Die Beschaffung eines IT-Systems endet für Österreichs Verteidigungsministerium in einem Millionengrab. Rund 13,4 Millionen Euro wurden in ein System investiert, das nie eingesetzt wurde. Die Kosten für das nicht genutzte Produkt steigen weiter an: Jährlich werden 650.000 Euro dafür fällig.

In der Causa geht es um das System "Defense Forces & Public Security" des deutschen Softwareherstellers SAP. Es richtet sich an Armeen und Polizeibehörden und wird in zahlreichen Staaten eingesetzt. Laut einem Schreiben aus dem Verteidigungsressort wurde dieses SAP-System mit Stand Juni 2020 von insgesamt 57 Streitkräften - darunter auch von 22 Nato-Staaten - verwendet.

Österreichs Militär zeigte ebenfalls Interesse - konkret an einem Teil des SAP-Systems, dem Basismodul "Organisatorische Flexibilität" (OrgFlex). Mit diesem können militärische und zivile Planungen durchgeführt werden. Die Funktionen des SAP-Systems werden auch benötigt, um IT-Services des Bundes effektiver und vollständig nutzen zu können: Mit den bisher verwendeten IT-Systemen stieß das Verteidigungsressort hierbei nämlich auf Hürden.

Ministerium zu Kosten schweigsam

Daher wurde das System nach längeren Diskussionen und Verhandlungen für das Verteidigungsministerium angeschafft. Im Herbst 2016 wurde auf einer Klausur mit Vertretern des Verteidigungsministeriums, Bundeskanzleramts, Bundesrechenzentrums und von SAP erstmals das Modul OrgFlex vorgestellt, heißt es auf Anfrage aus dem Verteidigungsressort. Das System machte schließlich das Rennen, nach der Implementierung sollte es im Herbst 2019 im Verteidigungsressort aktiviert werden.

Die Kosten für das Vorhaben nennt das Ministerium nicht. Ein Sprecher erklärt: "Die Kosten für die Einführung des Systems lagen im budgetierten Rahmen." Die Beschaffung sei damals über das Bundesrechenzentrum (BRZ) gelaufen, da dieses über den "SAP-Republiksvertrag" bessere Konditionen verhandeln habe können. Das BRZ äußert sich ebenfalls nicht zu den konkreten Kosten.

Dass es sich um eine millionenschwere Anschaffung handelt, zeigt ein internes Informationsschreiben vom Juni 2020 aus dem Verteidigungsressort. Es liegt der "Wiener Zeitung" vor.

11,45 Millionen Euro an Investitionskosten und 1,92 Millionen Euro an Betriebskosten seien bisher für das Gesamtvorhaben angefallen, heißt es darin. Eine nähere Aufschlüsselung findet sich darin nicht. Informierte Kreise berichten aber, dass davon die Beschaffung, Implementierung sowie das geplante Ablösen der bisherigen Systeme umfasst seien.

Sicherheitsbeauftragter hatte Bedenken

Die Arbeiten für das millionenschwere Projekt schritten voran. Das System hätte am 14. Oktober 2019 aktiviert werden sollen, Ende September sei das Projekt bereits implementiert und einsatzbereit gewesen, schildern informierte Kreise: "Das Programm war so gut wie fertig eingerichtet. Man hätte nur noch den Schalter umlegen müssen."

Doch es kam anders. Rudolf Striedinger, der damalige Chef des Abwehramts und Beauftragte für die Informationssicherheit im Ressort, stellte sich gegen die Aktivierung. Am 25. September 2019 empfahl er in einem Schreiben an den damaligen Verteidigungsminister Thomas Starlinger, dieser möge von der Aktivierung vorerst Abstand nehmen. Aus Sicherheitsbedenken.

Im Fokus von Striedingers Sorge stand das Bundesrechenzentrum. An dieses wären rund um das SAP-System Daten zur Verarbeitung weitergeleitet worden. Doch das BRZ habe bei Sicherheitsüberprüfungen durch Experten des Verteidigungsressorts "keine schriftlichen Unterlagen für eine vertiefende Prüfung übergeben", da diese vertraulich seien, schreibt Striedinger. Es gebe keine ausreichenden "Informationen über die Sicherheitsarchitektur des BRZ bei der Verarbeitung der Personaldaten" des Verteidigungsressorts.

Er könne daher keine "Verantwortung für die Sicherheit der Personaldaten" des Bundesheers übernehmen, so Striedinger. Insbesondere sensible Personal- und Organisationsdaten zu den Nachrichtendiensten sah er gefährdet.

Verteidigungsminister Starlinger folgte dieser Empfehlung des Sicherheitsbeauftragten und ließ das System vorerst nicht aktivieren, wie er gegenüber der "Wiener Zeitung" bestätigt. Bei einer weiteren Überprüfung sollte die Datensicherheit im BRZ näher untersucht werden.

Hunderttausende Euro für Lizenzgebühren

Starlinger schied im Jänner 2020 aus dem Amt aus. Unter Ministerin Klaudia Tanner (ÖVP) wurde das System weiter nicht aktiviert. Ressortintern ist das nicht unumstritten, manche Person im Ministerium hält die Sicherheitsbedenken für überzogen, zumal der Implementierung des SAP-Systems ein jahrelanger Prozess mit zahlreichen Sicherheitsprüfungen vorausgegangen sei.

Auch in dem ressortinternen Informationsschreiben aus dem Verteidigungsministerium vom Juni 2020 klingen Zweifel an. Darin heißt es, dass das SAP-System auf "autarken Servern" des Verteidigungsressorts laufe. Sensible nachrichtendienstliche Organisationsdaten würden stets "in anonymisierter Form" an das BRZ übertragen werden.

Zu einer Einigung fand man über die Jahre nicht. Die Kosten für das nicht aktivierte System stiegen dafür weiter an: Für das "nicht produktiv genützte System" würden jährlich 650.000 Euro für das Ressort anfallen, heißt es in dem heeresinternen Schreiben. Laut informierten Kreisen handelt es sich dabei vor allem um Lizenzgebühren für das SAP-System. Im Verteidigungsministerium werden zu den laufenden Kosten keine Angaben gemacht. Ersatzsysteme für das SAP-Modul seien aber nicht angeschafft worden. Bisher bestehende IT-Systeme seien weiter im Einsatz.