Rechnungshof warnt vor IT-Sicherheitslücken in Ministerien

Der Rechnungshof (RH) weist in einem am Freitag publizierten Bericht auf IT-Sicherheitslücken in mehreren Ministerien und dem Bundeskanzleramt hin. Kritisiert wird etwa, dass während des Corona-Lockdown private IT-Ausstattung der Mitarbeiter zum Einsatz kam, es an Vorbereitung auf IT-Notfälle fehle und es Probleme bei der Änderung von Ressortzuständigkeiten gebe.

Geprüft wurden neben dem Kanzleramt auch das Wirtschafts-, das Kultur- und Sport- sowie das Gesundheitsministerium, und zwar im Zeitraum 2018 bis 2020. Dabei zeigte sich, dass Kompetenzänderungen der Ressorts zu Sicherheitsrisiken führen. So fehlten im September 2020, drei Monate nach der Regierungsbildung von ÖVP und Grünen, noch in drei Häusern eine ressorteinheitliche IT-Zuständigkeit.

Der RH erhob auch, das während der Covid-19-Pandemie Ministeriumsmitarbeiter mitunter ihre private IT-Ausstattung nutzen, um den Dienstbetrieb aufrechtzuerhalten. Dies berge das Risiko, dass dienstliche Daten auf privaten Geräten gespeichert bleiben, die typischerweise schlechter gegen Schadsoftware geschützt seien. Außerdem fehlten hier Sicherheitsvorgaben.

"Für den regulären Dienstbetrieb sollte der Einsatz privater IT-Ausstattung für Telearbeit daher nicht standardmäßig vorgesehen werden", lautet die Empfehlung. Es brauche eine dienstliche Ausstattung auch fürs Homeoffice. Außerdem solle festgelegt werden, ob bestimmte Tätigkeiten jedenfalls aus Sicherheitsgründen an der Dienststelle zu verrichten sind.

Mangelhaft ist aus Sicht des RH die Vorbereitung auf IT-Notfälle. So existierte im Bundeskanzleramt kein Notfallhandbuch, im Wirtschaftsministerium generell die Konzepte dafür. Die Empfehlung: Schleunigst nachholen.