Bundesrechnungshof rügt schwere IT-Sicherheitsmängel bei der Bundeswehr
Laut den Finanzkontrolleuren des Bundes betreibt ein Militärsamt ein IT-System für Auszahlungen in Milliardenhöhe, das einige große Fehler bei den Zugriffsberechtigungen und Kontrollmöglichkeiten aufweist.
(Bild: Bundeswehr / Bier)
Der Bundesrechnungshof hat die Bundeswehr aufgefordert, gravierende Sicherheitslücken eines "zahlungsrelevanten IT-Systems" zu beseitigen. Das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Streitkräfte betreibt laut einem Hinweis in dem am Dienstag veröffentlichten zweiten Band des Rechnungshofs-Jahresberichts 2016 eine Datenbank mit einer zugehörigen Anwendung, über die es jährlich Gelder in Höhe von rund 8 Milliarden Euro vor allem für Rüstungsvorhaben auszahlt. Das System sei aber nicht hinreichend gegen "missbräuchliche und unbeabsichtigte Änderungen zahlungsrelevanter Daten geschützt".
Der Rechnungshof stellte vor allem fest, dass die Zugriffsmöglichkeiten auf die Datenbank sehr weit gefasst waren. "Insbesondere die Administratoren hatte das Bundesamt mit nahezu uneingeschränkten Berechtigungen ausgestattet." Diese hätten etwa selbst Zahlungen erfassen oder Nachweise über manipulierte Daten löschen können. Es sei generell nicht vorgegeben gewesen, welche Zugriffe auch einfacher Nutzer protokolliert werden sollten. Viele Beschäftigte hätten umfangreichere Rechte gehabt als eigentlich vorgegeben.
Amt will den Ratschlägen folgen
Die zuständige Militärbehörde habe auch nicht alle Mitarbeiter identifizieren können, die über das zugehörige Programm Informationen zu Rüstungsvorhaben verändern durften, moniert der Rechnungshof. Es sei nicht auszuschließen gewesen, dass "Unbefugte Zugriff auf die Datenbank hatten". Das Amt habe ferner nicht dokumentiert, "ob das IT-System seinen Vorgaben sowie den haushaltsrechtlichen Anforderungen entsprach".
Die Prüfer empfahlen der Behörde dem Bericht zufolge, ein für alle Beschäftigten geltendes Berechtigungskonzept zu erstellen und regelmäßig zu kontrollieren, ob dieses eingehalten werde. Zudem sollten auch andere IT-Systeme überprüft werden. Das gerügte Amt versicherte laut dem Rechnungshof, den Ratschlägen "vollständig nachkommen" zu wollen. Einige Mängel habe es in der Zwischenzeit schon abgestellt. Die staatlichen Kontrolleure wollen sich bald vergewissern, ob die Bundeswehr die Versprechen einhält und ob es ihr in diesem Fall auf Dauer gelingt, "die Anforderungen an die IT-Sicherheit umzusetzen". (anw)
