Bemerkungen des Bundesrechnungshofes 2005 - Beispielklagen
Bemerkungen des Bundesrechnungshofes 2005 - Beispielklagen
Bemerkungen des Bundesrechnungshofes 2005 - Beispielklagen
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Drucksache 16/160 – 138 – Deutscher Bun<strong>des</strong>tag – 16. Wahlperiode<br />
Betreuungskapazitäten bleiben die auch vom Bun<strong>des</strong>ministerium<br />
als primäres Ziel bezeichneten Wirtschaftlichkeitsvorteile<br />
ungenutzt. Das Bun<strong>des</strong>ministerium sollte die<br />
Konzeption für die Informationstechnik in den Verkehrszentralen<br />
umgehend überprüfen. Den Planungen sollten<br />
diejenigen Ergebnisse, die die Wirtschaftlichkeit und<br />
technische Verfügbarkeit der Verkehrszentralen schnell<br />
Bun<strong>des</strong>ministerium der Verteidigung<br />
(Einzelplan 14)<br />
17 IT-Sicherheitsbericht und Vorschriften<br />
zur IT-Sicherheit nicht aktuell<br />
17.0<br />
Die vom Bun<strong>des</strong>ministerium der Verteidigung erstellten<br />
IT-Sicherheitsberichte sind – wie auch Vorschriften zur IT-<br />
Sicherheit – nicht aktuell und beschreiben den Zustand<br />
der IT-Sicherheit im Verteidigungsbereich nur unzureichend.<br />
Die Bun<strong>des</strong>wehr kann sie daher kaum als Controlling-Instrument<br />
nutzen. Der Bun<strong>des</strong>rechnungshof hat<br />
empfohlen, die Berichte wie vorgesehen jährlich zu erstellen.<br />
Die Vorschriften zur IT-Sicherheit sollten den aktuellen<br />
Stand der technischen Entwicklung berücksichtigen.<br />
Die Bun<strong>des</strong>wehr sollte die aktuellen, ressortübergreifenden<br />
Empfehlungen <strong>des</strong> Bun<strong>des</strong>amtes für Sicherheit in der<br />
Informationstechnik stärker beachten.<br />
17.1<br />
Dienststellen der Bun<strong>des</strong>wehr untersuchen in regelmäßigen<br />
Abständen, ob in ihrem nachgeordneten Bereich die<br />
IT-Sicherheit gewährleistet ist (IT-Sicherheitsinspektion).<br />
Das Ergebnis fassen sie anhand einer dreistufigen<br />
Skala zusammen (IT-Sicherheit ist gewährleistet, eingeschränkt<br />
gewährleistet oder nicht gewährleistet). Jeder<br />
Organisationsbereich stellt die Ergebnisse seiner IT-Sicherheitsinspektionen<br />
zusammen und teilt sie dem Bun<strong>des</strong>ministerium<br />
der Verteidigung (Bun<strong>des</strong>ministerium)<br />
mit, das – unabhängig von Maßnahmen bei aktuellen Sicherheitsvorfällen<br />
– nach der Zentralen Dienstvorschrift<br />
zur „IT-Sicherheit in der Bun<strong>des</strong>wehr“ (Zentrale Dienstvorschrift)<br />
jährlich einen IT-Sicherheitsbericht erstellen<br />
soll.<br />
Der Bun<strong>des</strong>rechnungshof prüfte mit Unterstützung <strong>des</strong><br />
Prüfungsamtes <strong>des</strong> Bun<strong>des</strong> Koblenz die Vorschriften zur<br />
IT-Sicherheit in der Bun<strong>des</strong>wehr und deren Anwendung.<br />
Er stellte fest, dass das Bun<strong>des</strong>ministerium den jährlich<br />
vorgesehenen IT-Sicherheitsbericht zuletzt für das Jahr<br />
2000 erstellt hatte. Die Erkenntnisse der Sicherheitsinspektionen<br />
der Jahre 2001 und 2002 hatte es zu einem Bericht<br />
zusammengefasst. Die IT-Sicherheitsberichte informierten<br />
weder über die Anzahl durchgeführter IT-Sicher-<br />
steigern, zugrunde gelegt werden. Das Bun<strong>des</strong>ministerium<br />
muss unverzüglich die Systembetreuung bündeln<br />
und qualifizieren. Außerdem sollte es alsbald die Einhaltung<br />
der vorgeschriebenen Systemverfügbarkeit nachweisen<br />
und ein auf einer Risikoanalyse basieren<strong>des</strong> IT-<br />
Sicherheitskonzept sowie ein Wartungs- und Pflegekonzept<br />
erarbeiten.<br />
heitsinspektionen noch über deren jeweilige Ergebnisse.<br />
Sie wiesen auch nicht auf Risiken mangelhafter IT-Sicherheit<br />
hin. Das Bun<strong>des</strong>ministerium beabsichtigt, auch<br />
für die Jahre 2003 und 2004 einen zusammengefassten<br />
IT-Sicherheitsbericht zu erstellen.<br />
Das Bun<strong>des</strong>amt für Sicherheit in der Informationstechnik<br />
(BSI) verfasst regelmäßig aktuelle Hinweise, wie die IT-<br />
Sicherheit gewährleistet werden kann. Diese Hinweise<br />
nutzt grundsätzlich die gesamte Bun<strong>des</strong>verwaltung. Einige<br />
Verwaltungen erließen eigene ergänzende Vorschriften.<br />
Für den Verteidigungsbereich regelte das Bun<strong>des</strong>ministerium<br />
die gesamte IT-Sicherheit mit einer Vielzahl<br />
eigener Vorschriften. Bis auf eine Ausnahme stammten<br />
alle Regelungen aus den 90er-Jahren. Das Bun<strong>des</strong>ministerium<br />
überarbeitete u. a. die Zentrale Dienstvorschrift<br />
seit mehreren Jahren ohne abschließen<strong>des</strong> Ergebnis. Einige<br />
Dienststellen der Bun<strong>des</strong>wehr nutzten neben den<br />
Vorschriften <strong>des</strong> Bun<strong>des</strong>ministeriums die Empfehlungen<br />
<strong>des</strong> BSI.<br />
17.2<br />
Der Bun<strong>des</strong>rechnungshof hat beanstandet, dass<br />
● das Bun<strong>des</strong>ministerium keinen eindeutigen Maßstab<br />
festgelegt hat, wie es die Ergebnisse der IT-Sicherheitsinspektionen<br />
für den IT-Sicherheitsbericht bewertet,<br />
● der IT-Sicherheitsbericht nicht darüber informiert, zu<br />
welchen Risiken mangelhafte IT-Sicherheit führt,<br />
● der IT-Sicherheitsbericht veraltet ist, weil das Bun<strong>des</strong>ministerium<br />
ihn nicht wie vorgesehen jährlich erstellt,<br />
● die Bun<strong>des</strong>wehr überwiegend ohne aktuelle und<br />
brauchbare IT-Sicherheitsvorschriften arbeitet, weil es<br />
jahrelanger Abstimmungsprozesse bedarf, bis sie eigene<br />
IT-Sicherheitsvorschriften erstellt oder fortschreibt,<br />
● das Bun<strong>des</strong>ministerium die Zentrale Dienstvorschrift<br />
noch nicht aktualisiert hat, obwohl es dem Bun<strong>des</strong>rechnungshof<br />
zugesagt hatte, dies bis zum Jahre 2003<br />
zu tun.