Prüfungsergebnisse
Sie sind hier: Startseite / Prüfungsergebnisse / Produkte / Bemerkungen (Jahresberichte) / Jahresberichte / 2014 / Teil II Übergreifende und querschnittliche Prüfungserkenntnisse / 2014 Bemerkungen Nr. 03 "Risiken beim Betrieb zahlungsrelevanter IT-Systeme"

Artikelaktionen

2014 Bemerkungen Nr. 03 "Risiken beim Betrieb zahlungsrelevanter IT-Systeme"

Bei der Bewirtschaftung von Haushaltsmitteln des Bundes bestehen zum Teil erhebliche Risiken in den an das zentrale Buchführungssystem des Bundes angeschlossenen IT-Systemen der Bewirtschafter. Der Bundesrechnungshof stellte umfangreiche Verstöße gegen die geltenden Vorschriften fest, z. B. die Missachtung des Vier-Augen-Prinzips oder zu weitgehende Benutzerrechte. Die IT-Systeme erfüllten oft nicht die Anforderungen an einen informationssicheren Betrieb. Das BMF muss die Risiken gemeinsam mit den verantwortlichen Fachministerien zügig verringern.
02.12.2014

Das Verfahren für das Haushalts-, Kassen- und Rechnungswesen (HKR-Verfahren) ist das zentrale Buchführungsverfahren des Bundes. Hunderte Anwender aus Bund, Ländern und Kommunen sind mit eigenen automatisierten Verfahren (IT-Systemen) über elektronische Schnittstellen an das HKR-Verfahren angeschlossen. Auf diese Weise bewirtschaften sie Haushaltsmittel des Bundes, beispielsweise indem sie Auszahlungen veranlassen. Derzeit sind über 1 000 unterschiedliche Zahlungs- und Buchungssysteme an das HKR-System angeschlossen. Für den Anschluss benötigen die Bewirtschafter in der Regel keine Genehmigung. Es reicht, wenn sie ihr IT-System beim BMF anzeigen und erklären, die vom BMF erlassenen Mindestanforderungen für den Einsatz automatisierter Verfahren im HKR-Verfahren einzuhalten. Die Mindestanforderungen verlangen elementare organisatorische und technische Kontrollen für einen ordnungsmäßigen und informationssicheren Verfahrensbetrieb. Dazu gehören insbesondere ein Sicherheitskonzept, Dienstanweisungen, Funktionentrennungen und das Vier-Augen-Prinzip. Verantwortlich für die Einhaltung der Anforderungen ist die jeweils zuständige oberste Bundesbehörde.

Fast alle vom Bundesrechnungshof geprüften Bewirtschafter von Haushaltsmitteln des Bundes hielten die Mindestanforderungen des BMF nicht ein. Bei ihnen fehlten neben einer verfahrensbezogenen Risikoanalyse insbesondere Sicherheits-, Datenschutz- und Datensicherungskonzepte sowie Notfallkonzepte für Systemausfälle. Meist konnten unbefugte Benutzer – einschließlich externer Beratungsunternehmen – entgegen dem Vier-Augen-Prinzip buchen sowie Kontoverbindungen und zahlungsrelevante Systemeinstellungen ändern. Die automatische Protokollierung der Datenänderungen wirkte nicht als kompensierende Kontrolle, da dieselben Nutzer häufig auch Systemprotokolle, Änderungsbelege oder Buchungsdaten löschen konnten. Im operativen Betrieb kontrollierten die Bewirtschafter nur selten, ob die IT-Systeme den Mindestanforderungen des BMF gerecht wurden. Ihnen fehlte entweder das Risikobewusstsein oder die IT-Kompetenz, um die Risiken einschätzen zu können.

Der Bundesrechnungshof sieht dringenden Handlungsbedarf. Die verantwortlichen Stellen müssen die Risiken beim Betrieb der bewirtschaftereigenen IT-Systeme schnell erkennen und abstellen oder zumindest auf ein vertretbares Maß begrenzen. Für die Einhaltung der Mindestanforderungen des BMF sind nicht nur die obersten Bundesbehörden und die Beauftragten für den Haushalt zuständig. Das BMF trägt als Haushaltsressort eine übergreifende Mitverantwortung. Es muss darauf hinwirken, dass seine Mindestanforderungen konsequent eingehalten werden. Der Bundesrechnungshof wird das Thema verstärkt prüfen.

© 2019 Bundesrechnungshof