Prüfungsergebnisse

Artikelaktionen

2012 Bemerkungen Nr. 60 "Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr"

Die IT-Sicherheitsvorschriften des Bundesverteidigungsministeriums sind entgegen einer Zusage an das Parlament nicht aktuell. Es hat Änderungen durch die Zusammenarbeit mit einer IT-Gesellschaft nicht berücksichtigt und ressortübergreifende Standards nicht aufgenommen.
13.11.2012

Das Bundesverteidigungsministerium regelt in einer Dienstvorschrift die IT-Sicherheit für das Ministerium sowie die militärischen und zivilen Dienststellen der Bundeswehr. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt ressortübergreifende Standards zur Sicherheit der Informationstechnik und passt diese regelmäßig den neuen Erkenntnissen zur IT-Sicherheit an. Obwohl das Bundesverteidigungsministerium dem Rechnungsprüfungsausschuss des Haushaltsausschusses des Deutschen Bundestages (Rechnungsprüfungsausschuss) im Jahr 2006 zugesagt hatte, die Standards des BSI zu verwenden, hat es diese nicht in seine Regelungen übernommen.

Seit März 2007 modernisiert und betreibt eine IT-Gesellschaft die administrative und logistische IT der Bundeswehr. Dadurch haben sich Abläufe und Verantwortlichkeiten für die IT-Sicherheit verändert, ohne dass das Bundesverteidigungsministerium sie in seine Dienstvorschrift zur IT-Sicherheit aufnahm. Dies führt zu unklaren Zuständigkeiten zwischen den IT-Sicherheitsbeauftragten und der IT-Gesellschaft und behindert die IT-Sicherheitsbeauftragten bei ihren Aufgaben, wie Sicherheitsinspektionen und Prüfungen bei Verdacht eines Verstoßes gegen die Sicherheit. Eine Handlungsanweisung, die die geänderten Aufgaben und Abläufe beschreibt, fehlte.

Das Bundesverteidigungsministerium hat dargelegt, dass es mit einer neuen im Entwurf vorliegenden Dienstvorschrift beabsichtige, die IT-Sicherheitsstandards des BSI für die Bundeswehr verbindlich vorzuschreiben. Darin werde es auch die Aufgaben der IT-Sicherheitsverantwortlichen klarer beschreiben und eine Arbeitshilfe erstellen. Die IT-Sicherheitsbeauftragten könnten jedoch nur in Abstimmung mit der IT-Gesellschaft Sicherheitsinspektionen durchführen oder möglichen Verstößen gegen die Sicherheitsvorschriften nachgehen.

Der Bundesrechnungshof erwartet, dass das Bundesverteidigungsministerium seine Zusage gegenüber dem Rechnungsprüfungsausschuss umsetzt und umgehend die ressortübergreifenden Standards des BSI verbindlich vorgibt. Zudem soll es die Zuständigkeiten der IT-Sicherheitsbeauftragten zutreffend abbilden und eine Arbeitshilfe hierzu erarbeiten. Darüber hinaus hält der Bundesrechnungshof es für erforderlich, dass die IT-Sicherheitsverantwortlichen ihre Aufgaben ohne langwierige Abstimmungen mit der IT-Gesellschaft wahrnehmen können.

© 2019 Bundesrechnungshof