Eingebracht am 22.09.2021
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

ENTSCHLIESSUNGSANTRAG

 

 

der Abgeordneten Douglas Hoyos-Trauttmansdorff, Kolleginnen und Kollegen

betreffend Festlegung einer Kompetenz zur Koordination der IT-Sicherheit im Bundesministeriengesetz

 

Der Rechnungshof (Reihe BUND 2021/31, III-410 d.B.) überprüfte von Juni bis Oktober 2020 Teile des Manage­ments der IT–Sicherheit in den Zentralstellen des Bundeskanzleramts (BKA), des Bundesministeriums für Kunst, Kultur, öffentlichen Dienst und Sport (BMKÖS), des Bundesministeriums für Digitalisierung und Wirtschaftsstandort (BMDW) sowie des Bundesministeriums für Soziales, Gesundheit, Pflege und Konsu­mentenschutz (BMSGPK). Im Fokus standen die IT–Sicherheitsstrategie und -organisation sowie das Personal für IT–Sicherheit und IT–Sicherheitsma­nagement. Der Überprüfungszeitraum umfasste die Jahre 2018 bis 2020.

Ressortübergreifende Kompetenzänderungen im Zuge von Regierungs(um)bildungen waren in den letzten Jahren keine Seltenheit. In den von dieser Gebarungsüberprüfung umfassten Ministerien betraf die Verschiebung im Jänner 2020 laut RH zum Beispiel die Agenden Familie und Jugend vom BKA zum damals neuen Bundesministerium für Arbeit, Familie und Jugend (BMAFJ), Kunst und Kultur wanderten vom BKA zum BMKÖS, Integration vom Bundesministerium für europäische und internationale Angelegenheiten (BMEIA) zum BKA und die Agenden staatliche Verfassung gingen vom Bundes­ministerium für Verfassung, Reformen, Deregulierung und Justiz (BMVRDJ) zum BKA (die gesamte Liste sowie die diversen Zuständigkeiten innerhalb der Ressorts bzw. Sektionen findet sich im RH-Bericht auf S. 26-27 bzw. in der untenstehenden Grafik).

 

Im Zuge der Umverteilungen der Agenden zwischen den Ministerien wurden auch IT–Arbeitsplätze verschoben, "was generell einen hohen Aufwand in der neu zustän­digen IT–Abteilung bei der Integration der neu dazugekommenen IT–Ausstattung der Arbeitsplätze, der IT–Fachanwendungen und der IT–Infrastruktur bedeutete". In der Phase der Überleitung könnten sich zudem "IT–Sicherheitsrisiken ergeben, weil innerhalb eines Bundesministeriums parallel unterschiedliche Systeme zur Gewährleistung der IT–Sicherheit anzuwenden" seien. Weiter heißt es im Bericht: "Im September 2020 –neun Monate nach Verschie­bung von Ressortkompetenzen anlässlich der Regierungsbildung im Jänner 2020– waren im BKA, im BMKÖS und im BMSGPK bei der IT–Betreuung noch keine ressorteinheitlichen IT–Zuständigkeiten gegeben."

Mit dem IKT–Konsolidierungsgesetz besteht seit 2012 die Grundlage für die Verein­heitlichung der Informations– und Kommunikationstechnologie in der Bundesverwaltung. Diese Vereinheitlichung betrifft laut § 2 IKTKonG insbesondere den standardisierten IT-Büroarbeitsplatz in der Bundesverwaltung („Bundesclient-Architektur“), eine gemeinsame Lösung zur Entwicklung und Wartung der Internetauftritte der Bundesdienststellen (Content Management System), das IT- Lizenzmanagement des Bundes, die duale Zustellung, elektronische Signaturen, das Identity- und Accessmanagement (Rechte- und Rollenverwaltung), den ELAK, Softwarebausteine bzw. Softwarebibliotheken sowie Basiskomponenten (zB Scanning). Eine solche IKT-Konsolidierung der Arbeitsplätze kann laut RH die Kosten der IT–Beschaffung und der Lizenzgebühren reduzieren, die Heterogenität der Bürosoftwareausstattung reduzieren und die Betreuung der IT–Ausstattung der Arbeitsplätze bündeln. "Darüber hinaus ermöglicht die Verwen­dung einheitlicher Bürosoftware sowie die einheitliche und zeitgerechte Installierung der zugehörigen Sicherheits–Updates auch die Bündelung des für die IT–Sicherheit zuständigen Personals und leistet dazu ebenfalls einen Beitrag zur Erhöhung der IT–Sicherheit". Allerdings fehlte die dazugehörige Verordnung zum Zeitpunkt der Gebarungsüberprüfung nach wie vor. Die Zuständigkeit hierfür liegt seit 2018 beim BMDW.

Derzeit gibt es  in den Zentralstellen der Bundesministerien keine einheitliche IT–Ausstattung der Arbeitsplätze, die Betreuung dieser Ausstattung erfolgt durch die jeweils eigene IT–Abteilung, durch die BRZ GmbH oder durch andere externe Dienstleister. Zudem setzen die Ministerien zum Teil jeweils eigene IT–Fachanwendungen und spezifische Systeme für die zentrale Infrastruktur ein. Daraus ergeben sich jeweils eigene Maßnahmen und Produkte zur Gewährleistung der IT–Sicherheit. Für die ressorteigene IT und IT-Sicherheit ist also jedes Ministerium selbst verantwortlich, ein koordiniertes übergreifendes Vorgehen in der Bundesverwaltung wäre allerdings dringend notwendig, vor allem angesichts der zunehmenden Cyberkriminalität. Vor diesem Hintergrund empfahl der Rechnungshof dem BMDW und dem BKA, eine Regierungsvorlage zu erarbeiten, mit der im Bundesministeriengesetz eine "Kompetenz zur Koordination der IT–Sicherheit klar und ausdrücklich festgelegt" wird sowie die im IKTKonG vorgesehene Verordnung zu erlassen.

Die unterfertigten Abgeordneten stellen daher folgenden

ENTSCHLIESSUNGSANTRAG

 

Der Nationalrat wolle beschließen:

"Die Bundesregierung, insbesondere die Bundesministerin für Digitalisierung und Wirtschaftsstandort in Zusammenarbeit mit dem Bundeskanzleramt, wird aufgefordert, eine Regierungsvorlage zu erarbeiten, mit der im Bundes­ministeriengesetz eine Kompetenz zur Koordination der IT–Sicherheit klar und ausdrücklich festgelegt wird. Zudem wird die Bundesministerin für Digitalisierung und Wirtschaftsstandort aufgefordert, die im IKTKonG vorgesehene Verordnung zur Konsolidierung der Heterogenität der IT–Systeme in Zusammenarbeit mit dem BKA zu erlassen."  

In formeller Hinsicht wird die Zuweisung an den Ausschuss für Forschung‚ Innovation und Digitalisierung vorgeschlagen.