2015 Bemerkungen Nr. 51 - Bundeswehr beseitigt schwere Sicherheitsmängel in IT-Systemen

Der Bundesrechnungshof prüfte, mit welchen Berechtigungen die Bundeswehr ihre Beschäftigten in zwei wichtigen IT-Systemen ausgestattet hatte. Die Systeme nutzt die Bundeswehr u. a. dazu, Dienstbezüge an ihre Beschäftigten zu zahlen sowie Waren und Dienstleistungen einzukaufen. Im Jahr 2013 zahlte die Bundeswehr über beide Systeme rund 23 Mrd. Euro.

Insbesondere die für die technische Betreuung der Systeme zuständigen Administratoren stattete die Bundeswehr mit nahezu uneingeschränkten Berechtigungen aus. So konnten sie Daten oder Aufzeichnungen sicherheitsrelevanter Ereignisse, z. B. unberechtigte Systemzugriffe, verändern oder löschen. Mehrere tausend andere Beschäftigte konnten Lieferanten anlegen und zugleich Zahlungen an sie veranlassen.

Der Bundesrechnungshof hat beanstandet, dass die Bundeswehr nicht vorgab, welche Beschäftigten wie berechtigt sein sollten. Zudem stattete sie zu viele Beschäftigte mit zu umfangreichen Berechtigungen aus. Sie ließ zu, dass die Administratoren nahezu uneingeschränkt und unerkannt in den Systemen handeln und andere Beschäftigte unbemerkt zahlungsrelevante Daten verändern konnten. Der Bundesrechnungshof hat dem BMVg empfohlen, ein Berechtigungskonzept für alle Beschäftigten zu erarbeiten, es umzusetzen und regelmäßig zu prüfen, ob es eingehalten wird.

Das BMVg hat sich der Bewertung des Bundesrechnungshofes angeschlossen. Die Bundeswehr hat die Mängel fast vollständig beseitigt; die verbliebenen Mängel wollte sie bis Mitte 2015 abgestellt haben. Der Bundesrechnungshof wird dies prüfen.