Untersucht wurden vom Rechnungshof (RH) das Finanzministerium, das Ministerium für Klimaschutz sowie das Landwirtschaftsministerium.

Rechnungshof ortet IT-Sicherheitsrisiken in Ministerien

Ein am Freitag herausgegebener Bericht des RH zeigt auf, dass insbesondere durch die Verlagerung von Arbeitsstellen, beispielsweise nach Wahlen oder bei Änderungen in der Regierungszusammensetzung, Lücken entstanden sind. Weiterhin bemängeln die Prüfer teilweise unzureichende und überholte IT-Sicherheitskonzepte der Ministerien und schlagen eine Aktualisierung vor.

"Die öffentliche Verwaltung war in den vergangenen Jahren vermehrt von IT-Sicherheitsvorfällen betroffen", hält der Rechnungshof fest. Allein im ersten Quartal 2023 kam es zu mehr als 50 Sicherheitsvorfällen im Cyber-Bereich, fünf davon waren schwerwiegend. Auch die drei Ministerien waren im überprüften Zeitraum von IT-Sicherheitsvorfällen betroffen.

Verschiebungen von Kompetenzen zwischen Ministerien "kritisch für die durchgängige Gewährleistung der IT-Sicherheit"

Im überprüften Zeitraum haben sich die Kompetenzen zwischen den Bundesministerien mehrmals verschoben. Mit diesen Verschiebungen gingen auch Übertragungen von den jeweils zuständigen Organisationseinheiten und Bediensteten sowie deren IT-Arbeitsplätzen einher. Diese Migrationsprozesse dauerten bei den drei überprüften Stellen bis zu einem Jahr. Dieser Zeitraum sei "kritisch für die durchgängige Gewährleistung der IT-Sicherheit".

Der Rechnungshof stellt in seinem Bericht auch diesem Zusammenhang fest, dass das Bundesministeriengesetz zwar die Kompetenz für die Koordination der IT festlegte, es aber die Aspekte der Koordination der IT-Sicherheit nicht ausdrücklich erwähnte. Er empfiehlt dem seit Mai 2024 auch für Digitalisierungsangelegenheiten zuständigen Bundeskanzleramt, eine Regierungsvorlage zu erarbeiten, mit der im Bundesministeriengesetz eine Kompetenz zur Koordination der IT-Sicherheit klar und ausdrücklich festgelegt wird.

Rechnungshof empfiehlt Erarbeitung von IT-Sicherheitsstrategien

Im Bericht empfehlen die Prüferinnen und Prüfer auch eine Überarbeitung der IT-Sicherheitsstrategien, klare Zuständigkeiten in den IT-Abteilungen, mehr Awareness-Schulungen für das Personal und teils umfangreichere IT-Sicherheitsprüfungen. Zwar erkennt der Rechnungshof an, dass das Finanzministerium durch Zertifizierungen und zahlreiche Sicherheitsüberprüfungen Sicherheitsrisiken in einem hohen Ausmaß aufdecken, analysieren und reduzieren konnte. Kritik gibt es aber an den beiden anderen Ressorts. Dem Landwirtschafts- und dem Klimaschutzministerium empfiehlt der Rechnungshof daher, den Bedarf an IT-Sicherheitsüberprüfungen mittels umfassender Risikoanalyse zu erheben sowie die notwendigen IT-Sicherheitsüberprüfungen durchzuführen.

(APA/Red)