Bundesrechnungshof fordert grundlegende Veränderung vom BMI

Vernichtend fällt das Urteil des Bundesrechnungshofs aus über das IT-Projektmanagement der Bundesregierung, maßgeblich des Bundesministeriums des Innern:

„Die Bundesregierung wird komplexe IT-Projekte … nur dann im zeitlichen und finanziellen Rahmen erfolgreich beenden, wenn sie ihre IT-Steuerung grundlegend verändert. Sie muss

  • eigenes Know-How stärken,
  • das Großprojektmanagement professionalisieren,
  • Verantwortung und Kompetenzen in der Verwaltung bündeln,
  • Risiken durch die Vergabe von geeigneten Gewerken abschichten
  • und Verträge durch Leistungsanreize und angemessene Vertragsstrafen durchsetzen.

Diese Einschätzung findet sich in einer Stellungnahme des Bundesrechnungshofs zu einem Bericht der Bundesregierung an den Haushaltsausschuss im Bundestag [1]. Dieser hatte die Bundesregierung im vergangenen Jahr aufgefordert, ein Konzept zur Konsolidierung der IT-Netze und der Rechenzentren des Bundes vorzulegen.

DOI-Infrastruktur und die Netze des Bundes

DOI – Deutschland Online Infrastruktur, war 2006 mit viel PR-Unterstützung gestartet worden als Teil des ‚Leuchtturmprojekts‘ Deutschland Online. Aktuell stellt der Bundesrechnungshof dazu fest:
„Das Projekt ‚Netze des Bundes‘ (NdB) startete im Jahr 2008 und sollte im Jahr 2010 fertig sein. Das Projekt hat bisher weder die zeitlichen noch die inhaltlichen Ziele erreicht. Daher musste die Bundesregierung parallel den Informationsverbund Berlin-Bonn [IVBB / d. Ver.] für 40 Mo Euro ertüchtigen lassen. Den Aufbau der zentralen Technik von NdB brach die Bundesregierung im Jahr 2012 ab. Hierfür hatte sie bis dahin mehr als 50 Mio Euro ausgegeben. … Für weitgehend ungenutzte Rechenzentrumsflächen zahlt der Bund jährlich 6 Mio Euro Miete.“

Die Bundesregierung will nunmehr „sukzessive bis Ende des Jahres 2017“ „die Sicherheit der IT-Netze weiter verbessern“. „Die Eignung der vorgeschlagenen Architektur hat sie bisher allerdings nicht nachgewiesen“, stellt der Bundesrechnungshof fest und weiter „fehlt ihr ein Gesamtüberblick über die Sicherheit aller Weitverkehrsnetze der Bundesverwaltung.“

Zum IT-Projektmanagement des Bundesinnenministeriums

Deutlich fallen die Bewertungen des Bundesrechnungshofs aus zu den Standards und Methoden des IT-Projektmanagements durch das BMI: Diese Kritik zieht sich über diverse Seiten (des fast vierzig-seitigen Berichts), weshalb wir hier nur die wesentlichen Topics wiedergeben:

  • Dem Bericht der Bundesregierung fehlt eine hinreichende Informationsbasis.
  • Die Bundesregierung versäumte, ein geeignetes Controlling aufzubauen.
  • Ein abgestimmtes Kennzahlensystem fehlt, auf dessen Basis die Behörden den Zustand ihrer IT hätten beschreiben und bemessen können. Das BMI fragte vielmehr nur einzelne Aspekte der IT ab.
  • Die vom BMI erhobenen Daten erfassen weder die Produktivität noch die Leistungsfähigkeit der heutigen IT der Bundesverwaltung,
  • … und auch nicht den bestehenden Bedarf,
  • Stärken, Schwächen, Chancen und Risiken (SWOT) der Behörden und Ressorts wurden nicht erhoben,
  • Soll-Ist-Vergleiche wurden nicht angestellt.

Der Bericht kommt daher zum Schluss, dass „die unzureichende Kenntnis über die IT des Bundes so zu kostenintensiven Fehlentscheidungen führen kann“.

Umgang des Bundesinnenministeriums mit Kritik

Das BMI zeigt sich unbeeindruckt von solcher Kritik: Seine „Erhebungsergebnisse“ hält es für „eine hinreichende Basis für Entscheidungen“, merkt an, dass „weitergehende und tiefere Erhebungen lange dauern würden und am Ende der Erhebung evtl. bereits veraltet“ seien. Das BMI spricht sich daher dafür aus, „eine politische Entscheidung auf der jetzigen Datenbasis zu bewirken und bei der späteren Umsetzung Zug um Zug die jeweils erforderlichen Daten zu ermitteln“. [sic?! / d. Verf.]

Dem hält der Bundesrechnungshof entgegen: „Das BMI verkennt, dass die Bundesregierung den teuren und aufwändigen Konsolidierungsprozess [der Netze und Rechenzentren des Bundes / d. Verf.] ohne fortlaufend aktuelle Informationen über die IT des Bundes nicht steuern kann.“ „Vor dem Start … müssen die Ausgangsbasis und Ziele bekannt sein. Entscheidungsrelevante Daten müssen als Teil eines ressortübergreifend standardisierten IT-Controllings in jedem Ressort jederzeit für eine Aggregation auf Bundesebene verfügbar sein.“

Dass und wie dieser offensichtliche Disput zwischen den beiden Bundesbehörden dokumentiert wird, ist außergewöhnlich. Für fatal halten wir persönlich die zum wiederholten Male erkennbare Unfähigkeit des BMI, mit Kritik umzugehen und kritische Anmerkungen zum Anlass zu Verbesserungen zu akzeptieren. Stattdessen wird dagegen gemault und auf ‚politische Entscheidungen‘ gedrängt.

Projektverhau bei DOI

„Die Bundesregierung wiederholt in ihrem Bericht lediglich ihre alten Zielvorstellungen. Wie sie diese Ziele zu erreichen gedenkt, bleibt dagegen weitgehend vage. Dies, sowie der bisherige Projektverlauf wecken Zweifel, dass die Bundesregierung ihre angestrebten Ziele tatsächlich erreichen wird“, urteilt der Bundesrechnungshof.

Zeitverzug: „Bereits seit dem Jahr 2007 bemüht sich die Bundesregierung im Bereich der IT-Netze … ein höheres Sicherheitsniveau zu erreichen. Das ursprünglich bis zum Jahr 2010 angesetzte Projekt verzögerte sich erheblich. Es mangelt offensichtlich an Organisation, Steuerung und Kooperation. Die Chance, früher ein Sicherheitsniveau für die Netze der Bundesverwaltung zu erreichen, ist damit vertan.“

Exorbitante Kosten für externe Berater: Die Kosten für die im Projekt eingesetzten externen Berater waren bis Mitte des Jahres 2012 auf 25,8 Mio Euro angestiegen. [Solche externen Berater werden in IT-Projekten des BMI ja sonst gerne für „Beratung und Unterstützung beim IT-Projektmanagement und Controlling“ eingesetzt, wie jüngst am Fall des IT-Projekts PIAV zu erleben ist. Insofern stellt sich die Frage, warum für 25,8 Mio Euro nicht ein bisschen mehr bzw. besseres IT-Projektmanagement und -controlling eingekauft werden konnte – bzw. wofür dieses Geld eigentlich ausgegeben wurde. / d. Verf.]

„Hingeschmissen“ / Abbruch des Projekts: Mitte 2012 dann gab die Bundesregierung den Versuch auf, das Projekt aus eigner Kraft zu realisieren. Eine Wirtschaftlichkeitsberechnung für diese Entscheidung wurde allerdings nicht erstellt.
Das BMI findet nichts dabei, das Hinschmeißen damit zu erklären, dass „die beteiligten Behörden mit dem Aufbau einer komplizierten Netzplattform in der komplexen Projektstruktur überfordert gewesen seien“..
Dazu hat der Bundesrechnungshof eine einfache Antwort: „Das BMI hätte … die ‚komplexe Projektstruktur‘, die es in Verbindung mit der ‚komplizierten Netzplattform‘ als ursächlich für die Überforderung der beteiligten Behörden ansah, vereinfachen müssen. Stattdessen führt der Abbruch dazu, dass Investitionen in zweistelliger Millionenhöhe nutzlos blieben.“

Vorbereitung einer (freihändigen) Vergabe an den vom BMI bevorzugten TK-Anbieter: Seitdem bereitet das BMI mit einer eigenen Projektgruppe und Unterstützung durch externe Berater [, ohne die bei IT-Projekten des BMI anscheinend nichts mehr geht / persönliche Anmerkung / d. Verf.] die freihändige Vergabe der Realisierung der ‚Netze des Bundes‘ an ein [vom BMI favorisiertes / d. Verf.] TK-Unternehmen vor. Arbeiten für die Netzverwaltungszentren wurden großteils eingestellt. Die vom Deutschen Bundestag genehmigten 136 Planstellen werden nur noch teilweise zweckentsprechend eingesetzt.

Kosten für notwendige Ausweichlösungen: Da die ‚Netze des Bundes‘ nicht plangemäß zur Verfügung standen, mussten 40 Mio Euro in die Sicherung bzw. Modernisierung der an sich abzulösenden ‚Alt‘-Netze investiert werden. Für den Aufbau von NdB wurden 50 Mio Euro ausgegeben, bevor der (Test-)Betrieb eingestellt wurde. Dafür gekaufte (Hardware-)Komponenten mit einem Anschaffungswert von 27 Mio Euro wurden nach drei Jahren an andere Bundesbehörden ‚verschenkt‘. Die Mieten für langfristig angemietete, jedoch nicht genutzte Rechenzentrumsflächen kosten jährlich 6 Mio Euro. Dazu urteilt der Bundesrechnungshof: „Die durch den Projektverzug notwendige, kostenintensive Modernisierung der Bestandsnetze hätte die Bundesregierung verhindern können. Ein Großteil der für die Umsetzung des ursprünglichen NdB-Konzeptes eingesetzten Haushaltsmittel ist verloren.“

Einseitige Festlegung auf eine Lösungsalternative, deren Nutzen nicht erwiesen ist: „Weder BMI noch das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben bisher den Nachweis erbracht, dass die geplante Sicherheitsarchitektur von NdB aus dem Jahr 2007 gegenüber anderen Alternativen wirtschaftlich ist“. schreibt der Bundesrechnungshof weiter. „Das BSI teilte mit, es sei für Auskünfte zur Beschaffenheit und zum Status der Weitverkehrsnetze der Bundesverwaltung nicht zuständig.“ [… was sich ganz anders liest, wenn für das BSI, wie in den aktuellen Verhandlungen über den Haushalt 2015 mehr Geld gefordert wird … / d. Verf.]

Fehlende Information: Und abschließend fragt der Bundesrechnungshof: „Wie die Bundesregierung die Sicherheit der Weitverkehrsnetze der Bundesverwaltung erhöhen will, ohne an zentraler Stelle über die nötigen Informationen über den Status aller heutigen Netze zu verfügen, erschließt sich nicht.“

Die Problematik der Leerrohre

Weitverkehrsnetze bringen die Frage der Leitungsführung mit sich.
„Der Bund“ konstatiert der Bundesrechnungshof, „besitzt u.a. bereits eine durch die Länder betriebene und verwaltete flächendeckende Leerrohrinfrastruktur entlang der Bundesautobahnen. Deren Verfügbarkeit und Eignung für den Aufbau von NdB wurde [durch das BMI / d. Verf.] bislang jedoch nicht geprüft.“ Die vorhandene Leerrohrinfrastruktur hätte jedoch in die Betrachtung einbezogen werden müssen, sagt der Bundesrechnungshof, weist jedoch zugleich auf einen wichtigen Sicherheitsaspekt hin: Bisher sei nämlich „offen, ob und mit welchem Ergebnis das BMI das Risiko betrachtet hat, das sich aus der Kenntnis der Verlaufs der Leerrohrnetzinfrastruktur durch Dritte ergibt: So kennen sowohl die US Army als damaliger Auftraggeber … als auch weitere Kaufinteressenten den Streckenverlauf.“

Outsourcing der ‚Netze des Bundes‘ – die Vorstellungen der Bundesregierung

Status quo ist, dass viele Weitverkehrsnetze der Bundesverwaltung heute von ein- und demselben TK-Anbieter bereitgestellt werden. Die einzelnen Ressorts haben Verträge mit diesem Unternehmen abgeschlossen.

Die Klagen der Bundesregierung

[Mangelnde] Kontrolle und Einfluss auf dieses Unternehmen …

… seien jedoch – nach Auffassung der Bundesregierung – „durch die bisherige Praxis schuldrechtlicher Kontrollrechte“ [sic?!?! / d. Verf.] nicht im notwendigen Umfange sichergestellt. Beklagt wird insbesondere, dass

  • die Effektivität der Kontrollrechte von der Kooperationsbereitschaft des TK-Anbieters abhängig sei [?! / d. Verf.]
  • der Zugang zu sensiblen Unterlagen des TK-Anbieters nur ungenügend sei [?! / d. Verf.]
  • die Hinnahme von Vertragsstrafen für den TK-Anbieter ‚wirtschaftlicher‘ sei als die Umsetzung in aufwändige Sicherheitsmaßnahmen oder die Gewährung von Einsicht in interne Vorgänge [was ggf. über die Höhe der Vertragsstrafe zu regeln wäre … / d. Verf.]

[Angeblicher] IT-Fachkräftemangel

Und im „perspektivisch sich verschärfenden IT-Fachkräftemangel“ sieht die Bundesregierung ein Hauptargument dafür, dass der Bund nicht selbst in der Lage ist, seine Netze auch selbst zu betreiben.

Vorschlag der Bundesregierung: ÖPP-Partnerschaft mit dem TK-Anbieter

Die Bundesregierung schlägt aus den genannten Gründen vor, eine strategische Partnerschaft (ÖPP = Öffentlich-private Partnerschaft) mit einem „vertrauenswürdigen“ TK-Anbieter einzugehen, um

  • die Kontrolle des Bundes über seine sicherheitskritische IuK-Infrastruktur sicherzustellen, [bisher ging es „nur“ um die Netze des Bundes … / d. Verf.],
  • sowie die eigene Leistungsfähigkeit [wieso wird die erhöht, wenn ein anderer den Job macht?? | und wieso ist das ein Entscheidungskriterium?? / d. Verf.]
  • und die technologische Souveränität [?! / d. Verf] und die Innovationsfähigkeit. [?! / d. Verf.]
[Ab hier wird die Argumentation der Bundesregierung leicht surrealistisch: Folgen Sie ihr nach dieser Vorwarnung einfach trotzdem … / d. Verf.] Für diese Partnerschaft, sagt die Bundesregierung, käme nur ein [sic!!] Anbieter in Betracht, weil der nämlich besonders leistungsfähig und vertrauenswürdig sei. Und schlägt damit genau den TK-Anbieter vor, der nach der Auflistung im vorigen Absatz – angeblich so uneffektiv zu kontrollieren sei. Jetzt aber, mit dem neuen Vertragskonstrukt der ÖPP [, wo also beide Parteien mitverdienen / d. Verf.] ist der soeben noch so verteufelte Anbieter plötzlich der Kronprinz.

„Vertrauenswürdig“ sei der von der Regierung gewählte Partner deswegen, weil für ihn „keine gesetzlichen Verpflichtungen bestünden, ausländischen Nachrichtendiensten vertrauliche Informationen weiterzugeben.“

Was der Bundesrechnungshof zu diesen „Argumenten“ sagt …

Der Bundesrechnungshof lässt sich – so deutlich wie selten – ein zu diesem argumentativen Schwachsinn:

… zur [angeblichen] Stärkung der Leistungsfähigkeit: Der von der Bundesregierung behauptete IT-Fachkräftemangel lässt sich durch die amtlichen Statistiken der Bundesanstalt für Arbeit (BA) nicht nur nicht belegen. Das Gegenteil ist vielmehr der Fall: Demnach gab es in 2013 in der BRD 7.700 arbeitslose Informatiker(Innen) und erklärt die BA, dass „im Juni 2014 kein bundesweiter Fachkräftemangel .. in der IT-Netzwerktechnik .. erkennbar“ sei.

… zum angeblich ‚vertrauenswürdigen‘ Vertragspartner:

  • „Die Bundesregierung definiert die mit dem Attribut „vertrauenswürdig“ verbundenen Kriterien nicht. Ob diese Vertrauenswürdigkeit eines TK-Anbieters eine weitreichende Garantie zum Schutz vor dem unberechtigten Zugriff auf NdB bietet, bleibt offen.“

  • „Aktuelle Presseberichte lassen zumindest bezweifeln, dass der von der Bundesregierung als vertrauenswürdig eingestufte TK-Anbieter den unberechtigten Zugriff Dritter auf seine derzeitige Infrastruktur gänzlich ausschließen kann“ und verweist auf diesen Beitrag vom 14.09.2014 auf Heise.de [2].
  • „Es bleibt offen, warum die Bundesregierung annimmt, dass ein multinational agierender Konzern während der Vertragslaufzeit nicht durch Gesetze anderer Staaten zur Preisgabe von Informationen verpflichtet werden kann.“
  • „Die industriepolitische Komponenten einer Partnerschaft mit einem TK-Anbieter kann vor dem Hintergrund , dass vorrangiges Ziel eine sichere IT-Infrastruktur ist, nicht entscheidungsrelevant für die ÖPP-Variante sein.“
  • Empfehlungen des Bundesrechnungshofs zum IT-Projektmanagement der Bundesregierung

    Der Bundesrechnungshof empfiehlt der Bundesregierung daher „für den Betrieb der Netzinfrastruktur keine ÖPP einzugehen“. „Dies sichert ein von der Bundesregierung gewünschtes, umfassendes Kontroll- und Durchgriffsrecht.“

    • Die Bundesregierung sollte untersuchen, ob und auf welchem Wege es sicherheitspolitisch sinnvoll und wirtschaftlich möglich ist, die netzwerkinfrastrukturelle Autonomie der Bundesverwaltung zu erlangen.
    • Unabhängig davon, muss sie ein tragfähiges Konzept erarbeiten, wie sie z.B. durch gesetzliche Regelungen die erforderliche uneingeschränkte Verfügungsgewalt über die von ihr genutzte Netzinfrastruktur unabhängig von den Eigentumsverhältnissen erhält.
    • Dabei muss sie die Unsicherheit jedes privaten oder bundeseigenen Netzes als gegeben voraussetzen.
    • Sie muss durch bedarfsgerechte Maßnahmen die Sicherheit, Verfügbarkeit der genutzten Weitverkehrsinfrastruktur sowie der Anonymität der Internettransaktionen des Bundes erreichen.“

    Man kann darauf gespannt sein, ob und wann Erkenntnisse über mangelnde IT-Projektkompetenz im BMI auch Auswirkungen zeigen auf das Projekt des Polizeilichen Informations- und Analyseverbundes (PIAV), der schon jetzt das Zeug dazu hat, ein ähnliches Fiasko zu werden, wie es das Projekt der ‚Netze des Bundes‘ bereits ist.

    Dieser Artikel ist Teil der Serie Projektmanagement | IT-Projekte

    Eine Übersicht über sämtliche bisher erschienenen Artikel dieser Serie finden Sie hier.

    Quellen zu diesem Beitrag

    [1]   Stellungnahme des Bundesrechnungshofs zum Bericht der
         Bundesregierung an den Haushaltsausschuss vom 09.09.2014
         veröffentlicht durch die Welt am 19.10.2014

    [2]   Bericht: NSA und GCHQ hören Datenverkehr deutscher Provider ab,
         14.09.2014, Heise.de
         http://heise.de/-2391075