Prüfungsergebnisse

Artikelaktionen

2015 Bemerkungen Nr. 28 - IT-Sicherheitsmängel beim Bundesinstitut für Risikobewertung

Das Bundesinstitut für Risikobewertung verwendet unsichere IT-Komponenten und gefährdet so seine IT-Netze und die des Bundes. Es besitzt keine tragfähige IT-Sicherheitsorganisation und missachtet Vorgaben der verbindlichen IT-Sicherheitsleitlinie des Bundes.
17.11.2015

Das Bundesinstitut für Risikobewertung (BfR) ist im Geschäftsbereich des BMEL für den gesundheitlichen Verbraucherschutz zuständig. Ärzte melden dem BfR mögliche Vergiftungen von Patienten; Hersteller bestimmter Produkte legen ihm vertrauliche Rezepturen und Inhaltsstoffe offen.

Der Bundesrechnungshof stellte bei seinen Erhebungen in den Jahren 2014 und 2015 fest, dass das BfR

  • eine über 20 Kilometer lange IT-Netzverbindung in Berlin betrieb, die es über neun Monate nicht und danach nicht zulassungskonform verschlüsselte,
  • für den IT-Netzwerkzugang seiner Beschäftigten in Telearbeit eine nicht zugelassene Fernzugriffstechnik einsetzte und
  • lediglich einen Entwurf eines IT-Sicherheitskonzepts vom September 2009 besaß.

Der Bundesrechnungshof hat beanstandet, dass das BfR die verbindliche IT-Sicherheitsleitlinie des Bundes missachtete und seine Pflichten als Nutzer des IT-Netzes des Bundes nicht erfüllte. Es besteht die Gefahr, dass Angreifer unverschlüsselte oder unzureichend geschützte IT-Netzwerkverbindungen auslesen oder verändern.

Der Bundesrechnungshof fordert das BMEL auf, Bedrohungen im IT-Sicherheitsbereich umgehend entgegenzutreten. Hierfür muss es das BfR anweisen, unverzüglich ein angemessenes und wirksames IT-Sicherheitsmanagement zu etablieren und alle vorhandenen Sicherheitsmängel zu beheben.

© 2019 Bundesrechnungshof