Der Rechnungshof (RH) ortet Sicherheitsrisiken in der IT von Regierungsressorts. Geprüft wurden Finanz-, Klimaschutz- und Landwirtschaftsministerium. In einem am Freitag veröffentlichten Bericht hält der RH fest, dass es vor allem zu Lücken nach der Verschiebung von Arbeitsplätzen gekommen sei, etwa nach Wahlen oder Regierungsumbildungen. Zudem kritisieren die Prüfer teils unvollständige und veraltete IT-Sicherheitsstrategien der Ministerien und empfehlen eine Überarbeitung.
„Die öffentliche Verwaltung war in den vergangenen Jahren vermehrt von IT-Sicherheitsvorfällen betroffen“, hält der Rechnungshof fest. Allein im ersten Quartal 2023 kam es zu mehr als 50 Sicherheitsvorfällen im Cyberbereich, fünf davon waren schwerwiegend. Auch die drei Ministerien waren im überprüften Zeitraum von IT-Sicherheitsvorfällen betroffen.
Rechnungshof empfiehlt klare Regelung von Zuständigkeiten
Im überprüften Zeitraum haben sich die Kompetenzen zwischen den Bundesministerien mehrmals verschoben. Mit diesen Verschiebungen gingen auch Übertragungen von den jeweils zuständigen Organisationseinheiten und Bediensteten sowie deren IT-Arbeitsplätzen einher. Diese Migrationsprozesse dauerten bei den drei überprüften Stellen bis zu einem Jahr. Dieser Zeitraum sei „kritisch für die durchgängige Gewährleistung der IT-Sicherheit“.
Der Rechnungshof stellt in seinem Bericht aus diesem Zusammenhang fest, dass das Bundesministeriengesetz zwar die Kompetenz für die Koordination der IT festlegte, es aber die Aspekte der Koordination der IT-Sicherheit nicht ausdrücklich erwähnte. Er empfiehlt dem seit Mai 2024 auch für Digitalisierungsangelegenheiten zuständigen Bundeskanzleramt, eine Regierungsvorlage zu erarbeiten, mit der im Bundesministeriengesetz eine Kompetenz zur Koordination der IT-Sicherheit klar und ausdrücklich festgelegt wird.
Zuletzt wurde der Bereich Digitalisierung innerhalb der Regierung mehrfach zwischen den Ressorts verschoben, merkte kürzlich der auf Technologierecht spezialisiert Jurist Nikolaus Forgó von der Uni Wien gegenüber der Kleinen Zeitung an. Allein in dieser Legislaturperiode lagen die Digitalagenden zunächst im Wirtschaftsressort, übersiedelten dann zur Finanz mit einem eigenen Staatssekretär. Nach dem Wechsel Florian Turskys in die Innsbrucker Stadtpolitik wechselte die Digitalisierung ins Bundeskanzleramt zu Jugend-Staatssekretärin Claudia Plakolm – aber auch nur teilweise. Forgó formulierte es so: „Die Hardware ist im Finanzministerium geblieben, die Software nun im Kanzleramt.“
Schulungen und Überprüfungen nötig
Im Rechnungshofbericht empfehlen die Prüferinnen und Prüfer auch eine Überarbeitung der IT-Sicherheitsstrategien, klare Zuständigkeiten in den IT-Abteilungen, mehr Awareness-Schulungen für das Personal und teils umfangreichere IT-Sicherheitsprüfungen. Zwar erkennt der Rechnungshof an, dass das Finanzministerium durch Zertifizierungen und zahlreiche Sicherheitsüberprüfungen Sicherheitsrisiken in einem hohen Ausmaß aufdecken, analysieren und reduzieren konnte. Kritik gibt es aber an den beiden anderen Ressorts.
Dem Landwirtschafts- und dem Klimaschutzministerium empfiehlt der Rechnungshof daher, den Bedarf an IT-Sicherheitsüberprüfungen mittels umfassender Risikoanalyse zu erheben sowie die notwendigen IT-Sicherheitsüberprüfungen durchzuführen.