Das Bundesministerium des Inneren für Bau und Heimat (BMI) hat es versäumt, eine wichtige Rechtsverordnung zu erlassen – entsprechend ist es möglich, dass die bisher entwickelte Software zur Digitalisierung der staatlichen Verwaltung neu entwickelt werden muss.
2017 hat sich die Bundesregierung zum Ziel gesetzt, innerhalb von 5 Jahren alle Dienstleistungen aller Behörden zu digitalisieren. Das Ziel ist, das Bürger zukünftig alle Verwaltungsdienstleistungen auch von zu Hause aus per Internet erreichen können. Aus diesem wichtigen Ziel folgte ein Gesetz – das sogenannte Onlinezugangsgesetz. Dort findet sich der wichtige Paragraph 5.
§ 5 IT-Sicherheit
Für die im Portalverbund und für die zur Anbindung an den Portalverbund genutzten IT-Komponenten werden die zur Gewährleistung der IT-Sicherheit erforderlichen Standards durch Rechtsverordnung des Bundesministeriums des Innern, für Bau und Heimat ohne Zustimmung des Bundesrates festgelegt. (…)
Unser Mitglied clarity hat eine Anfrage (nach Informationsfreiheitsgesetz) über Fragdenstaat.de gestellt, um genau diese Rechtsverordnung einsehen zu können. Die Anfrage findet sich hier. Die IFG-Anfrage förderte zu Tage, dass diese Rechtsverordnung, in der beschrieben wird, welche IT-Sicherheits-Standards für die IT-Komponenten der digitalen Verwaltung gelten sollen, bisher nicht erlassen worden ist. Auch einen Entwurf dazu gibt es bisher nicht.
Die Umsetzung des Onlinezugangsgesetzes geschieht nach dem Prinzip „Einer für Alle“ – jedes Bundesland soll einen der Lebensbereiche komplett digitalisieren und die so entstandene Software den anderen Ländern zur Verfügung stellen. Die meisten Länder haben bereits angefangen und geben sich große Mühe, die Versäumnisse der letzten 20 Jahre im Bereich eGovernment unter Hochdruck nachzuholen.
Aus einigen Ländern und Kommunen hört man bereits jetzt, das man an der fristgemäßen Umsetzung zweifelt, da die Entwicklung langsamer voranschreitet als geplant.
Bei der Digitalisierung der Verwaltungsdienstleistungen müssen ebenen-übergreifende Verknüpfung geschaffen werden, denn notwendige Daten liegen sowohl in den Kommunen, den Ländern aber auch beim Bund. Es ist technisch eine immense Herausforderung, Software zu entwickeln, die unserem Föderalismus gerecht wird, denn zugegriffen wird hier auf sämtliche bei Bund, Ländern und Kommunen vorliegenden Informationen. Wenn Sicherheit in diesem komplexen System erst nachträglich implementiert werden muss, kann dies sehr aufwendig oder sogar unmöglich sein. Eine gute Konzeption (Privacy by Design), die sich intensiv mit Verschlüsselung, Zugrifftokens und den Nutzern befasst, wäre daher sinnvoller als eine spätere Nachrüstung der Sicherheit.
Die gemeinsamen IT-Sicherheits-Grundsätze dieser drei Ebenen, dem Bund, der Länder und den Kommunen, fehlen jedoch nicht nur im OZG, sondern auch an anderen Stellen. Bei kritischer Infrastruktur werden die Anforderungen an den Sektor Staat und Verwaltung auf Bundesebene durch den sogenannten Umsetzungsplan Bund (UP Bund) festgelegt. Die notwendigen Regelungen für Länder und Kommunen treffen die Länder selbst, aber auch diese Regelungen fehlen bisher. Die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates ist immerhin verbindlich für Bund und Länder – für Kommunen ist sie aber leider nur empfehlend.
Der Sektor „Staat und Verwaltung“, und damit auch manche Teile der Verwaltung, die bürgernahe Verwaltungsdienstleistungen erbringen, fallen auch unter die kritischen Infrastrukturen, auch wenn in diesem Sektor die Kritis-Verordnung nicht anwendbar ist. Umso wichtiger ist es, dass der Staat bei Softwareprojekten in diesem Bereich höchste Sorgfalt walten lässt, den Stand der Technik beachtet und IT-Sicherheit von Anfang an mitdenkt.
Das Onlinezugangsgesetz (OZG) trat am 18. August 2017 in Kraft. Es regelt, dass bis zum 31.12.2022 die Umsetzung abgeschlossen sein muss. Der Gesetzgeber hat den Ländern also 1961 Tage oder auch 5,37 Jahre gegeben, die 578 Verwaltungsdienstleistungen, geteilt in 14 sog. „Lebensbereiche“ digital abzubilden.
Nun sind von den 1961 Tagen Projektdauer bereits 1115 Tage (Stand 06.09.2020) verstrichen. Das sind 56,8% der gesamten Projektdauer, ohne das festgelegt wurde, welche IT-Sicherheits-Standards beachtet werden sollen. Selbstverständlich haben die Länder und die Kommunen bereits angefangen, Software zu entwickeln.
Es ist zu befürchten, das ein Großteil dieser bisher geleisteten Arbeit der Länder und Kommunen „für die Tonne“ ist – denn wie sollen sich Softwareentwickler an Standards halten, wenn nicht feststeht, welche Standards das sind?
Durch das Versäumnis des Bundesministerium des Inneren (BMI) diese Rechtsverordnung zu Projektbeginn zu erlassen, droht nun das Projekt zu scheitern, denn eine jahrelange Verzögerung dieses mehr als überfälligen Projekts wäre nichts anderes als ein Scheitern.
Da bereits mehr als die Hälfte der Projektdauer verstrichen ist, ohne das die notwendigen Standards festgelegt wurden, ist eine fristgemäße Fertigstellung der digitalisierten Verwaltungsdienstleistungen mehr als unwahrscheinlich geworden.
Es ist daher dringend notwendig, dass diese Rechtsverordnung nun zügig erlassen wird. Bundesminister des Inneren Horst Seehofer muss nun dafür sorgen, das trotz des Versäumnisses seiner Behörde, das Prinzip „Security by Design“ eingehalten wird. IT-Sicherheit darf kein nachgerüstetes Feature sein, sondern muss von Anfang an in jeder Architektur und jeder Entscheidung mitgedacht werden.