7708/J XXV. GP
Eingelangt am 27.01.2016
Dieser Text wurde elektronisch
übermittelt. Abweichungen vom Original sind möglich.
ANFRAGE
der Abgeordneten Dr. Belakowitsch-Jenewein,
und weiterer Abgeordneter
an den Bundesminister für Arbeit, Soziales und Konsumentenschutz
betreffend Register im Hauptverband der österreichischen Sozialversicherungsträger I ( RH-Bericht Bund 2014/8)
Der
Hauptverband der österreichischen Sozialversicherungsträger betrieb
zentrale Register, die unter anderem strukturierte Daten über Personen,
Wirtschaftstreibende sowie Leistungserbringer enthielten. Eine gesetzliche
Regelung für die Sozialversicherung zur verpflichtenden Umsetzung einer
Internet (Cyber) Sicherheitsstrategie fehlte ebenso wie ein spezielles Team von
IT–Sicherheitsfachleuten (Computer Emergency Response Team) zum
koordinierten Schutz der IT–Infrastruktur.
Beim Datenaustausch zwischen der Sozialversicherung und anderen staatlichen
Tätigkeitsbereichen wurden historisch bedingt oftmals die
personenbezogenen Daten mittels (Sozial–) Versicherungsnummer zugeordnet,
obwohl mit dem E–Government–Gesetz 2004 hiefür die Alternative
einer Zuordnung mittels eines bereichsspezifischen Kennzeichens geschaffen
wurde. Dies würde zu einem erhöhten Schutz beim elektronischen
Austausch von personenbezogenen Daten führen.
Bereichsübergreifende Arbeitsgruppen des BMASK und des Hauptverbands der
österreichischen Sozialversicherungsträger und eine Studie der
Universität Wien behandelten die Nutzung der Registerdaten zur Erkennung
und Verhinderung von Sozialbetrug mittels Scheinfirmen. Konkrete
Maßnahmen zur Einrichtung von Früherkennungsmechanismen waren noch
nicht umgesetzt. Teilweise war eine Auswertung von Registerdaten zur
Früherkennung aufgrund ungenügender Dateninhalte oder
verzögerter Datenerfassung nicht möglich.
Daraus ergeben sich folgende Empfehlungen des RH:
(1) Es wäre eine gesetzliche Regelung zur zentralen Umsetzung einer Cyber Sicherheitsstrategie in der Sozialversicherung an den Gesetzgeber heranzutragen. (TZ 13)
(2) Mögliche Indikatoren bezüglich Aktivierung einer Scheinfirma wären zu definieren und die Register der Sozialversicherung auf diese — unter Beachtung des Datenschutzes und der rechtlichen Rahmenbedingungen — automationsunterstützt auszuwerten. (TZ 10)
(3) Die von Experten zur Früherkennung von geplantem Sozialbetrug (Scheinfirma) definierten Indikatoren (Daten) wären zeitgerecht in die Register einzutragen. Notwendigenfalls wäre ein diesbezüglicher Gesetzesvorschlag an den Gesetzgeber heranzutragen. (TZ 11)
(4) Zur Abwehr und Bewältigung von Cyber Sicherheitsvorfällen wäre eine umfassende Cyber Sicherheitsstrategie für den Sozialversicherungsbereich zu erarbeiten und umzusetzen. (TZ 3, 12)
(5) Zur operativen Bearbeitung der Cyber Sicherheitsbereiche in der Sozialversicherung wäre ein Sozialversicherungs CERT im Rahmen der Zielsteuerung einzurichten und in Abstimmung mit dem BMASK der Trägerkonferenz zur Beschlussfassung vorzulegen. (TZ 15)
(6) Zur gemeinsamen Umsetzung des One–Stop–Shop von Personenstandsbehörden und Sozialversicherungsträgern wäre die Übernahme der Daten aus dem Zentralen Personenstandsregister der Personenstandsbehörden in die Zentrale Partnerverwaltung des Hauptverbands zeitnah umzusetzen. (TZ 5)
(7) Bei voneinander abweichender Datenlage wäre Datenkonsistenz herzustellen. Die zuständigen Einrichtungen wie Meldebehörde oder Personenstandsbehörde wären über den erhobenen Sachverhalt zu informieren. (TZ 6)
(8) Die Daten zu Unternehmen, Vereinen und sonstigen Betroffenen wären aus dem Unternehmensregister–Verwaltung in die Zentrale Partnerverwaltung zu übernehmen. (TZ 7)
(9) Für den Datenaustausch mit anderen Tätigkeitsbereichen, die keine gesetzliche Ermächtigung zur Übertragung der Versicherungsnummer hatten, wäre zukünftig die Verwendung des bereichsspezifischen Personenkennzeichens vorzusehen. (TZ 8)
(10) Die Versicherungsnummer wäre — falls unumgänglich — über den Tätigkeitsbereich der Sozialversicherung hinaus nur noch verschlüsselt zu übertragen. (TZ 8)
(11) Alle Schnittstellen des Hauptverbands zu anderen Tätigkeitsbereichen wären bei anstehenden Weiterentwicklungen mit der Möglichkeit zur Nutzung des bereichsspezifischen Personenkennzeichens auszustatten. (TZ 9)
(12) Die Inhalte der Cyber Sicherheit wären nach Priorität gereiht aufzuarbeiten und verbindlich umzusetzen. (TZ 14)
(13) Für die Sozialversicherung wäre ein Krisenmanagement einzurichten. Dieses hätte die Risikoanalysen durchzuführen, Kontinuitätspläne zu entwickeln und Krisenübungen durchzuführen. (TZ 16)
(14) Sicherungs– und Schutzstandards wären für die Einrichtungen der Sozialversicherung vorzusehen, dem jeweiligen Aufgabengebiet und den verwendeten Daten anzupassen und dessen verbindliche Kontrolle einzurichten. (TZ 3, 17)
(15) Eine Meldepflicht bei Cyber Sicherheitsvorfällen für alle Einrichtungen der Sozialversicherung wäre verbindlich vorzusehen. Die Bewertung bzw. Einstufung des jeweiligen IT–Sicherheitsvorfalls sollte den Sicherheitsfachleuten des Sozialversicherungs CERT vorbehalten sein. Anhand definierter Strukturen und Prozesse wären alle potenziell gefährdeten Einrichtungen der Sozialversicherung zu informieren und entsprechende Maßnahmen zu empfehlen. (TZ 18)
(16) Die Mitarbeiter der Sozialversicherung wären im Umgang mit der IT–Infrastruktur weiterhin auf mögliches Fehlverhalten zu sensibilisieren und in definierten Abständen zentral koordinierte und abgestimmte Schulungen vorzusehen. (TZ 19)
(17) IT–Sicherheitsfachleute der Sozialversicherungsträger wären verbindlich anhand von Katastrophenübungen zu schulen. (TZ 20)
Die unterzeichneten Abgeordneten stellen daher an den Bundesminister für Arbeit, Soziales und Konsumentenschutz folgende
Anfrage
1. Wie stehen Sie als Sozialminister mit Stand 1.Jänner 2016 zu den im RH-Bericht vorgebrachten Kritikpunkten?
2. Welche der vom Rechnungshof formulierten Empfehlungen wurden aus Sicht des Sozialministeriums bereits umgesetzt?
3. Welche Empfehlungen werden bis Ende 2016 umgesetzt werden?
4. Für die Umsetzung welcher Empfehlungen werden bundesgesetzliche Adaptierungen notwendig sein?
5. Für die Umsetzung welcher Empfehlungen werden Beschlüsse der Organe der Sozialversicherungsträger notwendig sein?