Der Rechnungshof hat in einem Prüfbericht Mängel beim IT-Risikomanagement der Stadt Wien festgestellt.
Entsprechende Maßnahmen zur Verbesserung der Cyber-Sicherheit wurden empfohlen. Zwar wurde festgehalten, dass die zuständige Abteilung "MA 01" bereits zahlreiche Schritte in Sachen IT-Infrastruktur gesetzt hat, kritisiert wurde aber etwa, dass das Risikomanagement zum Teil dezentral organisiert ist. Auch Notfallpläne wurden vermisst.
Die MA 01 ist laut Rechnungshof zentraler Dienstleister für die IKT-Services der Stadt und betreut - die Zahlen stammen aus dem Jahr 2024 - insgesamt 91.000 PCs und Notebooks sowie rund 10.000 Server. Der RH hob hervor, dass es zwar umfangreiche Regelungen zum Risikomanagement gebe, dieses aber zugleich in die Zuständigkeit der unterschiedlichen Dienststellen der Stadt fiel. Die Abteilungen sind laut dem Bericht zu wenig miteinander vernetzt.
Notfallplan urgiert
Ein Risikomanagement-Leitfaden stammte aus dem Jahr 2015 und wurde seither weder ergänzt noch aktualisiert. Die MA 01 selbst verwaltete ihre Risiken laut RH über ein eigenes Tool. Für einen Cyber-Angriff hatte die Abteilung eine Checkliste bei einem Befall von Schadsoftware erarbeitet. Ein Notfallplan, Leitfäden oder ähnliche Konzepte fehlten jedoch, wurde kritisiert. Laut einer Stellungnahme der MA 01 waren jedoch entsprechende Maßnahmen in Planung.
Als problematisch erachtete der Rechnungshof auch die Personalsituation in der Abteilung. Zwar gab es mehr als 1.100 Vollzeitstellen, gewarnt wurde jedoch angesichts der Altersstruktur der Mitarbeiterinnen und Mitarbeiter vor bevorstehenden Pensionierungen. Zugleich wurde festgehalten, dass die Stadt hier bereits Maßnahmen zur Deckung des künftigen Bedarfs getroffen hat.
Dass immer mehr Aufträge extern vergeben werden, stieß ebenfalls auf Kritik. Hier könnten "nachteilige Abhängigkeiten" von anderen Dienstleistern entstehen, befand der Rechnungshof.
