Entsprechende Maßnahmen zur Verbesserung der Cyber-Sicherheit wurden empfohlen. Zwar wurde festgehalten, dass die zuständige Abteilung "MA 01" bereits zahlreiche Schritte in Sachen IT-Infrastruktur gesetzt hat, kritisiert wurde aber etwa, dass das Risikomanagement zum Teil dezentral organisiert ist. Auch Notfallpläne wurden vermisst.
RH empfahl Stadt Wien weitere IT-Sicherheitsmaßnahmen
23-01-2026, 14:36
In einem Prüfbericht hat der Rechnungshof Mängel beim IT-Risikomanagement der Stadt Wien festgestellt.
Die MA 01 ist laut Rechnungshof zentraler Dienstleister für die IKT-Services der Stadt und betreut - die Zahlen stammen aus dem Jahr 2024 - insgesamt 91.000 PCs und Notebooks sowie rund 10.000 Server. Der RH hob hervor, dass es zwar umfangreiche Regelungen zum Risikomanagement gebe, dieses aber zugleich in die Zuständigkeit der unterschiedlichen Dienststellen der Stadt fiel. Die Abteilungen sind laut dem Bericht zu wenig miteinander vernetzt.
Notfallplan urgiert
Ein Risikomanagement-Leitfaden stammte aus dem Jahr 2015 und wurde seither weder ergänzt noch aktualisiert. Die MA 01 selbst verwaltete ihre Risiken laut RH über ein eigenes Tool. Für einen Cyber-Angriff hatte die Abteilung eine Checkliste bei einem Befall von Schadsoftware erarbeitet. Ein Notfallplan, Leitfäden oder ähnliche Konzepte fehlten jedoch, wurde kritisiert. Laut einer Stellungnahme der MA 01 waren jedoch entsprechende Maßnahmen in Planung.
Als problematisch erachtete der Rechnungshof auch die Personalsituation in der Abteilung. Zwar gab es mehr als 1.100 Vollzeitstellen, gewarnt wurde jedoch angesichts der Altersstruktur der Mitarbeiterinnen und Mitarbeiter vor bevorstehenden Pensionierungen. Zugleich wurde festgehalten, dass die Stadt hier bereits Maßnahmen zur Deckung des künftigen Bedarfs getroffen hat.
Dass immer mehr Aufträge extern vergeben werden, stieß ebenfalls auf Kritik. Hier könnten "nachteilige Abhängigkeiten" von anderen Dienstleistern entstehen, befand der Rechnungshof.
Reaktion der Stadt Wien
Die Magistratsdirektion der Stadt Wien verwies in einer Reaktion darauf, dass eine der zentralen Empfehlungen des RH bereits umgesetzt sei, nämlich die Veröffentlichung eines Risikobildes. Zur Urgenz eines Notfallplanes verwies die Magistratsdirektion darauf, dass der RH selbst schreibe, die MA 01 verfüge "über 62 technische und fünf organisatorische Notfallpläne". Der Zugang der Wiener IT dazu laute: "Da es nicht den einen Cyberangriff gibt, gibt es auch nicht den einen Notfallplan." Die Stadt wies auch darauf hin, "dass es während des Prüfungszeitraums 2021 bis 2024 über einen relevanten Zeitraum eine Pandemie mit erheblichem und äußerst erfolgreichem IT-Einsatz gab".
(APA/Red)
