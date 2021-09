Im BMKÖS ist mittlerweile nahezu die gesamte Belegschaft mit Diensthandys ausgestattet. Foto: imago images/Westend61

Die Verwendung von privaten Laptops für dienstliche Tätigkeiten, fehlende Notfallpläne und Zugriff von im Ausland ansässigen externen Dienstleistern auf Daten des Staates: Der aktuell vorgelegte Bericht des Rechnungshofs (RH) zur IT-Sicherheit in ausgewählten Ministerien bringt so manche Sicherheitsmängel ans Tageslicht. Geprüft wurden das Bundeskanzleramt (BKA), das Bundesministerium für Digitalisierung und Wirtschaftsstandort (BMDW), das Bundesministerium für Kunst, Kultur, öffentlichen Dienst und Sport (BMKÖS) sowie das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK).

Vereinheitlichung der IT-Arbeitsplätze

In dem Bericht heißt es, dass die Änderungen von Kompetenzen in Ressorts – etwa durch Regierungsumbildungen – für die IT-Ressorts aufwendig und somit mit Sicherheitsrisiken verbunden seien. "Vor allem die Phase der Überleitung kann IT-Sicherheitsrisiken beinhalten", heißt es seitens des RH. "So war etwa im September 2020 – neun Monate nach Verschiebung von Ressortkompetenzen in den Ministerien BKA, BMKÖS und BMSGPK – noch keine ressorteinheitliche IT-Zuständigkeit gegeben."

Im Sinne der kontinuierlichen IT-Sicherheit empfiehlt der RH, "eine Regierungsvorlage zu erarbeiten, mit der im Bundesministeriengesetz eine Kompetenz zur Koordination der IT-Sicherheit klar und ausdrücklich festgelegt wird." Denn eine Vereinheitlichung der IT-Arbeitsplätze würde die Wartung vereinfachen und die IT-Sicherheit erhöhen sowie die Kosten für Beschaffung und Lizenzen reduzieren. Mitte Mai hatte DER STANDARD auf Basis einer parlamentarischen Anfrage darüber berichtet, dass allein das Bundeskanzleramt im vergangenen Jahr 945.174,39 Euro für neue Geräte ausgegeben hatte.

Private Rechner im Homeoffice genutzt

Zudem zeigte sich bei den Untersuchungen des RH, dass Bedienstete des BKA, des BMDW und des BMSGPK im Homeoffice teils private Geräte nutzten. Nicht nur, dass dies gesetzlich nicht vorgesehen war – es ist auch mit hohen Risiken verbunden. Denn die Nutzung privater Geräte für berufliche Zwecke birgt das Risiko, dass dienstliche Daten auf diesen Geräten gespeichert bleiben. Auch seien auf den privaten Geräten die IT-Sicherheitsvorkehrungen gegenüber Schadsoftware im Vergleich zu den IT-Sicherheitsmaßnahmen auf Dienstgeräten typischerweise geringer, heißt es seitens des RH. Wegen der fehlenden Vorgaben zur Nutzung privater Geräte für dienstliche Zwecke sollten diese auch nicht regulär beruflich genutzt werden.

Der RH empfiehlt hier für kommende Phasen des Homeoffice, die Arbeitsplätze derart technisch auszustatten, dass die Aufrechterhaltung des Betriebs mit dienstlichen Geräten außerhalb der Arbeitsstelle möglich ist. Zudem soll klar festgelegt werden, ob bestimmte Tätigkeiten aus Sicherheitsgründen nur vor Ort im Büro verrichtet werden dürfen.

Privatrechner im BMKÖS erlaubt

Aus dem BMKÖS heißt es diesbezüglich auf Anfrage des STANDARD, dass dort die freiwillige Verwendung privater Geräte grundsätzlich zulässig sei. Es werde dort – via Citrix – mit verschlüsselten Bildschirminhalten gearbeitet, wodurch keine beruflichen Daten auf den privaten Geräten gespeichert würden.

Bezüglich Diensthandys heißt es aus dem BMKÖS: All jenen Personen, deren Tätigkeit Mobilität und Erreichbarkeit erfordert bzw. bei denen sich aus den Anforderungen des Arbeitsplatzes ableitet, dass sie ein Diensthandy benötigen, wird ein solches zur Verfügung gestellt. Im Zuge der Pandemie habe sich herausgestellt, dass eine Vollausstattung der Belegschaft mit Diensthandys anzustreben sei. Dieser Prozess sei beinahe abgeschlossen, sodas mittlerweile fast das gesamte Personal über Diensthandys verfüge.

Dienstleister im Ausland mit Zugriff auf BMDW-Daten

Zudem bemerkt der RH, dass das Wirtschafts- und Digitalisierungsministerium einen externen Dienstleister einsetzte, dessen Mitarbeiter Zugriff auf die IT-Systeme des Ministeriums hatten. Das Personal befand sich nicht in Österreich, sondern im EU-Ausland – wodurch eine unmittelbare Aufsicht beziehungsweise Kontrolle des externen Personals weder für den externen Dienstleister noch für das Ministerium direkt möglich gewesen sei, wie der RH anmerkt.

Bei dem Ministerium läuft eine Anfrage des STANDARD zu der Frage, um welchen Dienstleister es sich handelt und wie dieser Zugriff auf die Daten erhalten konnte.

Mangelhafte Notfallpläne

Abschließend wird vom RH noch angemerkt, dass die Vorbereitung der Ministerien auf IT-Notfälle mangelhaft sei. Das Bundeskanzleramt hätte Notfallszenarien für intern betriebene IT-Systeme nicht ausreichend festgelegt, heißt es: Es existierte etwa kein IT-Notfallhandbuch, und Kriterien für den Eintritt eines IT-Notfalls waren nicht klar definiert. Im Wirtschaftsministerium waren Notfallkonzepte – etwa IT-Notfallhandbücher, IT-Notfallszenarien oder IT-Notfallpläne – für die intern betriebenen IT-Systeme nicht vorhanden, heißt es weiter.

Im BMKÖS gebe es IT-Notfallpläne für eine Vielzahl an Bedrohungen, die laufend evaluiert und adaptiert würden, wie es auf Anfrage des STANDARD heißt. Anfragen des STANDARD bei den anderen Ministerien zu dieser Thematik laufen.

Der Rechnungshof empfiehlt, ein entsprechendes IT-Notfallhandbuch mit allen wichtigen IT-Notfallszenarien zu erstellen und darin klare Kriterien für den Eintritt von IT-Notfällen und eine eigene IT-Notfallorganisation festzulegen.

Experte kritisiert "Schrebergartenlösung"

Auf Anfrage des STANDARD heißt es auch von Josef Pichlmayr, Geschäftsführer des IT-Sicherheitsunternehmens Ikarus, dass die eingangs erwähnte mangelnde zentrale Besetzung und fehlende strategische Ausrichtung in Kombination mit der föderalen Struktur zu "Schrebergartenlösungen" geführt hätten. In Deutschland habe man hingegen bemerkt, dass man sich dem Thema gesamtstaatlich koordiniert annehmen müsse.

Der heimischen Security-Community sei es noch nicht gelungen, das Thema unter den politischen Entscheider zu einer Top-Priorität zu machen, wie es etwa in der Wirtschaft der Fall sei, sagt der Experte weiter. Erfolg könne ein Modell haben, wenn es von allen Stakeholdern getragen werde. (Stefan Mey, 10.9.2021)