Bericht

Rechnungshof warnt vor IT-Sicherheitsrisiken in Ministerien

In der öffentlichen Verwaltung ist ein hohes Maß an IT-Sicherheit unverzichtbar, dennoch ortet der Rechnungshof (RH) Sicherheitsrisiken in der IT von Regierungsressorts. In einem Bericht, der am Freitag veröffentlicht wurde, hält der RH fest, dass besonders die Verschiebung von IT-Arbeitsplätzen nach Wahlen oder Regierungsumbildungen erhebliche Cyber-Sicherheitsrisiken birgt. Zudem kritisieren die Prüferinnen und Prüfer teils unvollständige und veraltete IT-Sicherheitsstrategien der Ministerien und empfehlen eine Überarbeitung. 

ÖSTERREICH. "Die öffentliche Verwaltung war in den vergangenen Jahren vermehrt von IT-Sicherheitsvorfällen betroffen. Allein im ersten Quartal 2023 kam es zu mehr als 50 Sicherheitsvorfällen im Cyber-Bereich, fünf davon waren schwerwiegend", hält der RH in seinem Bericht fest. Auch das Finanz-, Klimaschutz- sowie Landwirtschaftsministerium, die für den aktuellen Bericht überprüft wurden, waren im Zeitraum von 2018 bis 2022 von IT-Sicherheitsvorfällen betroffen. 

"Kritische Phase" dauert bis zu einem Jahr

Im überprüften Zeitraum haben sich die Kompetenzen zwischen den Bundesministerien mehrmals verschoben. Als Beispiel nennt der RH etwa die Kompetenz "Digitalisierung", die nach der Nationalratswahl vom Bundesministerium für Digitalisierung und Wirtschaftsstandort zunächst zum Bundesministerium für Finanzen wanderte. Ab Mai 2024 übernahm schließlich das Bundeskanzleramt diese Agenden. Mit diesen Verschiebungen gingen auch Übertragungen von den jeweils zuständigen Organisationseinheiten und Bediensteten sowie deren IT-Arbeitsplätzen einher. Diese Migrationsprozesse dauerten bei den drei überprüften Stellen bis zu einem Jahr. Dieser Zeitraum sei "kritisch für die durchgängige Gewährleistung der IT-Sicherheit", so die Prüferinnen und Prüfer. 

Der Rechnungshof stellt in seinem Bericht auch in diesem Zusammenhang fest, dass das Bundesministeriengesetz zwar die Kompetenz für die Koordination der IT festlegte, es aber die Aspekte der Koordination der IT-Sicherheit nicht ausdrücklich erwähnte. Er empfiehlt dem seit Mai 2024 auch für Digitalisierungsangelegenheiten zuständigen Bundeskanzleramt, eine Regierungsvorlage zu erarbeiten, mit der im Bundesministeriengesetz eine Kompetenz zur Koordination der IT-Sicherheit klar und ausdrücklich festgelegt wird.

Landwirtschafts- und Klimaministerium als Sorgenkinder

Verbesserungsbedarf sieht der Rechnungshof jeweils bei den IT-Sicherheitsstrategien der drei Ministerien. So sei in der Strategie des Finanzministeriums die Verantwortung der Ressortleitung für die IT-Sicherheit nicht ausdrücklich festgeschrieben worden. Die Strategie des Klimaschutzministeriums habe aus dem Jahr 2002 gestammt und somit nicht mehr den aktuellen Gegebenheiten entsprochen. Das Landwirtschaftsministerium habe keine intern kundgemachte, ressortweite Strategie erlassen. 

Zwar erkennt der Rechnungshof an, dass das Finanzministerium durch Zertifizierungen und zahlreiche Sicherheitsüberprüfungen Sicherheitsrisiken in einem hohen Ausmaß aufdecken, analysieren und reduzieren konnte. Kritik gibt es aber an den beiden anderen Ressorts. Dem Landwirtschafts- und dem Klimaschutzministerium empfiehlt der Rechnungshof daher, den Bedarf an IT-Sicherheitsüberprüfungen mittels umfassender Risikoanalyse zu erheben sowie die notwendigen IT-Sicherheitsüberprüfungen durchzuführen. 

Weitere Empfehlungen

Insgesamt sprechen sich die Prüferinnen und Prüfer in ihrem Bericht für eine Überarbeitung der IT-Sicherheitsstrategien der Bundesministerien, klare Zuständigkeiten in den IT-Abteilungen, mehr Awareness-Schulungen für das Personal und teils umfangreichere IT-Sicherheitsprüfungen aus. 

Das könnte dich auch interessieren: