Fehlendes Sicherheitsmanagement: Rechnungshof sieht IT-Sicherheit der Verwaltung gefährdet
Der Bundesrechnungshof sieht die Informationssicherheit bei der konsolidierten IT des Bundes gefährdet. Der Bundesregierung sei es bisher nicht gelungen, ein Informationssicherheitsmanagement (ISM) einzurichten, "das die Prozesse zur Informationssicherheit in der Bundesverwaltung miteinander verzahnt und auf die zentralisierte IT ausrichtet" , heißt es in einem vertraulichen Bericht der Rechnungsprüfer für den Haushaltsausschuss des Bundestages. Der Ausfall zentraler IT-Verfahren könne in einem Informationsverbund die Aufgabenerfüllung mehrerer Bundesbehörden beeinträchtigen.
Hintergrund des 16-seitigen Berichts, der Golem.de vorliegt, ist die sogenannte IT-Konsolidierung der Bundesbehörden, die der Rechnungshof seit Jahren kritisch begleitet . Die Bundesregierung hatte im Jahr 2015 die IT-Konsolidierung gestartet. Ursprünglich sollten bis Ende des Jahres 2022 die IT-Betriebe von Behörden der unmittelbaren Bundesverwaltung in wenigen Rechenzentren konzentriert werden, was als Betriebskonsolidierung Bund (BKB) bezeichnet wird. Darüber hinaus wollte die Regierung bis zum Jahr 2025 die ressortübergreifend nutzbaren IT-Lösungen vereinheitlichen, was unter dem Begriff Dienstekonsolidierung subsumiert wird.
"Attraktives Ziel für Cyberangriffe"
Nun sollen die IT-Betriebe bis zum Jahr 2028 konsolidiert sein, parallel dazu sollen die Behörden bis 2025 einheitliche Verfahren einführen. "Die zentralisierte IT stellt ein attraktives Ziel für Cyberangriffe dar" , warnt der Bundesrechnungshof. Denn ein Sicherheitsvorfall in einer Behörde könne sich schnell auf den ganzen Verbund auswirken und diesen gefährden.
Bereits Mitte 2017 beschloss die damalige Bundesregierung, die Anforderungen an die IT-Sicherheit in einer eigenen Richtlinie zu regeln. Diese wurde nach einigem Hin und Her im Dezember 2020 vom IT-Rat der Bundesregierung beschlossen. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte anschließend einen Informationssicherheitsbeauftragten (ISB) dafür ein. Anschließend sollten untergeordnete Dokumente erstellt werden.
Richtlinie soll überarbeitet werden
Doch im Juli 2022 beschlossen das Bundesinnenministerium und das Bundesfinanzministerium, die beide für die IT-Konsolidierung zuständig sind, die Richtlinie zu überarbeiten. Begründet wurde dies "mit der geringen Qualität der bisherigen Arbeitsergebnisse" . Offenbar mangelte es zum einen an qualifiziertem Personal, zum anderen hätten "die Zuständigkeit und ein entsprechender Prozess für die Qualitätssicherung gefehlt" . Die beiden Ministerien könnten nicht angeben, bis wann ein wirksames ISM für die IT des Bundes aufgebaut werde.
In einem Beschluss vom 19. April 2023 forderte der Haushaltsausschuss die Bundesregierung auf, bis Mitte Mai darzulegen, warum das ISM überarbeitet werden solle. Bis Ende Juni 2023 soll die Regierung erläutern, wie viel Personal und Geld für die Umsetzung des ISM erforderlich seien. Ebenfalls verlangen die Haushälter, "einen ambitionierten und realistischen Zeitplan für ein wirksames ISM" vorzulegen. Außerdem soll die Regierung sicherstellen, "dass, während die Dienste- und IT-Betriebskonsolidierung voranschreitet, die Informationssicherheit in der IT-K Bund fortlaufend überwacht wird" .
Risiken durch fehlende IPv6-Implementierung
In seinem jährlichen Fortschrittsbericht zur IT-Konsolidierung bescheinigte das Finanzministerium dem Haushaltsausschuss, dass die BKB im vergangenen Jahr planmäßig verlaufen sei und alle vorgesehenen Ergebnisse erreicht worden seien. Als größtes Risiko für den Projektfortschritt wird angegeben, dass die Möglichkeit einer IPv6-Ende-zu-Ende-Kommunikation nicht rechtzeitig für die ab April 2024 geplanten Projekte zur Verfügung stehe.
Falls dies nicht rechtzeitig gelinge, müsse die Anbindung von Behörden "problematische Netzwerkkomponenten wie NAT" berücksichtigen. Darüber hinaus bestehe das Risiko, dass "keine bidirektionale Kommunikation" zwischen der Betriebsplattform des Bundes und den lokalen Netzen der Behörde mittels IPv4 etabliert werden könne, heißt es in dem rund 40-seitigen Bericht.
In seinem Fortschrittsbericht schreibt der IT-Beauftragte des Bundes, Markus Richter, dass die Dienstekonsolidierung sich dem Programmziel nähere und "maßgebliche Meilensteine" erreicht worden seien. Als Risiken und Problemfelder identifiziert er nicht ausreichende finanzielle Mittel, da das Budget gedeckelt sei, die Kosten aber stiegen. Zudem führten zusätzliche Anforderungen zu Verzögerungen beim Roll-out. Weiterhin wird davor gewarnt, dass beim zentralen IT-Dienstleister ITZBund nicht genügend Personal zur Verfügung stehe.