Eingelangt am 08.07.2022
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

 

Der Abgeordneten Robert Laimer,

Genossinnen und Genossen

An die Verteidigungsministerin

 

Betreffend Sicherheitsbedenken und Kostenfragen um das System „OrgFlex“

 

Am 8.7. erschien auf der Website der Wiener Zeitung der Artikel „Millionengrab im Heeresressort“. In diesem wird die Situation um das Modul „OrgFlex“ des SAP-Systems „Defense Forces & Public Security“ im Verteidigungsministerium beschrieben, in das bisher 13,4 Millionen Euro flossen und für das jährlich weiterhin 650.000 Euro an Lizenzgebühren anfallen. Denn obwohl das System – anscheinend über drei Jahre bewertet und implementiert wurde, intervenierte – so der Artikel – Rudolf Striedinger, der damalige Leiter des Abwehramtes, knapp vor der Aktivierung, um diese zu verhindern.

 

Die Beschreibung des Vorgangs aus der Wiener Zeitung:

 

„Das System hätte am 14. Oktober 2019 aktiviert werden sollen, Ende September sei das Projekt bereits implementiert und einsatzbereit gewesen, schildern informierte Kreise: "Das Programm war so gut wie fertig eingerichtet. Man hätte nur noch den Schalter umlegen müssen."

Doch es kam anders. Rudolf Striedinger, der damalige Chef des Abwehramts und Beauftragte für die Informationssicherheit im Ressort, stellte sich gegen die Aktivierung. Am 25. September 2019 empfahl er in einem Schreiben an den damaligen Verteidigungsminister Thomas Starlinger, dieser möge von der Aktivierung vorerst Abstand nehmen. Aus Sicherheitsbedenken.

Im Fokus von Striedingers Sorge stand das Bundesrechenzentrum. An dieses wären rund um das SAP-System Daten zur Verarbeitung weitergeleitet worden. Doch das BRZ habe bei Sicherheitsüberprüfungen durch Experten des Verteidigungsressorts "keine schriftlichen Unterlagen für eine vertiefende Prüfung übergeben", da diese vertraulich seien, schreibt Striedinger. Es gebe keine ausreichenden "Informationen über die Sicherheitsarchitektur des BRZ bei der Verarbeitung der Personaldaten" des Verteidigungsressorts.“

Er könne daher keine "Verantwortung für die Sicherheit der Personaldaten" des Bundesheers übernehmen, so Striedinger. Insbesondere sensible Personal- und Organisationsdaten zu den Nachrichtendiensten sah er gefährdet.

Verteidigungsminister Starlinger folgte dieser Empfehlung des Sicherheitsbeauftragten und ließ das System vorerst nicht aktivieren, wie er gegenüber der "Wiener Zeitung" bestätigt. Bei einer weiteren Überprüfung sollte die Datensicherheit im BRZ näher untersucht werden.¹

Dieser Vorgang erscheint zunächst sinnvoll, Datensicherheit ist gerade in einem so sensiblen Bereich wie der Landesverteidigung eine wichtige Komponente der Verteidigungsfähigkeit.

 

¹ Wiener Zeitung, „Millionengrab im Heeresressort“, 08.07.2022 - https://www.wienerzeitung.at/nachrichten/politik/oesterreich/2154127-Millionengrab-im-Heeresressort.html

 

 

Unverständlich erscheint allerdings, dass diese Sicherheitsbedenken anscheinend noch immer nicht ausgeräumt wurden, oder das System gekündigt wurde. Für ein „nicht produktiv genutztes System“ jährlich 650.000 Euro des bereits sehr knappen Bundesheerbudgets auszugeben, ist keine sinnvolle oder wirtschaftliche Mittelverwendung. Vor allem, wenn man den Sanierungs- und Ausrüstungsbedarf des Bundesheeres bedenkt.

Weiters ist fraglich, wie im Verlauf von drei Jahren diese Sicherheitsbedenken nicht geklärt werden konnten, um das System – dessen Nutzung, wenn die Sicherheit gewährt ist, durchaus sinnvoll erscheint – doch noch in Benutzung zu nehmen, oder zumindest den Vertrag zu beenden.

In dem Artikel werden auch Zweifel an den Sicherheitsbedenken selbst genannt, die Striedinger im Jahr 2019 vorbrachte. Auch dies bedarf einer Klärung, wird das System doch laut Wiener Zeitung mit Stand Juni 2020 von 57 Streitkräften, darunter auch 22 NATO-Staaten, verwendet.

 

Um zu klären, wie es zu dieser Verzögerung im Einsatz und dieser verschwenderischen Mittelverwendung gekommen ist, sowie die Sicherheitsbedenken zum System „OrgFlex“ zu klären, stellen die unterfertigten Abgeordneten folgende

 

Anfrage

 

1.  Wie hoch waren die Beschaffungskosten für das „OrgFlex“-Modul des SAP-Systems „Defense Forces & Public Security“ über das Bundesrechenzentrum?

a.       Wie hoch war der budgetierte Rahmen für die Beschaffung?

b.      Wurde die Anschaffung vom BRZ an einen anderen Leistungserbringer oder Subunternehmer ausgelagert?

c.       Wurden im Zuge dieses Auftrags Beratungsleistungen durchgeführt?

                                                              i.      Wenn ja: Wie hoch waren die Kosten für diese und wer erbrachte diese Leistungen?

2. Wie hoch waren die Kosten für die Implementierung und Anpassung des Systems an die bestehende IT-Infrastruktur?

a.       Wie hoch waren die Beratungskosten für Implementierung und Anpassung des Systems diese und wer erbrachte diese Leistungen?

3. Wie hoch sind die laufenden Kosten für das System? Geben Sie bitte Lizenz- und Betriebs- und Beratungskosten an.

 

4.  Wozu sollte dieses System genutzt werden?

5.  Welche IT-Services des Bundes können mit diesem System besser genutzt werden?

6.  Welche IT-Systeme sollen durch „OrgFlex“ ersetzt werden?

a.         Wie hoch sind die jährlichen Kosten für diese Systeme? Schlüsseln Sie bitte auf, nach Systemen, Anschaffungs-, Lizenz- und Betriebskosten.

b.       Wie lang sind diese Systeme bereits im Einsatz? Bitte geben Sie die Anschaffungsjahre für jedes System an.

7.  Was genau waren die Sicherheitsbedenken, die von Rudolf Striedinger im September 2019 angebracht wurden?

a.       Waren diese Sicherheitsbedenken allein auf die Sicherheitsinfrastruktur des Bundesrechenzentrums bezogen?

                                                              i.      Wenn ja: Wurden diese Sicherheitsbedenken dem BRZ gemeldet? Wurde etwas unternommen, um diese Bedenken auszuräumen?

b.      Wurden diese Sicherheitsbedenken bis jetzt aufgeklärt?

c.       Von welchen Behörden, Institutionen oder Firmen wurden diese Sicherheitsbedenken überprüft?

d.      Wie hoch waren die Kosten für diese Sicherheitsüberprüfungen?

e.       Gibt es Stellungnahmen zu den Sicherheitsbedenken?

                                                              i.      Bitte um kurze Zusammenfassung der Stellungnahmen und Übermittler.

8.  Hat das Bundesrechenzentrum Sicherheitsbedenken gegenüber ihrem Ressort erhoben?

a.       Wenn ja: Welche? Was wurde getan, um diese auszuräumen?

b.      Wenn nein: Warum wird das System nicht in Betrieb genommen?

9.  Warum wurde das System „OrgFlex“ noch nicht in Betrieb genommen?

10.   Warum wurden die Lizenzverträge für das System „OrgFlex“ noch nicht beendet?

11.   Gibt es Pläne mehr Module des „Defense Forces & Public Security“-Systems zu beschaffen?

a.       Wenn ja: Welche?

b.      Wenn nein: Warum nicht?

12.   Gab es einen Erfahrungsaustausch mit anderen Streitkräften/Ministerien, die dieses System verwenden?

a.       Wenn ja: Mit welchen?

b.      Wenn ja: Wie konnten die Sicherheitsbedenken in diesen Streitkräften/Ministerien ausgeräumt werden?

13.   Ist geplant das System „OrgFlex“ in Zukunft in Betrieb zu nehmen?

a.       Wenn ja: Wann?

b.      Wenn nein: Warum nicht? Wann wird der Vertrag für das System gekündigt? Wird mit den alten Systemen weitergearbeitet, oder soll eine Alternative angeschafft werden?