IuK-Ausfallvorsorge für Großschadensfälle [Beitrag Nr. 4]

Die IuK-Ausfallvorsorge für Großschadensereignisse ist nicht ausreichend. Es bedarf eines ressortübergreifenden zielorientierten Konzeptes auf der Basis der Grundschutz-Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. Die Wirtschaftlichkeit der Maßnahmen zur Ausfallvorsorge ist anhand von Alternativen und Ausschreibungen nachzuweisen.

1 Bisherige Prüfungserfahrungen

Der Rechnungshof hat sich in den letzten Jahren mehrmals mit der IuK-Ausfallvorsorge des Landes beschäftigt und bereits zweimal in der Denkschrift berichtet (Denkschrift 2000, Beitrag Nr. 8, Ausfallvorsorge in den DV-Zentren der Landesverwaltung; Denkschrift 2004, Beitrag Nr. 9, Bürokommunikation in der Innenverwaltung). Der Landtag hat daraufhin die Landesregierung gebeten, die Vorsorgemaßnahmen ernsthafter zu betreiben, die Maßnahmen ressortübergreifend abzustimmen und Wirtschaftlichkeitsberechnungen durchzuführen.

Die Landesregierung hat im Bericht vom 22.12.2005 (Landtagsdrucksache 13/4923) eingeräumt, dass die Ausfallvorsorge bei der Informationstechnik für den Katastrophenschutz unabdingbar sei. Nach den Feststellungen der Finanzkontrolle wurden aus dieser Erkenntnis aber keine hinreichenden Folgerungen gezogen. Weitere Anstrengungen sind erforderlich, um eine gut funktionierende wirtschaftliche Ausfallvorsorge sicher zu stellen.

2 Mögliche Großschadensereignisse

Lokale oder regionale Schadensfälle mit Auswirkungen auf die IuK-Infrastruktur und die Verfügbarkeit von Daten wichtiger Fachverfahren können sein:

  • Höhere Gewalt (Blitz, Feuer, Wassereinbruch, technische Großschäden in der Nachbarschaft, radioaktiver Niederschlag, Seuchen, Pandemien),
  • Menschliche Fehlhandlungen (fahrlässige Zerstörung, Fehlbedienung, fehlerhafte Administration),
  • Technisches Versagen (großflächiger oder längerer Ausfall der Stromversorgung, Software-Schwachstellen),
  • Vorsätzliche Handlungen (Manipulation von Zugangsdaten, Vandalismus, Anschläge, Computerviren).

Daraus können weitere Bedrohungen entstehen. Zum Beispiel kann ein längerer großflächiger Stromausfall die Verwaltung außer Funktion setzen, gleichzeitig aber auch eine Gefahr für die öffentliche Sicherheit darstellen.

3 Wesentliche Feststellungen

3.1 Ganzheitliches Konzept zur IuK-Ausfallvorsorge fehlt

Trotz eindeutiger Landtagsbeschlüsse infolge früherer Prüfungen der Finanzkontrolle sind die Maßnahmen der Ministerien zur IuK-Ausfallvorsorge bei Großschadensereignissen noch nicht ausreichend. Insbesondere fehlt es an einheitlichen Konzepten, die die Grundsätze des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beachten und an einer zentralen koordinierenden Steuerung. Auch wurden Prinzipien der Wirtschaftlichkeit nicht ausreichend beachtet.

3.2 Zentrale Kommunikations- und Informationsdienste müssen verfügbar sein

Um Krisenlagen zu bewältigen, ist eine funktionierende E-Mail- und Fernsprechkommunikation unverzichtbar. Deshalb muss das Datennetz des Landes, über das die E-Mail-Kommunikation der Landesdienststellen untereinander, mit dem Bund oder mit kommunalen Behörden läuft, technisch ausreichend abgesichert sein. Hier sind Nachbesserungen erforderlich. Problematisch ist ferner, dass die Krisenstäbe bei ihren Übungen in der Regel von einer funktionierenden E-Mail-Kommunikation ausgehen und einen Ausfall der IuK-Infrastruktur gar nicht erst in ihre Konzeptionen einbeziehen. Selbst Verwaltungen, die über Ersatzsysteme verfügen, sehen deren Nutzung kritisch, weil die Mitarbeiter der Krisenstäbe darin nicht geübt seien.

Auch die telefonische Kommunikation könnte sich als nicht ausreichend erweisen. Wie das Beispiel eines großflächigen Stromausfalls im Januar 2008 gezeigt hat, können in einem solchen Fall in kurzer Zeit die Mobilfunknetze überlastet sein. Vorrangschaltungen im Festnetz nach den Vorschriften der Telekommunikations-Sicherstellungs-Verordnung wurden zwar von wenigen Verwaltungen bei der Bundesnetzagentur beantragt. Die Telekommunikationsunternehmen haben bisher jedoch noch nicht belegen können, ob diese im Krisenfall auch funktionieren.

Zur Information der Bevölkerung in Krisenfällen hat das Land einen Sonderinformationsdienst im Internet eingerichtet und hierfür bislang mehr als 500.000 Euro bezahlt. Es ist jedoch kompliziert, das System mit Informationen durch die Ministerien zu bestücken. Außerdem ist die eingesetzte Technik mittlerweile überholt und zu teuer. Eine günstigere und einfachere Alternative wäre die Informationsplattform im Internet, auf der das Land ohnehin sein E-Government betreibt.

3.3 Risikofolgenabschätzungen und Notfallorganisation bei IuK-Fachverfahren

Die Landesregierung konnte sich nicht darauf verständigen, welche IuK-Fachverfahren für Krisenzeiten vorzugsweise abzusichern sind. Die Stabsstelle für Verwaltungsreform hat sich zwar bemüht, Priorisierungslisten zu erstellen. Bislang kamen aber nur Wunschlisten der Ministerien heraus, in denen Projekte nach Einschätzung der einzelnen Ministerien hinsichtlich Dringlichkeit, Verfügbarkeit und Kosten bewertet wurden. Beispielsweise sollte ein Abrechnungsverfahren für Reisekosten bereits nach einem Tag wieder verfügbar sein, während der Wiederanlauf eines Systems zur Überwachung von Lebensmittelvergiftungen erst nach fünf Tagen gefordert wurde.

Ministerien haben teilweise zwar kostspielige Ausfallvorsorgemaßnahmen für reine Verwaltungsverfahren getroffen, wie Statistik, Steuer oder Auszahlung von EU-Subventionen. Hingegen ist nicht sichergestellt, ob den Krisenstäben die Daten für die Daseinsvorsorge der Bevölkerung (Ernährung, Gesundheit, Energie) zur Verfügung stehen.

Auf der Ebene der IuK-Verfahren ist die Ausfallvorsorge zum Teil technisch wie organisatorisch zu verbessern. Dies gilt vor allem hinsichtlich der Notfallhandbücher und der Datensicherung. Befriedigend ist insoweit allenfalls der bei der Polizei erreichte Standard. Insgesamt werden Notfälle im Land jedoch zu wenig geübt, um die Wirksamkeit der Sicherungsvorkehrungen beurteilen zu können.

Schließlich haben sich einige Verwaltungen zur Ausfallvorsorge auch in bedenklicher Weise in Abhängigkeiten von externen IuK-Unternehmen begeben, sodass der Wiederanlauf wichtiger Systeme mit dem eigenen IuK-Personal nicht möglich ist.

3.4 Fehlende Wirtschaftlichkeit und fehlende Alternativen

Da sich die Ministerien bislang nicht auf eine Priorisierung der IuK-Systeme und Verfahren zur Bewältigung von Krisenfällen einigen konnten, geben sie ihre IuK-Haushaltsmittel ausschließlich nach ressortbezogenen Kriterien aus. Diesbezüglich gibt es auch keine verursachungsgerechte Kostenerfassung in den Kosten- und Leistungsrechnungen. So hat kein Ressort eine genaue Vorstellung, was seine IuK-Ausfallvorsorge im Einzelnen kostet.

Die Wirtschaftlichkeit der getroffenen Maßnahmen ist in erheblichen Teilen der Projekte nicht belegt. Auf Ausschreibungen wird in manchen Fällen verzichtet mit dem Argument, solche Ausfallvorsorgemaßnahmen seien so spezifisch, dass sie nur von einem Unternehmen realisiert werden könnten (Alleinstellungsmerkmal). Diese Begründung ist keineswegs immer zutreffend.

In einem Fall wurde auf die Ausschreibung verzichtet, weil es sich nach Angaben des betroffenen Ministeriums um einen Folgeauftrag im Rahmen einer bestehenden Vereinbarung handelte. Der „Folgeauftrag“ betraf jedoch eine völlig andere IuK-Technik und hatte ein Auftragsvolumen von 11 Mio. Euro (fast so viel wie der ursprüngliche Auftrag, der im Übrigen bereits vor mehr als zehn Jahren erteilt worden war). Nach Ansicht der Finanzkontrolle hätte in diesem Fall ausgeschrieben werden müssen.

Alternative Ausweich-Rechenzentren, die anstelle einer vorhandenen Bunkeranlage hätten in Betracht gezogen werden können, wurden nicht geprüft. Infrage kämen vorhandene Kapazitäten im Land (bestehende Überkapazitäten mit zusammen fast 1.000 m² Fläche) oder auch Kooperationen mit anderen Bundesländern.

Im Übrigen erscheint fraglich, ob der derzeitige private Betreiber bei Großschadensereignissen überhaupt in der Lage ist, die Ausfallvorsorge für das Land in hinreichendem Maß zu gewährleisten.

4 Zusammenfassende Wertung und Empfehlung

Der IuK-Ausfallvorsorge bei Großschadensereignissen muss in der Landesverwaltung ein höherer Stellenwert beigemessen werden.

Der Rechnungshof empfiehlt hierzu

  • ein ressortübergreifendes Konzept zur IuK-Ausfallvorsorge bei Großschadensereignissen,
  • sachgerechte Analysen zur Abschätzung von Risikofolgen mit einer Bewertung der Auswirkungen auf die Daseinsvorsorge für die Bevölkerung und die Sicherstellung der öffentlichen Ordnung, wenn wichtige Kommunikationssysteme ausfallen und Daten von unverzichtbaren IuK-Fachverfahren nicht mehr verfügbar sind,
  • für solche Fälle hinreichende Sicherungsmaßnahmen, deren Wirtschaftlichkeit auf einem Vergleich von Alternativen und Ausschreibungen beruht, sowie
  • wirklichkeitsnahe Übungen von IuK-Vorsorgemaßnahmen, auch zur Sicherstellung der ressortübergreifenden Zusammenarbeit der Krisenstäbe.

Die Landesregierung sollte sich für das Notfallmanagement auf ein Modell gemäß dem Standard des Bundesamtes für Sicherheit in der Informationstechnik verständigen. Hierzu gehört eine Bestandsaufnahme aller möglicherweise kritischen IuK-Systeme und -Fachverfahren. Diese sind hinsichtlich ihrer Kritikalität (Bedeutung der Verfügbarkeit in Schadensfällen), des Risikos (Eintrittswahrscheinlichkeit des Ausfalls und möglicher Umfang der Schäden) und der Wirtschaftlichkeit zu bewerten. Für besonders kritische Verfahren empfiehlt der Rechnungshof eine spezielle Zertifizierung des oben genannten Bundesamtes. Hieraus wird sich eine Prioritätenliste ergeben, welche auch eine Rangfolge für den Einsatz der Haushaltmittel vorgibt.

5 Stellungnahmen der Ministerien

Die Feststellungen der Finanzkontrolle werden vom Innenministerium in einer mit den anderen Ministerien abgestimmten Stellungnahme nicht infrage gestellt.

Dem Innenministerium sei es ein Anliegen, die Ausfallvorsorge für Informations- und Kommunikationstechnik in dem Ausmaß zu ertüchtigen, das für eine Aufrechterhaltung ihrer Funktion in Krisenzeiten geboten ist. Das Ministerium nennt Projekte, die künftig vorangetrieben werden sollen, beispielsweise

  • die Risikoabschätzung wichtiger Fachverfahren,
  • den Aufbau einer krisensicheren Kommunikationsinfrastruktur,
  • den Ersatz des ungeeigneten Sonder-Informationsdienstes,
  • die Implementierung von Sicherheitsstandards des Bundesamtes für Sicherheit in der Informationstechnik und
  • die ressortübergreifende Priorisierung der Fachverfahren.

Das Finanzministerium hat sich bereit erklärt, nach Ablauf des Vertrags über die bestehende Bunkeranlage im Jahre 2013 die Konzeption eines warmen Rechenzentrums, das im Krisenfall mit Landespersonal betrieben wird, zu prüfen, ggf. anzupassen und neu auszuschreiben.