Mängel beim Risikomanagementsystem der Stadt Wien

23. Jänner 2026 – Prüfung zur IT-Sicherheit und zur Digitalisierungsstrategie der Stadt Wien veröffentlicht

17,05 Millionen Euro gab die Stadt Wien für IT-Security aus - Rathaus, Straßenbahn - Copyright: Foto: iStock/querbeet

Die Sicherheit der IT-Systeme ist für die öffentliche Verwaltung wesentlich. Für Angelegenheiten im Bereich Informations- und Kommunikationstechnologie (IKT) sind bei der Stadt Wien die Magistratsdirektion – Geschäftsbereich Organisation und Sicherheit (MD-OS) sowie die Magistratsabteilung 01 – Wien Digital (MA 01) der Geschäftsgruppe Innovation, Stadtplanung und Mobilität zuständig. Die MA 01 ist Rechenzentrum und zentraler Dienstleister für IKT-Services der Stadt Wien; etwa auch im Bereich der Trinkwasserversorgung, der Wiener Berufsrettung und der Wiener Spitäler. 2024 hatte die MA 01 rund 91.000 PCs und Notebooks sowie 10.000 Server zu betreuen. Für Sachkosten der IT-Sicherheit zahlte sie im Jahr 2024 insgesamt 17,05 Millionen Euro aus. Der Rechnungshof stellt in seinem heute veröffentlichten Bericht „Management der IT-Sicherheit und Digitalisierungsstrategie der Stadt Wien (pdf)“ fest, dass die MA 01 zahlreiche Maßnahmen für die IT-Infrastruktur setzte. Umfassenderen Handlungsbedarf sah er im Bereich Risikomanagement. Geprüft wurden die Jahre 2021 bis 2024. 

Risikomanagement dezentral organisiert

Die Stadt Wien machte keine konkreten Vorgaben zur Ausgestaltung des Risikomanagements in den Dienststellen. Es oblag den Dienststellenleitungen selbst, ein internes Risikomanagementsystem einzurichten. Die Stadt hatte keinen zusammenfassenden Risikobericht. Hinzu kommt: Die Dienststellen waren untereinander zu wenig vernetzt. Ein Risikomanagement-Leitfaden stammte aus dem Jahr 2015 und wurde seither weder ergänzt noch aktualisiert.

Der Rechnungshof empfahl der Stadt Wien, ein zweckmäßiges und geeignetes, am Stand der Technik orientiertes Risikomanagementsystem einzuführen. Ein zur Zeit der Prüfung vorliegendes Reformkonzept für eine Weiterentwicklung im Bereich Risikomanagement erachten die Prüferinnen und Prüfer als zweckmäßige Grundlage. 

Vorbereitung auf Krisensituation

Die MA 01 selbst verwaltete ihre Risiken über ein Risikomanagement-Tool. Darin waren mit Stand November 2024 insgesamt 107 Risiken und 625 Maßnahmen erfasst. Für einen Cyber-Angriff hatte die MA 01 eine Checkliste für einen Befall von Schadsoftware (Malware) erarbeitet, ein Notfallplan fehlte jedoch. Laut MA 01 waren entsprechende Maßnahmen in Planung. Ein weitere Kritikpunkt: Bei einer Krisenübung zur Bewältigung eines Cyber-Angriffs im Jahr 2023 wurden keine externen Ansprechpartner miteinbezogen, obwohl in Krisensituationen eine rasche und klare Kommunikation auch mit externen Stellen erforderlich ist.

Externer Personaleinsatz stieg

Die MA 01 setzte im Jahr 2024 internes Personal im Ausmaß von umgerechnet 1.115 Vollzeitstellen und externes Personal im Ausmaß von rund einer Million Personenstunden (das entspricht rund 500 Vollzeitstellen) ein. Die externen Personenstunden stiegen deutlich an – um rund 28 Prozent gegenüber 2021. Weil nachteilige Abhängigkeiten von externen Dienstleistern entstehen könnten, sieht der Rechnungshof diese Entwicklung kritisch. Zudem liegt das Durchschnittsalter der Bediensteten der MA 01 bei rund 46 Jahren – etwa ein Drittel war mindestens 55 Jahre alt. Wegen bevorstehender Pensionierungen hat die MA 01 eine Reihe von Maßnahmen zur Deckung des künftigen Personalbedarfs getroffen. 

Wettbewerb der Bieter

Der Rechnungshof stellt anerkennend fest, dass die Stadt Wien bereits vor der – verspäteten – nationalen Umsetzung der NIS-2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) mit einem vorbereitenden Programm zur Umsetzung der zu erwartenden Anforderungen begonnen hatte. Für die Pilotphase dieses Programms beauftragte die Stadt Wien einen externen Dienstleister aus einem Rahmenvertrag zur IT-Sicherheit, der 2022 nach einem Verhandlungsverfahren ohne Bekanntmachung mit nur einem Bieter abgeschlossen worden war. Der Magistrat begründete die technische Alleinstellung des Dienstleisters vorwiegend mit dem in der bisherigen Zusammenarbeit erworbenen Wissen des Unternehmens über organisatorische und interne Abläufe sowie mit der Aufrechterhaltung der Kontinuität. Aus Sicht des Rechnungshofes ist ein Verfahren mit öffentlicher Bekanntmachung zu bevorzugen, weil so der Wettbewerb der Bieter bestmöglich gewährleistet wird. 

Presseinformation: Management der IT-Sicherheit und Digitalisierungsstrategie der Stadt Wien (pdf)

pdf Datei: 
4,090.8 KB
Umfang: 
94 Seiten

Bericht: Management der IT-Sicherheit und Digitalisierungsstrategie der Stadt Wien

Der Rechnungshof überprüfte von Oktober 2024 bis Jänner 2025 die Konzeption und Umsetzung ausgewählter Aspekte des Managements der IT-Sicherheit und die Digitalisierungsstrategie der Stadt Wien. Prüfungsziele waren die Darstellung und Beurteilung der Grundlagen der IT-Sicherheit, der IT-Sicherheitsorganisation, der IT-Sicherheit aus der Sicht des Risikomanagements sowie der Digitalisierungsstrategie. Der überprüfte Zeitraum umfasste im Wesentlichen die Jahre 2021 bis 2024.

Bericht: Management der IT-Sicherheit und Digitalisierungsstrategie der Stadt Wien Herunterladen


Artikel auf Bluesky teilen Artikel auf Facebook teilen Artikel auf WhatsApp teilen Artikel als E-Mail versenden Link kopieren Artikel teilen
zur Suche