2014 Bemerkungen Nr. 03 "Risiken beim Betrieb zahlungsrelevanter IT-Systeme"
Das Verfahren für das Haushalts-, Kassen- und Rechnungswesen (HKR-Verfahren) ist das zentrale Buchführungsverfahren des Bundes. Hunderte Anwender aus Bund, Ländern und Kommunen sind mit eigenen automatisierten Verfahren (IT-Systemen) über elektronische Schnittstellen an das HKR-Verfahren angeschlossen. Auf diese Weise bewirtschaften sie Haushaltsmittel des Bundes, beispielsweise indem sie Auszahlungen veranlassen. Derzeit sind über 1 000 unterschiedliche Zahlungs- und Buchungssysteme an das HKR-System angeschlossen. Für den Anschluss benötigen die Bewirtschafter in der Regel keine Genehmigung. Es reicht, wenn sie ihr IT-System beim BMF anzeigen und erklären, die vom BMF erlassenen Mindestanforderungen für den Einsatz automatisierter Verfahren im HKR-Verfahren einzuhalten. Die Mindestanforderungen verlangen elementare organisatorische und technische Kontrollen für einen ordnungsmäßigen und informationssicheren Verfahrensbetrieb. Dazu gehören insbesondere ein Sicherheitskonzept, Dienstanweisungen, Funktionentrennungen und das Vier-Augen-Prinzip. Verantwortlich für die Einhaltung der Anforderungen ist die jeweils zuständige oberste Bundesbehörde.
Fast alle vom Bundesrechnungshof geprüften Bewirtschafter von Haushaltsmitteln des Bundes hielten die Mindestanforderungen des BMF nicht ein. Bei ihnen fehlten neben einer verfahrensbezogenen Risikoanalyse insbesondere Sicherheits-, Datenschutz- und Datensicherungskonzepte sowie Notfallkonzepte für Systemausfälle. Meist konnten unbefugte Benutzer – einschließlich externer Beratungsunternehmen – entgegen dem Vier-Augen-Prinzip buchen sowie Kontoverbindungen und zahlungsrelevante Systemeinstellungen ändern. Die automatische Protokollierung der Datenänderungen wirkte nicht als kompensierende Kontrolle, da dieselben Nutzer häufig auch Systemprotokolle, Änderungsbelege oder Buchungsdaten löschen konnten. Im operativen Betrieb kontrollierten die Bewirtschafter nur selten, ob die IT-Systeme den Mindestanforderungen des BMF gerecht wurden. Ihnen fehlte entweder das Risikobewusstsein oder die IT-Kompetenz, um die Risiken einschätzen zu können.
Der Bundesrechnungshof sieht dringenden Handlungsbedarf. Die verantwortlichen Stellen müssen die Risiken beim Betrieb der bewirtschaftereigenen IT-Systeme schnell erkennen und abstellen oder zumindest auf ein vertretbares Maß begrenzen. Für die Einhaltung der Mindestanforderungen des BMF sind nicht nur die obersten Bundesbehörden und die Beauftragten für den Haushalt zuständig. Das BMF trägt als Haushaltsressort eine übergreifende Mitverantwortung. Es muss darauf hinwirken, dass seine Mindestanforderungen konsequent eingehalten werden. Der Bundesrechnungshof wird das Thema verstärkt prüfen.