Der IT-Experte Manuel Atug kritisiert, dass "wir im Jahr 2023 immer noch die kritische Infrastruktur im Sektor Staat und Verwaltung zwar bundesweit definiert haben, es aber keine Maßnahmen als Anforderung gibt, dass man eben Sicherheitsmaßnahmen im Cyberraum umsetzen soll für Staat und Verwaltung." Kommunen und Polizei seien in diesem Sektor teilweise nicht einmal definiert, so Manuel Atug, der die "AG Kritis" mitgegründet hat, in der sich Experten mit IT-Sicherheit und kritischer Infrastruktur befassen.

Grund der Angreifbarkeit ist für Atug auch, dass niemand die Verantwortung übernehme. "Wir haben in Deutschland weit über 80 verschiedene Behörden, Institutionen, Sub-GmbHs oder Sicherheitsinstitutionierungen, die da irgendwie im Cyber-Wimmelbild der Verantwortungsdiffusion mitwirken wollen und überall schreien 'Hier, wir müssen beteiligt und involviert werden!', aber sobald es um die Verantwortung geht, ist plötzlich eine Staubwolke [da] und alle sind verschwunden."

Datenpakete im Netz machten aber keinen Halt vor einer Compliance-Abgrenzung, einem Bundesland, einem Ministerium oder einem "altbackenen System". Da sei es auch egal, wie alt die Angreifer seien, und ob sie aus Hessen, Russland oder Timbuktu kämen.