Der niederländische Onlineshop vidaXL ist unter anderem auf großen Verkaufsplattformen wie dem Amazon Marktplatz oder eBay aktiv, aber auch mit eigenem Auftritt vertreten. Am Sonntag hat das Unternehmen Kunden in E-Mails darüber informiert, dass bei einem IT-Vorfall möglicherweise Daten abgeflossen sind.

Das Unternehmen sei kürzlich darüber informiert worden, dass „eine unbefugte externe Partei Zugriff auf einen unserer Kundendatenserver erlangt“ habe, heißt es in dem Schreiben. Dieser sei von einem Dienstleister gehostet worden. Es lägen keine „direkten Hinweise“ vor, dass dabei die persönlichen Daten der Mail-Empfänger abgeflossen seien.

„Unmittelbar nach Bekanntwerden des Vorfalls haben wir Maßnahmen zur Eindämmung ergriffen und eine umfassende Untersuchung eingeleitet – in Zusammenarbeit mit führenden Experten für Informationssicherheit. Zudem haben wir die zuständigen Datenschutzbehörden informiert“, erörtert der Online-Versender.

Zugriff auf persönliche Daten möglich

Dennoch wäre ein unbefugter Zugriff möglich gewesen, sodass „bestimmte Daten von Ihnen möglicherweise durch die externe Partei eingesehen wurden“. Die potenziell abgeflossenen Daten umfassen die Namen, Kontaktdaten sowie Informationen zu bei vidaXL getätigten Einkäufen, erklärt das Unternehmen weiter. „Diese Informationen könnten für Phishing-Versuche missbraucht werden.“

vidaXL führt weiter aus: „Wir möchten jedoch ausdrücklich betonen, dass die betroffenen Daten keine Passwörter, Kreditkarteninformationen oder sonstige zahlungsrelevante Daten enthalten.“

Das niederländische Unternehmen wurde 2006 gegründet und beschäftigt eigenen Angaben zufolge mehr als 2.000 Mitarbeiter. Diese arbeiten in Onlineshops in 30 Ländern weltweit.

Cybereinbrüche mit Datenabfluss bei Unternehmen sind inzwischen an der Tagesordnung. Bei dem HR-Softwareanbieter Workday wurde etwa jüngst ein IT-Vorfall bekannt, bei dem Geschäftsdaten von Angreifern eingesehen werden konnten. Auch beim HR-Softwareanbieter Infoniqa wurde kürzlich von unbefugten Eindringlingen auf Serversysteme zugegriffen, woraufhin das Unternehmen Störungen einiger Dienste einräumen musste.

(dmk)

Eigentlich wollte die Bundesregierung die Bundes-IT in diesem Jahr fertig modernisiert haben. Vor zehn Jahren beschloss sie ein Konzept zur IT-Konsolidierung. Damit wollte der Bund „eine leistungsfähige, wirtschaftliche, stabile und zukunftsfähige IT“ erreichen.

Das Konzept schaffte es aber bisher vor allem in die Schlagzeilen, weil die Kosten von einer Milliarde Euro auf 3,5 Milliarden Euro stiegen. Seinen Zielen kam der Bund trotzdem kaum näher. Er wollte IT und Netzinfrastruktur für die Bundesverwaltung fit machen und Kosten senken, etwa durch das Zusammenlegen von Rechenzentren.

Über zehn Jahre später ist klar: Der Bund ist hinter den Zielvorstellungen von damals weit zurückgeblieben. Das ist das ernüchternde Prüfergebnis des Bundesrechnungshofes. Wir veröffentlichen den 34-seitigen Bericht: Zentrale IT des Bundes – 10 Jahre IT-Konsolidierung Bund und Netze des Bundes.

Ziele heruntergeschraubt

Der Bundesrechnungshof prüfte, wie die zuständigen Finanz- und Innenministerien das Mammutprojekt umsetzen. Hardware- und Software-Komponenten zu vereinheitlichen, hält der Bundesrechnungshof für sinnvoll. Damit ließen sich nicht nur Kosten einsparen. IT-Systeme seien dadurch auch einfacher zu pflegen und weiterzuentwickeln. Nicht zuletzt könne es sie sicherer machen und dazu beitragen, dass der Bund die eigene IT besser kontrollieren kann.

Doch der Rechnungshof kritisiert, dass die Bundesregierung die ambitionierten Ziele beschnitten habe. Der Bund wollte noch 2018 die über 1.300 Rechenzentren und Serverräume der Bundesverwaltung auf eine kleinere Zahl zusammenschrumpfen. Inzwischen hat sie dieses Ziel zu den Akten gelegt.

Auch die Ziele, Software-Lösungen zu standardisieren und zu bündeln, schränkte die Bundesregierung ein. Hier wollte das zuständige Bundesinnenministerium bis Ende 2025 49 zentrale IT-Lösungen bereitstellen. Doch nicht alle werden fertig. Dabei habe das BMI für seine Aufgaben in den Jahren 2016 bis 2025 eine Milliarde Euro erhalten.

Netze des Bundes

Zunehmend wichtiger werden die Netze des Bundes. Mit der IT-Konsolidierung soll ein großer Teil des Datenverkehrs zwischen Behörden dahin verlagert werden. Damit steigen auch die Anforderungen an die Netze des Bundes und ihren Betrieb.

Bundesregierung, Bundesverwaltung sowie die Verwaltungen der Länder sollen darüber besser zusammenarbeiten, kommunizieren und sicher Daten austauschen können. Netzbetreiberin ist die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben. Diese BDBOS untersteht dem BMI.

Doch davon sind die Netze des Bundes weit entfernt. Laut Bundesrechnungshof sind wesentliche Komponenten „veraltet“, erhalten also zum Beispiel keine Sicherheitsupdates mehr. Zudem erfüllten die Netze des Bundes grundlegende Anforderungen zur „Bandbreite, Skalierbarkeit und Leistungsfähigkeit“ nicht. Mitarbeiter*innen in Behörden können darüber etwa keine Videokonferenzen abhalten oder mobil arbeiten.

Das kann die BDBOS laut Rechnungshof mit der jetzigen Architektur auch nicht entsprechend anpassen. Daher entwickelt sie die Netze des Bundes zu einem Informationsverbund der öffentlichen Verwaltung weiter. Das soll 1,3 Milliarden Euro kosten. Die müsste der Bund zur Verfügung stellen, so der Rechnungshof, unter anderem auch dafür, sich vom privaten Generalunternehmer unabhängiger zu machen.

IT-Strategie wird nicht konkret

Seit 2022 arbeitet die Bundesregierung an einer neuen IT-Strategie zusammen mit dem IT-Rat. Dieses Gremium steuert die Digitalisierung der Bundesverwaltung und legte zehn Handlungsfelder fest, um Ziele der Konsolidierung handhabbar zu machen. Dazu gehört etwa „Konsolidierung, Standardisierung und Nachfrage“.

Doch konkret ist die Bundesregierung bisher nur beim Handlungsfeld „Cloud Computing“ geworden. Andere Felder zu „Digitaler Souveränität, Resilienz und Sicherheit“ oder „Digitale Infrastruktur“ ließen laut Rechnungshof keine klare Zielsetzung und daher auch keine Fortschritte erkennen.

Mängel beim Monitoring

Der Bundesrechnungshof kritisiert: „Die Bundesregierung hat die übergreifenden Ziele der IT-Konsolidierung Bund seit dem Jahr 2015 weder überprüft noch angepasst.“ Für das mangelnde Monitoring führt er mehrere Beispiele an.

So habe die Bundesregierung bislang nicht geprüft, inwieweit sie von technologischen oder geopolitischen Entwicklungen weltweit betroffen ist, wenn sie ihre IT bündelt. Ein Beispiel dafür sind wiederum Lieferkettenprobleme.

Logistikprobleme, Handelsbeschränkungen oder politische Konflikte – diese Ursachen zählt etwa die Zentralstelle für IT-Beschaffung auf. Die Bundesverwaltung hat dann unter Umständen mit höheren Preisen zu kämpfen oder muss damit rechnen, auf Server sieben Monate lang zu warten.

Eine klare Zielsetzung schaffte auch das BMI bei Thema IT-Beschaffung nicht. Um IT für den Bund wirtschaftlich zu beschaffen, sollte das Ministerium die Nachfrage und Beschaffung koordinieren. Dazu sollten Behörden unter anderem möglichst über Rahmenverträge einkaufen. Die Hoffnung sind hier niedrigere Preise. Laut Rechnungshof legte das BMI jedoch nicht fest, wie es die Auswirkungen auf Einkaufspreise messen will.

Zu viele Externe

Um die einzelnen Aufgabenbereiche umsetzen zu können, konnte sich die Bundesregierung nicht allein auf eigenes qualifiziertes Personal verlassen. Das geht aus dem Bericht des Rechnungshofes hervor.

Daher habe beispielsweise das BMI in den Jahren 2018 bis 2022 viele Externe beauftragt. Für Dienstleistungen zu „Projektunterstützung, Finanzcontrolling, Risikomanagement und Veränderungsmanagement“ habe das Ministerium „knapp 28 Millionen Euro“ ausgegeben.

Der Rechnungshof mahnt, die Bundesregierung dürfe sich gerade beim Thema Finanzcontrolling seiner IT-Projekte nicht von Externen abhängig machen. „Dies kann die Verwaltungsintegrität gefährden.“ Laut Bericht hat das Digitalministerium angekündigt, künftig mehr Stellen zu erhalten.

Noch ein langer Weg

Der Bundesrechnungshof sieht noch „einen langen Weg“ zur zentralen IT des Bundes: „Die Bundesregierung wollte mit der IT-Konsolidierung Bund und den Netzen des Bundes eine leistungsfähige, sichere, wirtschaftliche und zukunftsfähige zentrale IT für die Bundesverwaltung aufbauen. Sie hat es bis heute nicht geschafft, die dafür nötigen Stellschrauben vollständig zu justieren.“

Das Cloud-Unternehmen Workday, das auf Dienste rund um Human Ressources (HR) oder Finanzplanung spezialisiert ist, wurde Opfer eines IT-Vorfalls. Cyberkriminelle konnten nach Angaben des Unternehmens Zugriff auf das CRM-System von Workday erlangen. Dabei sind potenziell Daten von den nach Unternehmensangaben rund 11.000 Kunden aus mehr als 175 Ländern weltweit abgeflossen.

Das teilt Workday jetzt auf seiner Webseite mit. Eine Social-Engineering-Kampagne habe viele größere Organisationen getroffen, so auch Workday, erklärt das Unternehmen. Bösartige Akteure haben Angestellte mittels Textnachrichten oder Telefon kontaktiert und vorgegeben, aus der Personalabteilung oder IT zu stammen. Deren Ziel sei es, die Angestellten dazu zu bringen, ihre Zugangsdaten preiszugeben oder ihre persönlichen Informationen.

Workday habe festgestellt, dass Unbekannte Zugriff auf die eingesetzte Drittanbieter-CRM-Plattform erlangt hatten. Das Unternehmen betont, dass es keine Hinweise gebe, dass es zu Zugriffen auf Kunden-Tenants oder Daten darin gekommen ist. Workday habe schnell reagiert, den Zugang zu schließen und weitere Schutzmaßnahmen ergriffen, um vor ähnlichen Vorfällen in Zukunft gefeit zu sein.

Abgeflossene Informationen

Die Daten, an die die Angreifer gelangen konnten, waren primär allgemein verfügbare Geschäftskontakt-Informationen wie Namen, E-Mail-Adressen und Telefonnummern. Damit können sie ihre Betrugsversuche ausweiten.

Daher sei es wichtig zu wissen, dass Workday niemals jemanden über das Telefon kontaktiert, um ein Passwort abzufragen oder andere Sicherheitsdetails. Alle Kommunikation komme durch die vertrauenswürdigen Kommunikationskanäle, ergänzt Workday.

Am vergangenen Freitag wurde auch ein IT-Vorfall bei Infoniqa bekannt. Das Unternehmen ist ebenfalls im Bereich Human Ressources und Lohnabrechnungen „as a Service“ unterwegs. Das Ausmaß des Vorfalls und potenziellen Datenlecks ist dort derzeit unbekannt.

(dmk)