APA/APA/THEMENBILD/ROLAND SCHLAGER

Rechnungshof kritisiert IT-Sicherheitsrisiken in Ministerien

Der Rechnungshof (RH) ortet Sicherheitsrisiken in der IT von Regierungsressorts. Geprüft wurden Finanz-, Klimaschutz- und Landwirtschaftsministerium. In einem am Freitag veröffentlichten Bericht hält der RH fest, dass es vor allem zu Lücken nach der Verschiebung von Arbeitsplätzen gekommen sei, etwa nach Wahlen oder Regierungsumbildungen. Zudem kritisieren die Prüfer teils unvollständige und veraltete IT-Sicherheitsstrategien der Ministerien und empfehlen eine Überarbeitung.

"Die öffentliche Verwaltung war in den vergangenen Jahren vermehrt von IT-Sicherheitsvorfällen betroffen", hält der Rechnungshof fest. Allein im ersten Quartal 2023 kam es zu mehr als 50 Sicherheitsvorfällen im Cyber-Bereich, fünf davon waren schwerwiegend. Auch die drei Ministerien waren im überprüften Zeitraum von IT-Sicherheitsvorfällen betroffen.

Im überprüften Zeitraum haben sich die Kompetenzen zwischen den Bundesministerien mehrmals verschoben. Mit diesen Verschiebungen gingen auch Übertragungen von den jeweils zuständigen Organisationseinheiten und Bediensteten sowie deren IT-Arbeitsplätzen einher. Diese Migrationsprozesse dauerten bei den drei überprüften Stellen bis zu einem Jahr. Dieser Zeitraum sei "kritisch für die durchgängige Gewährleistung der IT-Sicherheit".

Der Rechnungshof stellt in seinem Bericht auch diesem Zusammenhang fest, dass das Bundesministeriengesetz zwar die Kompetenz für die Koordination der IT festlegte, es aber die Aspekte der Koordination der IT-Sicherheit nicht ausdrücklich erwähnte. Er empfiehlt dem seit Mai 2024 auch für Digitalisierungsangelegenheiten zuständigen Bundeskanzleramt, eine Regierungsvorlage zu erarbeiten, mit der im Bundesministeriengesetz eine Kompetenz zur Koordination der IT-Sicherheit klar und ausdrücklich festgelegt wird.

Im Bericht empfehlen die Prüferinnen und Prüfer auch eine Überarbeitung der IT-Sicherheitsstrategien, klare Zuständigkeiten in den IT-Abteilungen, mehr Awareness-Schulungen für das Personal und teils umfangreichere IT-Sicherheitsprüfungen. Zwar erkennt der Rechnungshof an, dass das Finanzministerium durch Zertifizierungen und zahlreiche Sicherheitsüberprüfungen Sicherheitsrisiken in einem hohen Ausmaß aufdecken, analysieren und reduzieren konnte. Kritik gibt es aber an den beiden anderen Ressorts.

Dem Landwirtschafts- und dem Klimaschutzministerium empfiehlt der Rechnungshof daher, den Bedarf an IT-Sicherheitsüberprüfungen mittels umfassender Risikoanalyse zu erheben sowie die notwendigen IT-Sicherheitsüberprüfungen durchzuführen.

ribbon Zusammenfassung
  • Der Rechnungshof hat Sicherheitsrisiken in der IT von Regierungsressorts festgestellt, darunter im Finanz-, Klimaschutz- und Landwirtschaftsministerium.
  • Im ersten Quartal 2023 wurden über 50 Sicherheitsvorfälle im Cyber-Bereich registriert, fünf davon waren schwerwiegend.
  • Der Rechnungshof empfiehlt eine klare Festlegung der Kompetenzen zur Koordination der IT-Sicherheit im Bundesministeriengesetz.