Eigentlich wollte die Bundesregierung die Bundes-IT in diesem Jahr fertig modernisiert haben. Vor zehn Jahren beschloss sie ein Konzept zur IT-Konsolidierung. Damit wollte der Bund „eine leistungsfähige, wirtschaftliche, stabile und zukunftsfähige IT“ erreichen.

Das Konzept schaffte es aber bisher vor allem in die Schlagzeilen, weil die Kosten von einer Milliarde Euro auf 3,5 Milliarden Euro stiegen. Seinen Zielen kam der Bund trotzdem kaum näher. Er wollte IT und Netzinfrastruktur für die Bundesverwaltung fit machen und Kosten senken, etwa durch das Zusammenlegen von Rechenzentren.

Über zehn Jahre später ist klar: Der Bund ist hinter den Zielvorstellungen von damals weit zurückgeblieben. Das ist das ernüchternde Prüfergebnis des Bundesrechnungshofes. Wir veröffentlichen den 34-seitigen Bericht: Zentrale IT des Bundes – 10 Jahre IT-Konsolidierung Bund und Netze des Bundes.

Ziele heruntergeschraubt

Der Bundesrechnungshof prüfte, wie die zuständigen Finanz- und Innenministerien das Mammutprojekt umsetzen. Hardware- und Software-Komponenten zu vereinheitlichen, hält der Bundesrechnungshof für sinnvoll. Damit ließen sich nicht nur Kosten einsparen. IT-Systeme seien dadurch auch einfacher zu pflegen und weiterzuentwickeln. Nicht zuletzt könne es sie sicherer machen und dazu beitragen, dass der Bund die eigene IT besser kontrollieren kann.

Doch der Rechnungshof kritisiert, dass die Bundesregierung die ambitionierten Ziele beschnitten habe. Der Bund wollte noch 2018 die über 1.300 Rechenzentren und Serverräume der Bundesverwaltung auf eine kleinere Zahl zusammenschrumpfen. Inzwischen hat sie dieses Ziel zu den Akten gelegt.

Auch die Ziele, Software-Lösungen zu standardisieren und zu bündeln, schränkte die Bundesregierung ein. Hier wollte das zuständige Bundesinnenministerium bis Ende 2025 49 zentrale IT-Lösungen bereitstellen. Doch nicht alle werden fertig. Dabei habe das BMI für seine Aufgaben in den Jahren 2016 bis 2025 eine Milliarde Euro erhalten.

Netze des Bundes

Zunehmend wichtiger werden die Netze des Bundes. Mit der IT-Konsolidierung soll ein großer Teil des Datenverkehrs zwischen Behörden dahin verlagert werden. Damit steigen auch die Anforderungen an die Netze des Bundes und ihren Betrieb.

Bundesregierung, Bundesverwaltung sowie die Verwaltungen der Länder sollen darüber besser zusammenarbeiten, kommunizieren und sicher Daten austauschen können. Netzbetreiberin ist die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben. Diese BDBOS untersteht dem BMI.

Doch davon sind die Netze des Bundes weit entfernt. Laut Bundesrechnungshof sind wesentliche Komponenten „veraltet“, erhalten also zum Beispiel keine Sicherheitsupdates mehr. Zudem erfüllten die Netze des Bundes grundlegende Anforderungen zur „Bandbreite, Skalierbarkeit und Leistungsfähigkeit“ nicht. Mitarbeiter*innen in Behörden können darüber etwa keine Videokonferenzen abhalten oder mobil arbeiten.

Das kann die BDBOS laut Rechnungshof mit der jetzigen Architektur auch nicht entsprechend anpassen. Daher entwickelt sie die Netze des Bundes zu einem Informationsverbund der öffentlichen Verwaltung weiter. Das soll 1,3 Milliarden Euro kosten. Die müsste der Bund zur Verfügung stellen, so der Rechnungshof, unter anderem auch dafür, sich vom privaten Generalunternehmer unabhängiger zu machen.

IT-Strategie wird nicht konkret

Seit 2022 arbeitet die Bundesregierung an einer neuen IT-Strategie zusammen mit dem IT-Rat. Dieses Gremium steuert die Digitalisierung der Bundesverwaltung und legte zehn Handlungsfelder fest, um Ziele der Konsolidierung handhabbar zu machen. Dazu gehört etwa „Konsolidierung, Standardisierung und Nachfrage“.

Doch konkret ist die Bundesregierung bisher nur beim Handlungsfeld „Cloud Computing“ geworden. Andere Felder zu „Digitaler Souveränität, Resilienz und Sicherheit“ oder „Digitale Infrastruktur“ ließen laut Rechnungshof keine klare Zielsetzung und daher auch keine Fortschritte erkennen.

Mängel beim Monitoring

Der Bundesrechnungshof kritisiert: „Die Bundesregierung hat die übergreifenden Ziele der IT-Konsolidierung Bund seit dem Jahr 2015 weder überprüft noch angepasst.“ Für das mangelnde Monitoring führt er mehrere Beispiele an.

So habe die Bundesregierung bislang nicht geprüft, inwieweit sie von technologischen oder geopolitischen Entwicklungen weltweit betroffen ist, wenn sie ihre IT bündelt. Ein Beispiel dafür sind wiederum Lieferkettenprobleme.

Logistikprobleme, Handelsbeschränkungen oder politische Konflikte – diese Ursachen zählt etwa die Zentralstelle für IT-Beschaffung auf. Die Bundesverwaltung hat dann unter Umständen mit höheren Preisen zu kämpfen oder muss damit rechnen, auf Server sieben Monate lang zu warten.

Eine klare Zielsetzung schaffte auch das BMI bei Thema IT-Beschaffung nicht. Um IT für den Bund wirtschaftlich zu beschaffen, sollte das Ministerium die Nachfrage und Beschaffung koordinieren. Dazu sollten Behörden unter anderem möglichst über Rahmenverträge einkaufen. Die Hoffnung sind hier niedrigere Preise. Laut Rechnungshof legte das BMI jedoch nicht fest, wie es die Auswirkungen auf Einkaufspreise messen will.

Zu viele Externe

Um die einzelnen Aufgabenbereiche umsetzen zu können, konnte sich die Bundesregierung nicht allein auf eigenes qualifiziertes Personal verlassen. Das geht aus dem Bericht des Rechnungshofes hervor.

Daher habe beispielsweise das BMI in den Jahren 2018 bis 2022 viele Externe beauftragt. Für Dienstleistungen zu „Projektunterstützung, Finanzcontrolling, Risikomanagement und Veränderungsmanagement“ habe das Ministerium „knapp 28 Millionen Euro“ ausgegeben.

Der Rechnungshof mahnt, die Bundesregierung dürfe sich gerade beim Thema Finanzcontrolling seiner IT-Projekte nicht von Externen abhängig machen. „Dies kann die Verwaltungsintegrität gefährden.“ Laut Bericht hat das Digitalministerium angekündigt, künftig mehr Stellen zu erhalten.

Noch ein langer Weg

Der Bundesrechnungshof sieht noch „einen langen Weg“ zur zentralen IT des Bundes: „Die Bundesregierung wollte mit der IT-Konsolidierung Bund und den Netzen des Bundes eine leistungsfähige, sichere, wirtschaftliche und zukunftsfähige zentrale IT für die Bundesverwaltung aufbauen. Sie hat es bis heute nicht geschafft, die dafür nötigen Stellschrauben vollständig zu justieren.“

Das Cloud-Unternehmen Workday, das auf Dienste rund um Human Ressources (HR) oder Finanzplanung spezialisiert ist, wurde Opfer eines IT-Vorfalls. Cyberkriminelle konnten nach Angaben des Unternehmens Zugriff auf das CRM-System von Workday erlangen. Dabei sind potenziell Daten von den nach Unternehmensangaben rund 11.000 Kunden aus mehr als 175 Ländern weltweit abgeflossen.

Das teilt Workday jetzt auf seiner Webseite mit. Eine Social-Engineering-Kampagne habe viele größere Organisationen getroffen, so auch Workday, erklärt das Unternehmen. Bösartige Akteure haben Angestellte mittels Textnachrichten oder Telefon kontaktiert und vorgegeben, aus der Personalabteilung oder IT zu stammen. Deren Ziel sei es, die Angestellten dazu zu bringen, ihre Zugangsdaten preiszugeben oder ihre persönlichen Informationen.

Workday habe festgestellt, dass Unbekannte Zugriff auf die eingesetzte Drittanbieter-CRM-Plattform erlangt hatten. Das Unternehmen betont, dass es keine Hinweise gebe, dass es zu Zugriffen auf Kunden-Tenants oder Daten darin gekommen ist. Workday habe schnell reagiert, den Zugang zu schließen und weitere Schutzmaßnahmen ergriffen, um vor ähnlichen Vorfällen in Zukunft gefeit zu sein.

Abgeflossene Informationen

Die Daten, an die die Angreifer gelangen konnten, waren primär allgemein verfügbare Geschäftskontakt-Informationen wie Namen, E-Mail-Adressen und Telefonnummern. Damit können sie ihre Betrugsversuche ausweiten.

Daher sei es wichtig zu wissen, dass Workday niemals jemanden über das Telefon kontaktiert, um ein Passwort abzufragen oder andere Sicherheitsdetails. Alle Kommunikation komme durch die vertrauenswürdigen Kommunikationskanäle, ergänzt Workday.

Am vergangenen Freitag wurde auch ein IT-Vorfall bei Infoniqa bekannt. Das Unternehmen ist ebenfalls im Bereich Human Ressources und Lohnabrechnungen „as a Service“ unterwegs. Das Ausmaß des Vorfalls und potenziellen Datenlecks ist dort derzeit unbekannt.

(dmk)

Diese Entwicklung kam mit Ansage: Sicherheitsforscher sehen aktuell eine Zunahme KI-unterstützter Angriffe und damit einen Wendepunkt im Cyberwettrüsten. So sei jüngst eine russische Spionagesoftware entdeckt worden, die nachweislich mithilfe von Large Language Models (LLM) erstellt wurde und die Computer selbstständig nach sensiblen Daten durchsucht. Laut eines Berichts von NBC News nutzen russische Geheimdienste die Software, um an bestimmte Informationen zu gelangen, die von der Malware nach Moskau übertragen werden.

Ukrainische Behörden und mehrere Cybersicherheitsunternehmen konnten die Schadsoftware im Juli erstmals nachweisen. Der Angriff habe sich gezielt gegen ukrainische Nutzer gerichtet. Die Angreifer versendeten Phishing-E-Mails mit einem Anhang, der ein KI-Programm enthielt. Im Vergleich zu anderer Malware sei diese Schadsoftware viel zielgerichteter und komme ohne menschliche Interaktionen aus. Das mache sie deutlich effizienter.

Nach Angaben der Cybersicherheitsfirma CrowdStrike nehme der Einsatz von KI-Tools bei Angriffen zu. Besonders chinesische, russische und iranische Hacker sowie Cyberkriminelle würden verstärkt darauf setzen. Damit würde das Cyberwettrüsten ein neues Niveau erreichen.

Risiko: KI-Agenten

Mit dem zunehmenden Einsatz von KI-Agenten sehen Experten ein neues Risiko für die Zukunft. Die Tools, die komplexe Aufgaben eigenständig ausführen können, brauchen für ihre Arbeit weitreichende Befugnisse in Unternehmen. Wenn diese von Angreifern zweckentfremdet werden, könnte von ihnen eine massive Gefahr aus dem Inneren hervorgehen.

Den Nachteilen gegenüber steht der Einsatz von KI zur Verbesserung der Sicherheit. Google etwa nutzt nach eigenen Angaben sein LLM Gemini, um die eigene Software nach Schwachstellen zu durchsuchen, bevor sie von Cyberkriminellen entdeckt werden. Mindestens 20 wichtige, bisher übersehene Schwachstellen seien auf diese Weise bereits entdeckt worden, wird Heather Adkins, Vice President of Security Engineering bei Google, zitiert.

In der US-Regierung sieht man KI auch als Hilfe in der Verteidigung vor Cyberangriffen, da zum Beispiel kleine Unternehmen Schwachstellen damit entdecken können, bevor Kriminelle sie ausnutzen können. Allerdings könnten eben auch Penetrations-Testing-Tools künftig entsprechend aufgerüstet werden.

(mki)