SICHERHEITSLÜCKE: Bundesprüfer decken Milliardenrisiko auf

Zahlungen von über 30 Milliarden Franken löst die Steuerverwaltung des Bundes jährlich aus. Die Eidgenössische Finanzkontrolle hat im Zahlungssystem eine kritische Sicherheitslücke gefunden.

Merken
Drucken
Teilen
Die Eidgenössische Steuerverwaltung mit Sitz in Bern. (Bild: Gaëtan Bally/Keystone (3. März 2015))

Die Eidgenössische Steuerverwaltung mit Sitz in Bern. (Bild: Gaëtan Bally/Keystone (3. März 2015))

Fabian Fellmann


Die Angestellten der Bundesverwaltung sind ehrliche Häute. Zu diesem Schluss führt ein Bericht der Eidgenössischen Finanzkontrolle. Die unabhängigen Prüfer des Bundes haben im vergangenen Jahr das interne Kontrollsystem der Eidgenössischen Steuerverwaltung unter die Lupe genommen. Dabei stiessen sie auf eine Sicherheitslücke, welche die Prüfer als sehr kritisch einstuften, weil sie für den Bund ein Milliardenrisiko darstellte.

138 Mitarbeiter der Bundesverwaltung hätten das Zielkonto für Zahlungen der Steuerverwaltung abändern können, ohne dass diese noch einmal einem Kontrollsystem unterworfen worden wären. Das betrifft unter anderem Rückerstattungen der Verrechnungssteuer, die zum grossen Teil ins Ausland fliessen. Dabei handelt es sich um enorme Summen: 2015 lösten die entsprechenden Systeme Auszahlungen von 31,2 Milliarden Franken aus. Das geht aus einem Bericht der Kontrolleure vom Oktober 2016 hervor, der auf Begehren dieser Zeitung nun veröffentlicht worden ist.

Weil die Finanzkontrolle das Sicherheitsproblem als sehr kritisch betrachtete, forderte sie den Bundesrat im Mai 2016 auf, es zu beheben. Das tun die Prüfer nur bei besonderen Ereignissen oder in Fällen, in denen grössere finanzielle Verluste drohen. Ein Beispiel dafür ist das Debakel mit den Bürgschaften des Bundes für Hochseeschiffe, vor dem die Finanzkontrolle den Bundesrat im April 2016 warnte. Inzwischen hat sich herausgestellt, dass der Bund einen Abschreiber von 215 Millionen Franken tätigen muss.

Bei den Auszahlungen der Steuerverwaltung hingegen scheint der Bund keinen finanziellen Verlust erlitten zu haben, obwohl das Sicherheitsproblem über Jahre unerkannt geblieben war. Die Finanzkontrolle entschied sich darum zu einer Nachprüfung bis zurück ins Jahr 2012. Sie fand dabei keine Hinweise darauf, dass die Lücke im System ausgenutzt worden wäre. Die Steuerverwaltung musste aber fortan jede Woche überprüfen, ob die Geldadressen verändert worden sein könnten, bis die Sicherheitslücke behoben war.

Kreis der Berechtigten war gross

Besonders beunruhigend war für die Prüfer, dass nicht etwa nur Angestellte der Steuerverwaltung die Daten hätten manipulieren können. In dem Amt besassen nur 16 Personen die entsprechenden Berechtigungen. Beim Bundesamt für Informatik hingegen, welches die Datenbanken betreibt, zählten 76 Personen zum Kreis der Berechtigten, weitere 40 waren es bei der Finanzverwaltung, einzelne weitere beim Bundesamt für Bauten und Logistik, bei der Zollverwaltung und sogar der Bundesanwaltschaft. Die Steuerverwaltung selbst wusste nicht Bescheid darüber, wer die entsprechenden Berechtigungen besass.

Die Lücke bestand im Zusammenspiel der Informatiksysteme Molis, das für die Mehrwertsteuer zum Einsatz kommt, und Solis, das für die Stempelabgabe, die Verrechnungssteuer und die direkte Bundessteuer genutzt wird, und der Datenbanklösung SAP P07. Molis und Solis sind berüchtigt: Die Systeme stammen aus den 1980er-Jahren und sollten im gross angelegten Projekt Insieme ersetzt werden. Die Kosten liefen jedoch aus dem Ruder, 2012 zog die damalige Departementsvorsteherin Eveline Widmer-Schlumpf den Stecker. Das Debakel kostete die Steuerzahler 102 Millionen Franken und war mitunter ein Grund dafür, dass der damalige Chef der Steuerverwaltung den Hut nehmen musste.

Hohe Mehrkosten bei Informatikprojekten

Doch auch das Nachfolgeprojekt Fiscal-IT fordert die Steuerverwaltung heraus. Dieses sollte
zunächst 85 Millionen Franken kosten. Inzwischen hat der Bundesrat zusätzliche 18 Millionen beantragt, und die Finanzdelegation des Parlaments fürchtet eine weitere Kostenexplosion.
Entsprechend unzufrieden ist der Nationalrat, der sich heute Morgen noch einmal mit dem Nachtragskredit befasst. Während der Ständerat diesen abgesegnet hat, wollte der Nationalrat bisher den vollen Betrag erst im Budget 2018 behandeln.

Teil von Fiscal-IT ist ein Projekt für die Rückerstattung der Verrechnungssteuer, das die Finanzkontrolle in ihrem Bericht kritisch beurteilt. Sie ging davon aus, dass es bis Mai 2017 abgeschlossen würde. Gemäss Auskunft der Steuerverwaltung soll es nun im September zum Einsatz kommen; derzeit würden die fertig entwickelten Komponenten getestet. Die Kosten sind derweil von ursprünglich geplanten 3,6 Millionen Franken auf 8,8 Millionen Franken gestiegen.