Eine Behörde, die wild in der Gegend herumhackt und -crackt, wird wohl weder zulässig noch zielführend sein.

Es gibt aber durchaus "analoge" Beispiele für unangekündigte staatliche Kontrollen für bestimmte Rechtsbereiche. Ob das nun die Kontrolldienste der Gesundheitsämter sind, die LKW-Kontrollen des Bundesamts für Güterverkehr, oder feuerpolizeiliche Kontrollen, oder die Kontrollen der Aufsichtsbehörden für Krankenhäuser und Pflegeeinrichtungen. Es wäre also durchaus denkbar, dem BSI oder einer anderen Behörde Kompetenzen zur Prüfung der Sicherheit und des ordnungsgemäßen Betriebs von EDV-Anlagen in Behörden und bestimmten kritischen Unternehmen zu übertragen. Dies setzt aber voraus, dass für diese Bereiche stringente Vorschriften über die notwendigen Schutzmaßnahmen bestehen.

Ich stehe dem Vorschlag - vor allem in der derzeitigen Fassung - neutral bis vorsichtig ablehnend gegenüber, aber ein durchaus ernstzunehmender Denkanstoß steckt schon darin.