Elektronischer Identitätsnachweis: Hohe Abhängigkeit von externen Unternehmen
Bürgerkarte und Handysignatur sollten, so der Plan, bis 2020 durch den elektronischen Identitätsnachweis (E-ID) abgelöst werden. De facto war der E-ID bis zum Ende der Prüfung durch den Rechnungshof im Mai 2022 noch im Pilotbetrieb und somit noch nicht für alle geplanten Anwendungen einsetzbar. Gemäß einer Stellungnahme an den Rechnungshof soll der Echtbetrieb nun am 30. Juni 2023 starten. Das sind dreieinhalb Jahre später als ursprünglich geplant. Das Konzept „E- ID/ID-Austria“ wurde beim eGovernmentwettbewerb in Berlin als „Bestes Projekt zum Einsatz innovativer Technologien und Infrastrukturen 2022“ ausgezeichnet. Nur: Bei der Umsetzung des Konzepts ortet der Rechnungshof in seinem heute veröffentlichten Bericht „Umstellung von der Bürgerkarte/Handysignatur auf den elektronischen Identitätsnachweis (E-ID)“ Verbesserungsbedarf. Zu viele Leistungen wurden an Externe ausgelagert. Damit begaben sich das damalige Bundesministerium für Digitalisierung und Wirtschaftsstandort (BMDW) und das Bundesministerium für Inneres (BMI) in große Abhängigkeit. Diese Abhängigkeit sollte reduziert werden. Außerdem wäre dringend eine Notfallplanung für den Echtbetrieb erforderlich, für den Fall, dass Komponenten des Systems ausfallen. Prüfungszeitraum waren die Jahre 2018 bis April 2022.
Die Handysignatur ist ein Erfolgsmodell. 74,58 Millionen durchgeführte elektronische (Handy-)Signaturen von 2,92 Millionen registrierten (Handy)- Signatur-Nutzerinnen und Nutzern wurden im Jahr 2021 verzeichnet. Europäische Sicherheitsstandards erfüllte sie jedoch nicht.
Mit dem 2017 im E-Government-Gesetz eingeführten elektronischen Identitätsnachweis (E-ID) sollten Bürgerkarte sowie Handysignatur an neuere technologische Entwicklungen angepasst werden. Der E-ID dient vor allem der eindeutigen Identifikation einer Person bei Online-Diensten. Mit der Umstellung sollten das Sicherheitsniveau erhöht, aber auch die elektronische Unterschriftsowie die Digitalisierung bestimmter physischer Ausweise wie etwa Führerschein und Zulassungsschein ermöglicht werden. Einzelne Komponenten des E-ID-Systems sind bereits jetzt im Pilotbetrieb verfügbar.
Keine ressortübergreifende Gesamtverantwortung für das Projekt
Ab 2018 oblag die technische Umsetzung des E-ID dem BMDW sowie dem BMI. Jedes Ministerium entwickelte die von ihm zu leistenden Projektteile selbst. Es gab keine ressortübergreifende Gesamtprojektleitung, daher fehlte auch eine ressortübergreifende Gesamtsicht zu Projektinhalten, Umsetzungsstand, Zeitplänen und Kosten. Diese Art der Projektorganisation begünstigte das Risiko, dass sich die Projektlaufzeit verlängerte und die geplanten Auszahlungen überschritten wurden. Erst Ende 2021 wurde mit dem neuen ressortübergreifenden Lenkungsausschuss ein entsprechendes Gremium eingerichtet.
Große Abhängigkeit von externen Unternehmen
Das BMI setzte von 2018 bis 2021 für den E-ID internes Personal im Ausmaß von rund 3.111 Personentagen sowie externe Dienstleister im Ausmaß von rund 7.700 Personentagen ein. Da das BMDW für das Projekt von 2018 bis 2021 nur 850 Personentage von internen Personalressourcen beanspruchte, benötigte es 11.070 Personentage von externem Personal. Auftragnehmer des BMDW war fast ausschließlich die Bundesrechenzentrum (BRZ) GmbH. Die beauftragten Tätigkeiten führten in den meisten Fällen Subauftragnehmer der BRZ GmbH aus.
Auch Leitungsaufgaben wurden ausgelagert
Es mussten nicht nur sämtliche Leistungen zur Produktentwicklung extern zugekauft werden, sondern auch Aufgaben, die typischerweise in der Entscheidungs- und Leitungskompetenz des Projektauftraggebers liegen. Dazu gehören etwa Konzeption und Projektmanagement. Dies führte zu einer hohen Abhängigkeit des BMDW von externem fachlichem Personal. Die Möglichkeit des BMDW, das Projekt hinsichtlich Ablauf, Inhalt und Kosten zu steuern, reduzierte sich deshalb. Nach Ansicht des Rechnungshofes beruhten die zeitlichen Verzögerungen von mittlerweile dreieinhalb Jahren auch auf den – gemessen am Projektumfang – zu geringen Personalressourcen des BMDW.
Abhängigkeit reduzieren
Von 2018 bis November 2021 vergaben das BMI sowie das BMDW 63 Aufträge an 13 verschiedene Unternehmen, die wiederum 21 verschiedene Subauftragnehmer einsetzten. Diese 63 externen Beauftragungen offenbaren insgesamt eine strukturell hohe Abhängigkeit der beiden Ministerien von externen Dienstleistern bei der Umsetzung des E-ID. Sie führten gleichzeitig zu einer weiteren Fragmentierung der Verantwortung für das E-ID-System und des Detailwissens über das E-ID-System.
Der Rechnungshof empfiehlt, die aus der Vielzahl an externen Dienstleistern resultierende hohe Abhängigkeit zu reduzieren. Dies, um sicherzustellen, dass das erforderliche Detailwissen über die entwickelten IT-Systeme und IT-Anwendungen im Ressort vorhanden ist.
Leistung eines Kommunikationsberaters zu österreich.gv.at. unklar
Das BMDW beauftragte im Mai 2018 einen Kommunikationsberater mit der Konzeption und Implementierung des „Storytelling österreich.gv.at“ als Teil von österreich.gv.at. Im Oktober 2018 wurden dafür 36.000 Euro abgerechnet. Zum Ergebnis der Beschaffung legte das BMDW dem Rechnungshof einen 13-seitigen Foliensatz mit dem Titel „Kommunikationsplan österreich.gv.at. – Status Quo und Next Steps“ vor. Das Ministerium konnte keine Auskunft darüber geben, ob der Foliensatz eine im Rahmen des Auftrags erbrachte Leistung des Beraters war. Unklar blieb, welche (weiteren) konkreten Leistungen der Kommunikationsberater erbracht und wer diese abgenommen hatte. Im Juli 2019 beglich das BMDW eine Rechnung dieses Beraters mit dem Betreff „Storno Produktion Hilfevideos für Testphase österreich.gv.at“ über 16.800 Euro. Auch hier war das Ministerium im Rahmen der Prüfung durch den Rechnungshof nicht in der Lage, nähere Auskünfte zu erteilen. In beiden Fällen wurden keine Vergleichsangebote eingeholt. Der Rechnungshof empfahl die Prüfung möglicher schadensminimierender Maßnahmen.
Umfassende Notfallplanung dringend erforderlich
Die Gesamtarchitektur des E-ID-Systems ist modular aufgebaut und setzte sich im April 2022 aus insgesamt 15 funktionalen Bereichen zusammen. Jede dieser Komponenten erfüllt bestimmte Aufgaben, ohne die eine Gesamtfunktion nicht gewährleistet wäre. Der Ausfall einer einzigen kritischen Komponente kann dazu führen, dass das gesamte E-ID-System mit seiner Vernetzung in der österreichischen E-Government-Architektur nicht mehr funktioniert. Die notwendige ständige Verfügbarkeit aller Systeme im Registrierungsprozess erfordert dringend eine umfassende Notfallplanung für einen Ausfall. Der Rechnungshof kritisiert, dass eine solche Strategie nicht vorlag.
In Summe leisteten das BMDW und das BMI für die bisherige Entwicklung des E-ID von 2018 bis 2021 Auszahlungen in Höhe von 19,44 Millionen Euro.
- pdf Datei:
- 4,233.0 KB
- Umfang:
- 112 Seiten
Bericht: Umstellung von der Bürgerkarte/Handysignatur auf den elektronischen Identitätsnachweis (E–ID)
Der Rechnungshof überprüfte von Dezember 2021 bis April 2022 ausgewählte Aspekte des IT-Vorhabens zur Umsetzung des elektronischen Identitätsnachweises im damaligen Bundesministerium für Digitalisierung und Wirtschaftsstandort und im Bundesministerium für Inneres. Ziele der Gebarungsüberprüfung waren, die Durchführung der zugehörigen IT-Entwicklung in den beiden Ministerien darzustellen und zu beurteilen. Dabei lag das Augenmerk insbesondere auf den rechtlichen Grundlagen, der Projektorganisation einschließlich der Koordination der zwei Bundesministerien, der Projektdurchführung und den bisher erreichten bzw. nicht erreichten Zielen sowie der IT-Umsetzung und IT-Sicherheit. Der überprüfte Zeitraum umfasste insbesondere die Jahre 2018 bis April 2022.