Falsch planen, teuer einkaufen, schlecht sichern

Vorweg eine Einschränkung: Aus dem Ergebnisbericht 2003 kann zwar jeder CIO lernen. Gerade in der öffentlichen Verwaltung gibt es jedoch nicht viele davon. So bemängelt der Bundesrechnungshof auch in diesem Jahr wieder, dass in der Behörden-IT die Entscheidungswege unklar verlaufen und die Verantwortlichen nicht eindeutig benannt sind. Würde die öffentliche Verwaltung nicht einem wild gewucherten Mischkonzern gleichen, träten auch die unten genannten Kardinalfehler nicht immer wieder auf. Einziger Vorteil, den dieses grundsätzliche Übel birgt: Für CIOs aus der freien Wirtschaft gewinnt der Ergebnisbericht an Lehrwert. Er identifiziert drei Fehlerquellen, die auch in jedem Betrieb auftauchen.

1. Bei der Beschaffung wird zu viel Geld ausgegeben. Beispiel Bundeswehr: In den wehrtechnischen Dienststellen der Bundeswehr (WTD) sitzen Techies, denen der Rechnungshof ankreidet, sie untersuchten nur selten die Wirtschaftlichkeit ihrer Bestellungen. „Wurden die erforderlichen Prüfungen angestellt, dann oft nicht umfassend oder fehlerhaft“, heißt es in dem Bericht: „Die Notwendigkeit und Angemessenheit des angemeldeten Bedarfs wurde nur ansatzweise kontrolliert. Oft enthielten die Beschaffungsanträge für handelsübliche IT spezielle Anforderungen, die auf Geräte eines bestimmten Herstellers zugeschnitten waren.“ Das Verteidigungsministerium ist aufgefordert, bis zum Oktober einen Bericht vorzulegen, wie dem Problem beizukommen sei. Auch das Ministerium für Bildung und Wissenschaft (BMBF) handelt als Aufsichtsbehörde bei der Beschaffung nicht vorbildlich, urteilt der Bundesrechnungshof: Es gewähre etwa den in der „Hermann von Helmholtz-Gemeinschaft Deutscher Forschungszentren“ zusammengeschlossenen 15 Großforschungseinrichtungen (Helmholtz-Zentren) jährlich Zuwendungen in Höhe von rund 1,36 Milliarden Euro. Bei der Prüfung des IT-Einsatzes im administrativen Bereich von vier Helmholtz-Zentren stellte der Rechnungshof fest, dass die Notwendigkeit von Beschaffungen nicht oder nur unzureichend begründet wurde. Teilweise führten die Helmholtz-Zentren keine Wirtschaftlichkeitsberechnungen durch. Auch hatte das BMBF den IT-Einsatz weder koordiniert noch hinreichende Konzeptionen erstellen lassen.

2. Das ProjektmanagementProjektmanagement funktioniert nicht. Beispiel: Die Bundesanstalt für Landwirtschaft und Ernährung (BLE) hat in den letzten Jahren das IT-Projekt „Workflowmanagement“ betrieben, um ihre Genehmigungs- und Zahlungsvorgänge besser abwickeln zu können. Sie hat dabei erst Verträge abgeschlossen und Anforderungen auch noch geändert, nachdem die Programmierarbeiten schon begonnen hatten. Zum Dauereinsatz von Fremdprogrammierern addierten sich dabei Mehrkosten durch den verspäteten Kauf eines Großrechners. Der Rechnungshof führt dies auf mangelhaftes Projektmanagement und -controlling zurück. Selbiges fehlt auch bei der Versorgungsanstalt des Bundes und der Länder (VBL). Seit 14 Jahren soll dort mit dem IT-Projekt „Integrierte Sachbearbeitung - Versicherung und Leistung“ die IT modernisiert werden. Ebenso wie der Zeitrahmen hat auch das Budget längst den ursprünglichen Scope verlassen und liegt mittlerweile bei mehr als 50 Millionen Euro - Ende offen. Alles zu Projektmanagement auf CIO.de

3. Sicherheit ist kein Thema. Wieder stehen die Wehrtechnischen Dienststellen der Bundeswehr in der Kritik. Sie erproben wehrtechnisches Material, das in der Bundeswehr eingeführt werden soll. Die Kommunikation über die Ergebnisse erfolge jedoch über weitgehend ungeschützte IT-Systeme, bemängelt der Rechnungshof: „Es fehlten IT-Sicherheitskonzepte oder dokumentierte Risikoanalysen, so dass weder den WTD noch ihren vorgesetzten Dienststellen bekannt war, wie groß der konkrete Schutzbedarf war. Die Zutrittskontrollen zu den Sicherheitszonen waren vielfach lückenhaft. In keinem der vom Rechnungshof geprüften Fälle waren technische Vorkehrungen getroffen worden, mit denen der unbefugte Zugriff auf geheime Daten hätte bemerkt werden können.“

Auch die Bundesanstalt für Arbeit (BA) fängt sich Kritik in Sachen Sicherheit ein: Der Gerster-Behörde sei nicht gelungen, ihr mehr als 30 Jahre altes IT-Verfahren zur Berechnung und Auszahlung von Arbeitslosengeld, Arbeitslosenhilfe und Unterhaltsgeld zum vorgesehenen Zeitpunkt auszutauschen, heißt es im Rechnungshof-Report. Damit wird ein Finanzvolumen von jährlich rund 45 Mrd. Euro abgewickelt. Nachdem eine erste Neuentwicklung des Verfahrens im Sommer 1995 gescheitert war, forderte der Rechnungsprüfungsausschuss im Jahr 1997 erneut von der BA, das Verfahren zu überarbeiten. Die BA hatte hierfür das Projekt „IT 2000“ eingerichtet mit dem Ziel, das alte Verfahren Ende des Jahres 2000 endgültig abzulösen. Obwohl der Schutzbedarf des alten Verfahrens wegen möglicher hoher Schäden als „sehr hoch“ festgesetzt war, hat sich dies nicht in einem Sicherheitskonzept nieder geschlagen. Mittlerweile rechnet man mit einer Ablösung des Systems im Jahr 2007.

Insgesamt belegt der Bericht des Rechnungshofes wieder sehr eindrücklich, wie Schlamperei und Missmanagement in der IT Millionenschäden verursachen. Wer sich mit der Materie auskennt, wird trotzdem darauf verzichten, lauthals auf vermeintlich Verantwortliche zu schimpfen. Es gibt sie nämlich nicht, beziehungsweise viel zu selten. Beschaffung, Projektmanagement und Sicherheit werden auch im nächsten Bericht des Rechnungshofes wieder als Sorgenkinder auftauchen, solange die IT-Strukturen im öffentlichen Sektor nicht effizienter werden, solange die Verantwortlichen unbenannt und ohne Macht bleiben. Der Rechnungshof hat diese Missstände 1995 erstmals angeprangert. Es wäre an der Zeit, langsam dagegen vorzugehen.