Der Bundesrechnungshof sieht den sicheren IT-Betrieb beim "Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr" und damit bei einer wichtigen Schaltzentrale der Streitkräfte massiv gefährdet. Die schweren Mankos haben die Etatprüfer bei den technischen und wissenschaftlichen Dienststellen des Amtes ausgemacht, die mit ihren Fachkenntnissen die Stelle dabei unterstützen, geeignetes technisches Material für die Bundeswehr zu beschaffen.

Das Personal der Dienststellen verfüge über spezielle Expertisen rund um die benötigte Fahrzeug-, Luftfahrt- und Schiffstechnik sowie in den Bereichen Elektronik, Munition, Werkstoffe und Schutztechnologien, schreibt der Bundesrechnungshof in einer Prüfnotiz, die Teil des am Dienstag veröffentlichten Jahresberichts 2018 der Instanz ist. Um ihre Aufgaben erfüllen zu können, seien die technischen und wissenschaftlichen Einrichtungen der Armee auf eine sicher funktionierende IT angewiesen.

Nutzer administrieren selber

Vor Ort haben die Finanzkontrolleure nach eigenen Angaben aber neben Unregelmäßigkeiten bei der Beschaffung, dem Betrieb und der Verwaltung der Computerausrüstung auch "gravierende konzeptionelle, betriebliche und technische Mängel der IT-Sicherheit" festgestellt. "So hatten die Dienststellen weder untersucht noch festgelegt, welcher Schutz für ihre Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte IT überhaupt angemessen ist", heißt es in dem Bericht. Die Einrichtungen hätten auch über keine anwendbaren Konzepte oder ausreichend detaillierte Vorgaben zu notwendigen Sicherheitsmaßnahmen für die Computertechnik verfügt.

Die Dienststellen "ließen Teile ihrer IT nicht durch hierfür ausgebildetes IT-Fachpersonal", sondern von den Nutzern selbst administrieren, rügt der Rechnungshof. Damit hätten sie sich dem Risiko ausgesetzt, ihre Rechnersysteme aufgrund fehlerhafter Konfiguration, unkontrolliert installierter Software oder unzureichender Sicherheitsupdates mit Malware zu infizieren. Ferner seien "sicherheits- und datenschutzrelevante Ereignisse" in den System "nicht in erforderlichem Umfang" protokolliert und ausgewertet worden, was Interventionen erschwert habe.

Unbesetzte Posten, überlastetes Personal

"In den für IT zuständigen Organisationseinheiten waren Dienstposten teilweise seit Jahren unbesetzt", monieren die Kontrolleure. Dadurch sei das Personal oft überlastet und nicht in der Lage gewesen, die internen Sicherheitsregeln einzuhalten. Oft hätte eingesetzten Administratoren zudem "eine ausreichende Ausbildung und geeignete Unterstützungssoftware" gefehlt. Insgesamt seien so auch "der Dienstbetrieb insgesamt" und die zuverlässige Aufgabenerfüllung der Dienststellen in Gefahr gewesen.

Das übergeordnete Bundesamt hat den Prüfern zufolge mittlerweile die Feststellungen "im Wesentlichen" bestätigt und Besserung gelobt. Es plane etwa, "Mindestvorgaben für den Betrieb besonders gefährdeter IT zusammenzustellen und anzuweisen". Das Bundesverteidigungsministerium habe unter anderem auf seine Initiative "Trendwende Personal" und die "Attraktivitätsagenda" der Bundeswehr verwiesen, um die ausgedeckten Lücken zu schließen. Der Rechnungshof erkennt daher "erste Schritte in die richtige Richtung" an, hält die bisherigen Anstrengungen aber "noch immer für unzureichend". Vor allem die "kritische Situation" beim IT-Personal bestehe weiter.

Kein kompletter Überblick über Sprengmittel

Ferner beanstanden die Kontrolleure, dass die Bundeswehr keinen vollständigen Überblick über den Bestand ihrer Sprengmittel habe. Es gebe zwar eine zentrale Datenbank dafür. Diese umfasst aber nicht alle entsprechenden Waffen und Lagerorte. Auch die "mangelhafte personelle und materielle Einsatzbereitschaft der Kurzwellen-Funktrupps" der Armee habe das Verteidigungsressort "viel zu lange hingenommen". Überschüssiges Material sei nur teilweise ausgesondert und nicht verwertet, sondern nur eingelagert worden. Dies habe zu Wertverlust und unnötigen Kosten geführt. Zuvor hatte der Rechnungshof bereits regelwidrige Millionenausgaben für IT-Berater bei der Bundeswehr kritisiert. (axk)