Die Verwendung von privaten Laptops für dienstliche Tätigkeiten, fehlende Notfallpläne und Zugriff von im Ausland ansässigen externen Dienstleistern auf Daten des Staates: Der aktuell vorgelegte Bericht des Rechnungshofs (RH) zur IT-Sicherheit in ausgewählten Ministerien bringt so manche Sicherheitsmängel ans Tageslicht. Geprüft wurden das Bundeskanzleramt (BKA), das Bundesministerium für Digitalisierung und Wirtschaftsstandort (BMDW), das Bundesministerium für Kunst, Kultur, öffentlichen Dienst und Sport (BMKÖS) sowie das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK).

Vereinheitlichung der IT-Arbeitsplätze

In dem Bericht heißt es, dass die Änderungen von Kompetenzen in Ressorts – etwa durch Regierungsumbildungen – für die IT-Ressorts aufwendig und somit mit Sicherheitsrisiken verbunden seien. "Vor allem die Phase der Überleitung kann IT-Sicherheitsrisiken beinhalten", heißt es seitens des RH. "So war etwa im September 2020 – neun Monate nach Verschiebung von Ressortkompetenzen in den Ministerien BKA, BMKÖS und BMSGPK – noch keine ressorteinheitliche IT-Zuständigkeit gegeben."

Im Sinne der kontinuierlichen IT-Sicherheit empfiehlt der RH, "eine Regierungsvorlage zu erarbeiten, mit der im Bundesministeriengesetz eine Kompetenz zur Koordination der IT-Sicherheit klar und ausdrücklich festgelegt wird." Denn eine Vereinheitlichung der IT-Arbeitsplätze würde die Wartung vereinfachen und die IT-Sicherheit erhöhen sowie die Kosten für Beschaffung und Lizenzen reduzieren. Mitte Mai hatte DER STANDARD auf Basis einer parlamentarischen Anfrage darüber berichtet, dass allein das Bundeskanzleramt im vergangenen Jahr 945.174,39 Euro für neue Geräte ausgegeben hatte.

Private Rechner im Homeoffice genutzt

Zudem zeigte sich bei den Untersuchungen des RH, dass Bedienstete des BKA, des BMDW und des BMSGPK im Homeoffice teilweise private Geräte nutzten. Nicht nur, dass dies gesetzlich nicht vorgesehen war – es ist auch mit hohen Risiken verbunden. Denn die Nutzung privater Geräte für berufliche Zwecke birgt das Risiko, dass dienstliche Daten auf diesen Geräten gespeichert bleiben. Auch seien auf den privaten Geräten die IT-Sicherheitsvorkehrungen gegenüber Schadsoftware im Vergleich zu den IT-Sicherheitsmaßnahmen auf Dienstgeräten typischerweise geringer, heißt es seitens des RH. Wegen der fehlenden Vorgaben zur Nutzung privater Geräte für dienstliche Zwecke sollten diese auch nicht regulär beruflich genutzt werden.

Der RH empfiehlt hier für kommende Phasen des Homeoffice, die Arbeitsplätze derart technisch auszustatten, dass die Aufrechterhaltung des Betriebs mit dienstlichen Geräten außerhalb der Arbeitsstelle möglich ist. Zudem soll klar festgelegt werden, ob bestimmte Tätigkeiten aus Sicherheitsgründen nur vor Ort im Büro verrichtet werden dürfen.

Home Office in den Ministerien

Aus dem BMKÖS heißt es diesbezüglich auf Anfrage des STANDARD, dass dort die freiwillige Verwendung privater Geräte grundsätzlich zulässig sei. Es werde dort – via Citrix – mit verschlüsselten Bildschirminhalten gearbeitet, wodurch keine beruflichen Daten auf den privaten Geräten gespeichert würden.

Bezüglich Diensthandys heißt es aus dem BMKÖS: All jenen Personen, deren Tätigkeit Mobilität und Erreichbarkeit erfordert bzw. bei denen sich aus den Anforderungen des Arbeitsplatzes ableitet, dass sie ein Diensthandy benötigen, wird ein solches zur Verfügung gestellt. Im Zuge der Pandemie habe sich herausgestellt, dass eine Vollausstattung der Belegschaft mit Diensthandys anzustreben sei. Dieser Prozess sei beinahe abgeschlossen, sodass mittlerweile fast das gesamte Personal über Diensthandys verfüge.

Auch im Sozialministerium sind die Bediensteten für das Homeoffice mit Dienstgeräten ausgestattet, im Sozialbereich wurde inzwischen eine Vollausstattung erreicht. "Aus technischer Sicht ist es systemarchitekturbedingt unerheblich, ob das Gerät privat ist oder vom Dienstgeber gestellt wird, da keine Daten dezentral am lokalen Gerät gespeichert werden können", heißt es dazu aus dem Sozialministerium: "Es werden lediglich verschlüsselte Bildschirminhalte übertragen, die Daten bleiben in einem geschlossenem, abgesicherten Bereich." Hinsichtlich Vertraulichkeit gelte das Dienstrecht, ferner existieren entsprechende Dienstanweisungen.

Aus dem BMDW heißt es, dass man seit Oktober 2020 eine Vollausstattung mit Notebooks habe. "Die Empfehlung des RH ist somit umgesetzt", heißt es aus der Pressestelle. Der Zugriff auf die Ressortinfrastruktur sowie sämtliche dienstliche Daten bei privaten Geräten erfolge stets über einen gesicherten Zugangsweg via virtuellem Arbeitsplatz und zwei Faktor Authentifizierung: Die Daten bleiben dadurch in der gesicherten Ressort-Infrastruktur und werden somit nicht auf das private Gerät übertragen."

BKA hat den Tunnel geschlossen

Und aus dem Bundeskanzleramt heißt es schließlich, dass die vom RH empfohlene Variante bereits realisiert sei: "Es gibt – bis auf fachlich begründete Ausnahmen – eine Vollausstattung mit mobilen Endgeräten, sodass Home Office grundsätzlich technisch lückenlos möglich ist." Am Beginn und am Zenit der COVID-19 Krise – in diesem Zeitraum erfolgte die Prüfung durch den Rechnungshof – sei IT-Hardware am nationalen Markt und am internationalen Markt nur begrenzt verfügbar gewesen.

"Daher wurde zur sofortigen Umsetzung der erlassenen Krisenregelungen während eines Übergangszeitraum – bis zum Erreichen der Vollausstattung mit dienstlichen Geräten – die Nutzung privater Geräte zur Nutzung dienstlicher Aufgaben punktuell zugelassen", heißt es aus der Pressestelle des BKA: "Die Nutzung war ausschließlich über eine Terminal- Software bzw. mittels eines gesicherten technischen Tunnels möglich, sodass eine Vermengung privater Daten mit dienstlichen Daten bzw. Sicherheitsbedrohungen aus technischer Sicht ausgeschlossen werden konnten." Nach Erreichen der Vollausstattung mit Geräten zur mobilen dienstlichen Nutzung sei der gesicherte Zugangstunnel grundsätzlich geschlossen worden.

Dienstleister im Ausland mit Zugriff auf BMDW-Daten

Zudem bemerkt der RH, dass das Wirtschafts- und Digitalisierungsministerium einen externen Dienstleister einsetzte, dessen Mitarbeiter Zugriff auf die IT-Systeme des Ministeriums hatten. Das Personal befand sich nicht in Österreich, sondern im EU-Ausland – wodurch eine unmittelbare Aufsicht beziehungsweise Kontrolle des externen Personals weder für den externen Dienstleister noch für das Ministerium direkt möglich gewesen sei, wie der RH anmerkt.

Auf Anfrage des STANDARD heißt es aus dem Ministerium, dass es sich bei dem genannten Dienstleister um den Vertragspartner Atos handle. "Dem Rahmenvertrag ging eine vergaberechtskonforme europaweite Ausschreibung voraus. Der Einsatz von EU-Bürgern zum Zwecke der Vertragserfüllung ist legitim und kann vergaberechtlich auch nicht ausgeschlossen werden (Allgemeines Diskriminierungsverbot gemäß Art 18 AEUV), heißt es weiter. Im Mai 2022 ist ein Dienstleisterwechsel von ATOS zu BRZ geplant, womit der aufgezeigte Umstand dem Ministerium zufolge obsolet wird.

Mangelhafte Notfallpläne

Abschließend wird vom RH noch angemerkt, dass die Vorbereitung der Ministerien auf IT-Notfälle mangelhaft sei. Das Bundeskanzleramt hätte Notfallszenarien für intern betriebene IT-Systeme nicht ausreichend festgelegt, heißt es: Es existierte etwa kein IT-Notfallhandbuch, und Kriterien für den Eintritt eines IT-Notfalls waren nicht klar definiert. Im Wirtschaftsministerium waren Notfallkonzepte – etwa IT-Notfallhandbücher, IT-Notfallszenarien oder IT-Notfallpläne – für die intern betriebenen IT-Systeme nicht vorhanden, heißt es weiter.

Im BMKÖS gebe es IT-Notfallpläne für eine Vielzahl an Bedrohungen, die laufend evaluiert und adaptiert würden, wie es auf Anfrage des STANDARD heißt. Ähnliches hört man aus dem Sozialministerium.

Der Rechnungshof empfiehlt, ein entsprechendes IT-Notfallhandbuch mit allen wichtigen IT-Notfallszenarien zu erstellen und darin klare Kriterien für den Eintritt von IT-Notfällen und eine eigene IT-Notfallorganisation festzulegen.

Aus dem Digitalisierungsministerium heißt es in Bezug auf die Kritik des RH, dass diese Empfehlungen aktuell evaluiert werden. Vom Bundeskanzleramt heißt es, dass sich dessen IT in einem laufenden Transformationsprozess befinde. Dieser beinhalte unter anderem, die technische Infrastruktur in das BRZ zu überführen. Dort gebe es unter anderem weitergehende Notfallszenarien bzw. ein effektives "Business Continuity Management". Auch ist hier im Rahmen des Projektes "ITKonsolidierung" eine bundesweite Vereinheitlichung der IT-Arbeitsplätze geplant. Zwischenzeitlich wird ein Informationssicherheitssystem im Bundeskanzleramt implementiert.

Experte kritisiert "Schrebergartenlösung"

Auf Anfrage des STANDARD heißt es auch von Josef Pichlmayr, Geschäftsführer des IT-Sicherheitsunternehmens Ikarus, dass die eingangs erwähnte mangelnde zentrale Besetzung und fehlende strategische Ausrichtung in Kombination mit der föderalen Struktur zu "Schrebergartenlösungen" geführt hätten. In Deutschland habe man hingegen bemerkt, dass man sich des Themas gesamtstaatlich koordiniert annehmen müsse.

Der heimischen Security-Community sei es noch nicht gelungen, das Thema unter den politischen Entscheidern zu einer Top-Priorität zu machen, wie es etwa in der Wirtschaft der Fall sei, sagt der Experte weiter. Erfolg könne ein Modell haben, wenn es von allen Stakeholdern getragen werde. (Stefan Mey, 10.9.2021)

Update, 10.9., 16:06 Uhr: Input des Sozialministeriums wurde hinzugefügt.

Update, 10.9., 16:44 Uhr: Input des Digitalisierungsministeriums wurde hinzugefügt.

Update, 10.9., 16:56 Uhr: Input des Bundeskanzleramts wurde hinzugefügt.