Verbesserungspotenzial

Rechnungshof mahnt Bund zum IT-Security-Ausbau

(Bild: stock.adobe.com)

Der Rechnungshof (RH) ortet Verbesserungsbedarf bei der Cybersicherheit im Bundeskanzleramt und dem Innen-, Verteidigungs- und Außenministerium. So fehle es an Krisen-, Kontinuitäts- und Einsatzplänen, und auch ein Lagezentrum zur Bearbeitung von Notfällen müsse geschaffen werden. In dem am Freitag veröffentlichten Bericht gibt es aber auch Lob: Der Cyberangriff auf das Außenministerium Ende 2019 sei „grundsätzlich erfolgreich“ bewältigt worden, heißt es darin.

Bei dem Angriff sei erstmals in Österreich eine Cyberkrise festgestellt worden, was zur Aktivierung der dafür vorgesehenen Strukturen geführt habe. Bevor diese ihre operative Tätigkeit aufnehmen konnten, mussten allerdings noch die Infrastruktur (Räumlichkeiten) und die sonstige Ausstattung (Hardware, Software, Büroausstattung) für das Einsatzteam organisiert und beschafft werden. Zweckmäßig wäre es aus Sicht des RH, wenn ein eigenes, dauerhaft eingerichtetes und jederzeit benutzbares Cyber-Lagezentrum eingerichtet würde.

Die Koordinationsstruktur des IKDOK („Innerer Kreis der Operativen Koordinierungsstruktur“), dem wichtigsten interministeriellen Gremium der Cybersicherheit, erachtet der Rechnungshof für geeignet, die ihm übertragenen Aufgaben zu erfüllen. Es wäre aber auch ein permanent verfügbares Cybereinsatzteam (Rapid ResponseTeam) zu schaffen.

Personalressourcen nicht ausreichend
In diesem Zusammenhang machte der Rechnungshof auf den Personalmangel bei entsprechenden Sicherheitskräften aufmerksam. So wurden die als notwendig erachteten Personalressourcen im Bundeskanzleramt und im Innenministerium nicht erreicht.

Mängel ortet der RH zudem bei den für ein funktionierendes Krisenmanagement notwendigen Krisen-, Kontinuitäts- und Einsatzplänen. Sie lagen nicht vor, obwohl die Cybersicherheit-Steuerungsgruppe die Ausarbeitung solcher Pläne bereits 2014 und 2019 beschlossen hatte. Das Bundeskanzleramt und das Innenministerium wären dafür zuständig gewesen.

Bemängelt wurde von den Prüfern auch, dass rund zweieinhalb Jahre nach dem Inkrafttreten des Netz- und Informationssystemsicherheitsgesetz (NISG) das gesetzlich geforderte „NIS-Meldeanalysesystem“ noch nicht in Betrieb war. Auch ein entsprechendes Frühwarnsystem war 2021 erst in der Konzeptionsphase. Hier wurde das Innenministerium zu verstärkten Bemühungen aufgefordert.