forderung nach klaren IT-Zuständigkeiten, einheitlichen Standards und einer stärkeren Einbindung des Bundesamts für Sicherheit in der Informationstechnik. Die Autobahn GmbH selbst hat nach Angaben des Handelsblatts eine Überarbeitung ihrer IT-Strategie angekündigt. Eine neue Gesamtstrategie liegt bisher nicht vor.
Anm. d. Red.: Bei dem Aufmacherbild handelt es sich um eine fiktive Schilder-Darstellung auf einer realen Schilderbrücke. Sie dient ausschließlich zur Illustration.
