Das neue Informationsfreiheitsgesetz stärkt die Bürgerrechte, doch die Transparenz hat einen Preis: Erhöhte Betrugsgefahr. Im Interview mit ITWELT.at erklären Elisabeth Sardy-Rauter und Andreas Frohner von EY, welche neuen Risiken auf Kommunen zukommen und wie sie sich schützen können. [...]
Die Einführung des Informationsfreiheitsgesetzes (IFG) markiert einen entscheidenden Wendepunkt für Städte und Gemeinden in Österreich. Wo früher Amtsgeheimnis herrschte, gilt nun ein verfassungsrechtlich verankertes Grundrecht auf Informationszugang. Das bringt Chancen für mehr Transparenz und Bürgernähe, eröffnet aber zugleich neue Angriffsflächen für Betrug, Social Engineering und Cyberkriminalität. Im Gespräch mit Elisabeth Sardy-Rauter, Director bei EY Österreich und Diplomingenieurin für Bauwesen und Architektur, und Andreas Frohner, Leiter Forensic & Integrity Services bei EY Österreich, geht es um die Balance zwischen Offenheit und Sicherheit – und um die Frage, wie Kommunen diesen Spagat in der Praxis meistern können.
Welche Veränderungen bringt das IFG für die tägliche Arbeit in Städten und Gemeinden – gerade in Bezug auf Informationszugang und Verwaltungsprozesse?
© EY/Christina Häusler
Elisabeth Sardy-Rauter: Mit dem Inkrafttreten des Informationsfreiheitsgesetzes (IFG) wird das Amtsgeheimnis abgeschafft und durch ein verfassungsrechtlich verankertes Grundrecht auf Zugang zu Informationen ersetzt. Für Städte und Gemeinden bedeutet das einen grundlegenden Wandel in ihrer Verwaltungskultur und Arbeitsweise, denn ab nun gilt einerseits die proaktive Veröffentlichungspflicht für Gemeinden über 5.000 Einwohner und andererseits das Informationsbegehren, bei dem Bürger formlos Informationsanfragen stellen können.
Wo sehen Sie den größten Nutzen und wo die größten Schlupflöcher im neuen Gesetz?
Andreas Frohner: Transparenz ist eines der wirksamsten Mittel zur Bekämpfung von Missständen – deshalb begrüßen wir diesen gesetzlichen Meilenstein ausdrücklich. Gleichzeitig zeigt unsere Erfahrung, dass ein Mehr an Transparenz auch neue Risiken birgt: Kriminelle erhalten leichter Zugang zu Informationen, die sie für betrügerische Zwecke missbrauchen können. Umso wichtiger ist es, dass mit der Einführung des IFG auch die Antibetrugsmaßnahmen in Städten und Gemeinden konsequent mitgedacht und gestärkt werden.
Das IFG soll Bürgernähe und demokratische Teilhabe fördern – gleichzeitig steigt das Risiko für Betrugsfälle. Wie lässt sich dieser Zielkonflikt in der Praxis auflösen?
EY Österreich
© EY/Georg Wilke
Andreas Frohner: Mit der neuen Offenlegungspflicht müssen aus unserer Sicht auch präventive Sicherheitsmaßnahmen in allen Gemeinden und Städten mitgedacht werden. Zahlungsprozesse und Rechnungsfreigaben sollten nur nach einem strengen Vier-Augen-Prinzip erfolgen. Bei der Änderung von Bankdaten ist besondere Vorsicht geboten. Hier ist das effektivste Mittel die Awareness – also das aktive Problembewusstsein – von Mitarbeitenden und das erreiche ich nur durch konsequente und regelmäßige Schulungen.
Elisabeth Sardy-Rauter: Für größere Bauvorhaben empfehle ich als Baumeisterin die forensische Baubegleitung. Dabei wird ein dritter unabhängiger Partner, beispielsweise EY, an Bord geholt, der als unabhängiger Prüfer fungiert und das Bauvorhaben von der Planungsphase an begleitet. Diese unabhängige Prüfinstanz wirkts bereits abschreckend auf potenzielle Betrüger.
Inwiefern verändert das IFG konkret die Angriffsvektoren für Cyberkriminelle und Social Engineers?
Andreas Frohner: Auch Betrüger könnten das formlose Informationsbegehren dazu missbrauchen, um Zuständigkeiten, Organigramme oder gar Entscheidungswege von Städten und Gemeinden zu erfragen. Social Engineers könnten diese Informationen nutzen, um gezielt Täuschungsversuche zu starten, etwa durch gefälschte E-Mails. Cyberkriminelle könnten diese Informationen dazu nutzen, um authentisch wirkende Rechnungen oder Mahnungen zu legen. Die Möglichkeiten zu betrügen sind nahezu grenzenlos und ohne entscheidende Antibetrugsmaßnahmen ist eine wirksame Risikominimierung nicht möglich.
Elisabeth Sardy-Rauter: Das IFG sieht vor, dass Verträge über 100.000 Euro künftig veröffentlicht werden müssen. Erfahrungsgemäß wird dieser Betrag bei sehr vielen Bauvorhaben überschritten, weshalb besonders bei Bauvorhaben, die durch Gemeinden und Städte realisiert werden sollen, Vorsicht geboten ist.
Welche neuen Angriffsszenarien auf die digitale Verwaltung erwarten Sie?
Andreas Frohner: Durch die proaktive Veröffentlichungspflicht erhalten Angreifer leicht Zugang zu Daten, wie etwa Rechnungen oder Verträgen. Diese können wiederum für bekannte Betrugsmuster, beispielsweise für Phishing, CEO-Fraud oder die Ausstellung von Fake-Rechnungen genutzt werden. Über die letzten Monate und Jahre haben wir schon regelmäßig solche Fälle begleitet und da war das Amtsgeheimnis noch in Kraft – durch die Abschaffung des Amtsgeheimnisses können die Angreifer entsprechend ausgeklügelter vorgehen und die Erkennung wird zusätzlich erschwert.
Was macht kleine Kommunen besonders anfällig?
Elisabeth Sardy-Rauter: In kleinen Gemeinden gibt es oft wenige Mitarbeitende, die viele Aufgaben gleichzeitig übernehmen müssen. Dadurch fehlt häufig die Spezialisierung in Bereichen wie IT-Sicherheit, Vertragsprüfung oder das Fachwissen, wenn es um die Umsetzung von Bauvorhaben geht. Besonders bei Letzteren fehlt oft die Routine im Umgang mit größeren Bauvorhaben. Kleine Kommunen bauen schließlich nicht ständig neue Kindergärten oder Schulen.
Welche konkreten IT- und Compliance-Maßnahmen empfehlen Sie Gemeinden?
Andreas Frohner: In erster Linie empfehle ich, unter den eigenen Mitarbeitenden ein entsprechendes Bewusstsein zu schaffen und die internen Prozesse auf Schwachstellen abzuklopfen. Weiters ist die IT-Sicherheit seit Jahren ein zentrales Thema, welche damit erneut in den Fokus rückt. Cyberangriffe werden immer ausgeklügelter und können Gemeinden und Unternehmen unterschiedlichster Größe treffen. Heutzutage empfehle ich daher jeder noch so kleinen Gemeinde, eine 24/7-Cyber Incident Response Nummer parat zu haben, um sofort fachkundige Experten hinzuziehen zu können. Durch eine entsprechende Vorbereitung auf den Ernstfall können die Folgen und Auswirkungen in vielen Fällen erheblich reduziert werden.
Warum sind gerade Bauprojekte ein bevorzugtes Einfallstor für Betrugsversuche? Und in welcher konkreten Phase eines Bauprojekts lauern die größten Betrugsrisiken? Welche präventiven Schritte im Bauwesen sind notwendig?
Elisabeth Sardy-Rauter: Bauprojekte sind ein bevorzugtes Ziel für Betrüger, weil hier große Geldsummen, viele Akteure und komplexe Abläufe aufeinandertreffen – das schafft Angriffsflächen und kann Betrug besonders lohnend erscheinen lassen. Wenn ich als Expertin im Zuge der forensischen Baubegleitung bei Bauprojekten an Bord geholt werde, entdecke ich immer wieder fehlende Projektstrukturen, überhöhte Kostenkalkulationen, Baufehler und falsche Abrechnungen. Die größten Risiken sehen wir erstens in Ausschreibung und Vergabe (unzureichende Planung oder schwammige Leistungsverzeichnisse, Bieterabsprachen), zweitens in der Bau und Nachtragsphase (überhöhte Nachträge, Verwendung günstigerer Materialien, nicht vollständig erbrachte Leistungen) und drittens in Abrechnung und Zahlung (Scheinrechnungen, doppelte Fakturen etc.).
Durch die forensische Baubegleitung als unabhängige Instanz von Projektbeginn an kann den oben genannten Risiken aktiv gegengesteuert werden. Dazu haben wir ein Paket an Maßnahmen entwickelt. Damit werden Risiken und Kostenüberschreitungen frühzeitig erkannt und das spart der Gemeinde viel Geld.
Welche langfristigen Strategien raten Sie Kommunen, um das Potenzial des IFG zu nutzen, ohne Sicherheitslücken zu schaffen?
Andreas Frohner: Gemeinden sollten Transparenz nicht isoliert betrachten, sondern als Teil eines integrierten Sicherheits- und Compliance-Konzepts. Mit schlanken, aber wirksamen Maßnahmen lassen sich auch mit begrenzten Ressourcen Rechtskonformität und digitale Resilienz erreichen.
Elisabeth Sardy-Rauter: Das IFG bietet Gemeinden und Städte die Chance, Vertrauen und Bürgernähe zu stärken. Damit dies gelingt, braucht es besonders bei Bauprojekten vorausschauende Planung, präventive Maßnahmen und entsprechendes Know-How. Wer frühzeitig handelt, kann nicht nur Risiken minimieren, sondern auch die Vorteile des Gesetzes voll ausschöpfen.
Be the first to comment