APA/APA/THEMENBILD/HELMUT FOHRINGER

RH sieht weiter Mängel bei Cybersicherheit

Der Rechnungshof (RH) sieht in einer sogenannten Follow-up-Prüfung seine in einem Bericht aus dem Jahr 2022 gegebenen Empfehlungen in Sachen Cybersicherheit im Bundeskanzleramt und Innenministerium nur teilweise umgesetzt. Dem Prüforgan fehlt etwa weiterhin die Einrichtung einer staatlichen Cyber-Sicherheitsleitstelle oder die Schaffung eines Cyber-Einsatzteams. Weiter vermisst der RH auch einen Gesamtüberblick über die wichtigsten Dienste des Bundes.

Laut Bundesministeriengesetz ist das Bundeskanzleramt u.a. für die Koordination der gesamten Verwaltung des Bundes und laut Netz- und Informationssystemsicherheitsgesetz (NISG) der Bundeskanzler für den Betrieb des Computer-Notfallteams der öffentlichen Verwaltung (GovCERT) zuständig, heißt es in dem Bericht. Mangels Gesamtüberblick konnte die Information über die wichtigen Dienste weder im Inneren Kreis der Operativen Koordinierungsstruktur und im Computer-Notfallteam der öffentlichen Verwaltung noch in den Krisen-, Kontinuitäts- und Einsatzplänen für das Cyber-Krisenmanagement berücksichtigt werden.

Weiter urgiert der Rechnungshof eine staatliche Cyber-Sicherheitsleitstelle mit Einsatzzentrale, in der das Cyber-Einsatzteam integriert werden sollte. Letzteres wäre in Abstimmung mit dem in der Landesverteidigung geplanten Cyber-Einsatzteam zu schaffen. Auch brauche es eine staatliche Cyber-Sicherheitsleitstelle mit Einsatzzentrale. Zudem sollte in Erwägung gezogen werden, die Aufgaben des Computer-Notfallteams der öffentlichen Verwaltung langfristig durch Bedienstete des Bundes zu erbringen, heißt es in dem Bericht.

Wie der Rechnungshof festhielt setzte das Bundeskanzleramt von acht überprüften Empfehlungen des Vorberichts zwei um, zwei teilweise und vier nicht, das Innenministerium wiederum führte von neun überprüften Empfehlungen des Vorberichts drei aus, drei teilweise und drei nicht. Der Prüfungszeitraum lief von September bis November 2023. Überprüft wurde der Stand der Umsetzung von Empfehlungen des Vorberichts "Koordination der Cyber-Sicherheit" aus dem Jahr 2022.

ribbon Zusammenfassung
  • Der Rechnungshof kritisiert die unzureichende Umsetzung seiner Empfehlungen zur Cybersicherheit im Bundeskanzleramt und Innenministerium. Von den acht Empfehlungen des Bundeskanzleramts wurden zwei umgesetzt, zwei teilweise und vier nicht.
  • Es fehlt weiterhin an einer staatlichen Cyber-Sicherheitsleitstelle und einem Cyber-Einsatzteam, die für ein effektives Cyber-Krisenmanagement notwendig wären. Auch ein Gesamtüberblick über die wichtigsten Dienste des Bundes fehlt.
  • Der Prüfungszeitraum für die Follow-up-Prüfung war von September bis November 2023. Der RH schlägt vor, dass das Computer-Notfallteam der öffentlichen Verwaltung langfristig von Bundesbediensteten betrieben werden sollte.