TNr. 47: IT an der Hochschule für den öffentlichen Dienst in Bayern
Der ORH empfiehlt, die IT fachbereichsübergreifend zu steuern und zu vereinheitlichen sowie dafür insgesamt einen konkreten Zeitplan zu entwickeln.
Der ORH hat 2016 den IT-Einsatz und Aspekte der Informationssicherheit bei der Zentralverwaltung und im administrativen Bereich der einzelnen Fachbereiche der Hochschule für den öffentlichen Dienst in Bayern (HföD) auf Ordnungsmäßigkeit und Wirtschaftlichkeit geprüft.
47.1 Ausgangslage
Die 1974 gegründete HföD gehört dem Geschäftsbereich des Finanzministeriums an; sie ist dem Ministerium unmittelbar nachgeordnet. Sie gliedert sich in eine Zentralverwaltung und sechs Fachbereiche, deren Fachaufsicht dem jeweils zuständigen Staatsministerium obliegt.
Ihre zentrale ressortübergreifende Aufgabe ist die Ausbildung der dort studierenden Beamtinnen und Beamten für den Einstieg in der dritten Qualifikationsebene der bayerischen Verwaltung. Anfang 2017 gab es über 4.700 Studierende, die von den Einstellungsbehörden den sechs Fachbereichen zugewiesen waren:
An der Spitze der HföD steht ein Präsident, den die Zentralverwaltung unterstützt. Diese koordiniert die Aufgabenerfüllung der Fachbereiche und ist u. a. für den Vollzug des Haushaltsplanes sowie die Organisation und Durchführung von bedeutsamen oder fachübergreifenden Angelegenheiten verantwortlich. Aufgaben der fachübergreifenden und fachbezogenen Fortbildung nehmen die Fachbereiche und die Zentralverwaltung mit Sitz in München wahr.
47.2 Feststellungen
47.2.1 Kosten, Organisation und Steuerung der IT
Die IT-Gesamtkosten der HföD betrugen 2015 1,69 Mio. €.[1]
Die Fachbereiche der HföD sowie die Zentralverwaltung agierten als eigenständige Organisationseinheiten. Infolgedessen waren die IT-Etats und IT-Mitarbeiterkapazitäten, damit auch das IT-Know-how unterschiedlich verteilt. 2015 lag die Spanne der insgesamt 1.000 IT-Arbeitsplätze[2] an diesen 7 Organisationseinheiten zwischen 9 und 378, die Anzahl der insgesamt 5.000 IT-Nutzer[3] zwischen 8 und 1.978.
Die Zentralverwaltung steuerte mangels eigener Ressourcen und spezifischer Fähigkeiten die IT nicht. Es gab auch keine fachbereichsübergreifende IT-Strategie, z. B. für einheitliche Prozessabläufe, Architekturen und Standards. Langfristige Planungen erstellten weder die Zentralverwaltung noch die Fachbereiche. Zwei Fachbereiche verfügten über mittelfristige Planungen für anstehende IT-Projekte; diese bezogen sich aber ausschließlich auf den jeweiligen Fachbereich.
Die Hard- und Software wurde von der Zentralverwaltung und den Fachbereichen der HföD hauptsächlich selbst beschafft. Dadurch sind bei der HföD unterschiedliche Verfahren und Systeme im Einsatz.
Zwei kleinere Fachbereiche erledigten Verwaltungsaufgaben ohne
IT-Unterstützung, die anderen Fachbereiche und die Zentralverwaltung setzten hierfür jeweils unterschiedliche Verfahren ein.
Dienstleistungen der staatlichen Rechenzentren, beispielsweise Verzeichnisdienst, File-Service und E-Mail-Server, wurden überwiegend nicht in Anspruch genommen. Diese Dienste wurden vielmehr selbst betrieben und administriert. Dazu nutzten alle Fachbereiche mit Ausnahme des Fachbereichs Archiv- und Bibliothekswesen und der Zentralverwaltung jeweils eigene Serverräume. Die Administration und Dokumentation des IT-Betriebs waren uneinheitlich und in einigen Teilbereichen nicht geregelt.
Die nachfolgende Tabelle zeigt, wie viele der 7 Organisationseinheiten einen Dienst oder eine Anwendung im Einsatz haben, wie viele unterschiedliche Lösungen und langjährig nebeneinander laufende und zu pflegende Programmversionen es dafür gibt und wie viele Organisationseinheiten IT-Lösungen selbst betreiben.[4]
Jede Lösung verursachte neben den Anschaffungskosten weitere Aufwände für Pflege und Betrieb. Jeder Fachbereich hat dafür eigenes Personal geschult und eingesetzt.
47.2.2 IT-Sicherheit
Ein übergreifendes Informationssicherheitsmanagement sowie ein IT-Sicherheitsprozess mit den notwendigen Ressourcen waren bei der HföD nicht vorhanden. Ein gesamtheitlicher Überblick über die geschäftskritischen Informationen,[5] die Fachaufgaben und Geschäftsprozesse, fehlte. Gleiches galt für eine Sicherheitsstrategie, Sicherheitsziele und eine Einbindung der IT-Sicherheit in weitere Prozesse sowie ins Projektmanagement.
Einzelne Organisationseinheiten kümmerten sich sporadisch um IT-Sicherheit. Keine hatte eine umfassende und in sich stimmige Sicherheitskonzeption, eine entsprechende Dokumentation und Kommunikation.
Bei einzelnen Organisationseinheiten hat der ORH konkrete Sicherheitsmängel festgestellt und aufgrund des Gefährdungsrisikos bereits vor Ort entsprechende Sofortmaßnahmen empfohlen. So waren etwa Netzkomponenten nicht aktualisiert bzw. nicht mit Kennwörtern abgesichert.
47.3 Würdigung
47.3.1 Organisation, Steuerung und Kosten der IT
Ordnungsgemäßer IT-Einsatz der bayerischen Staatsverwaltung hat sich an der IuK-Landesstrategie[6] und den Leitlinien des IT-Planungsrats[7] auszurichten. Zu den wichtigsten Zielen der IuK-Landesstrategie gehören u. a. aus Wirtschaftlichkeitsgründen die Reduzierung der Vielfalt im Hard- und Softwarebereich sowie die Bündelung von Betriebsaufgaben in den staatlichen Rechenzentren.
Trotz vergleichbarer Aufgaben bei der Hochschulverwaltung sind bei den einzelnen Fachbereichen nahezu alle IT-Anwendungen und Systeme heterogen (vgl. Tabelle 54). Von einheitlichen IT-Verfahren und Systemen könnten alle Fachbereiche bei der Beschaffung und dem Betrieb profitieren, auch diejenigen, die bisher Aufgaben noch ohne IT-Unterstützung erledigten. Nach Auffassung des ORH besteht ein erhebliches Vereinheitlichungs- und Einsparpotenzial.
Die vielen unterschiedlichen Lösungen und der damit verbundene unnötige Ressourcenverbrauch sind auf die fehlende IT-Strategie und IT-Steuerung an der HföD zurückzuführen. Die wenigen IT-Projekte waren wegen der fehlenden übergreifenden Koordination nicht auf die gesamte HföD abgestimmt. Um ein gemeinsames Vorgehen zu ermöglichen, bedarf es abgestimmter Planungen.
Bereits bei der Konzeption und Beschaffung neuer Hard- und Software sollte darauf geachtet werden, dass sich diese für alle Fachbereiche nutzen lassen. Um ein wirtschaftliches Vorgehen sicherzustellen, sollten zusammenhängende Aufgabenkomplexe grundsätzlich an einer Stelle gebündelt sein, wie dies bereits bei vielen Behörden, z. B. für den E-Mail-Betrieb oder den File-Service, beim staatlichen Rechenzentrum realisiert ist. Der Betrieb und der Wissensaufbau an einer Stelle wären zudem einfacher zu realisieren.
Die HföD nimmt nur wenige zentral verfügbare Leistungen der staatlichen Rechenzentren in Anspruch. Mit einer Verlagerung der vorhandenen Dienste in ein staatliches Rechenzentrum wären weitere Einsparungen, z. B. bei der Administration und der Technik in den Serverräumen sowie eine Verbesserung der IT-Sicherheit zu erwarten. Dies entspräche auch der IuK-Landesstrategie der Staatsregierung.
Durch die interne Konsolidierung innerhalb der HföD und die externe Konsolidierung auf staatlicher Rechenzentrumsebene könnten die IT-Kosten gesenkt werden. Die freiwerdenden Haushaltsmittel und Mitarbeiterkapazitäten ließen sich so zusammenfassen und für den gebündelten Know-how-Aufbau nutzen.
47.3.2 IT-Sicherheit
Nach Maßstab der geltenden IT-Sicherheitsrichtlinien[8] reicht die IT-Sicherheit bei der HföD nicht aus. Der ORH empfiehlt, einen zentralen IT-Sicherheitsbeauftragten zu schaffen. Dieser kann einen gesamtheitlichen Überblick über die geschäftskritischen Informationen, die Fachaufgaben und Geschäftsprozesse der HföD gewinnen und Spezialwissen bündeln.
47.4 Stellungnahme der Verwaltung
Die Verwaltung verweist auf die mit ihrer Entstehungsgeschichte und mit der unterschiedlichen Ressortanbindung der Fachbereiche verknüpfte Entwicklung des IT-Einsatzes und die große räumliche Distanz der Fachbereiche. Sie will aber zentrale Empfehlungen des ORH aufgreifen. Die Bedeutung des IT-Einsatzes habe in den letzten Jahren erheblich zugenommen. Die HföD werde die vorhandene IT-Landschaft sowie die Betriebs- und Betreuungsstruktur untersuchen und auf dieser Basis einen Maßnahmenkatalog zur Optimierung dieser Strukturen sowie einen Zeitplan zur Umsetzung erstellen. Dabei werde auch geprüft, inwieweit mehr Dienstleistungen der staatlichen Rechenzentren in Anspruch genommen werden können. Eine personelle Verstärkung der HföD für diesen Bereich sei bereits vorgesehen.
Die Zentralverwaltung habe 2015 mit der Einführung der eAkte[9] für die HföD begonnen, die mit Ausnahme des Fachbereichs Archiv- und Bibliothekswesen in den Jahren 2017 und 2018 in allen übrigen Fachbereichen eingeführt werde bzw. worden sei. Dann würden sechs Organisationseinheiten ein einheitliches System ohne Eigenbetrieb einsetzen.
Zur IT-Sicherheit wolle die Staatsregierung der Leitlinie des IT-Planungsrats folgend ein Managementsystem für Informationssicherheit einführen. Damit werde auch bei der HföD bis 2019 ein umfassender Sicherheitsprozess etabliert sein.
47.5 Schlussbemerkung
Die IT der HföD ist dringend verbesserungsbedürftig. Der ORH empfiehlt, die
IT fachbereichsübergreifend zu steuern und zu vereinheitlichen sowie dafür insgesamt einen konkreten Zeitplan zu entwickeln.
[2] Anzahl aller PCs und Laptops inkl. Lehre.
[3] Anzahl inkl. Studierende.
[4] Wo es keinen Eigenbetrieb gibt, liegt der Betrieb bei einem staatlichen Rechenzentrum oder einem externen Dienstleister.
[5] Kritische IT-gestützte Geschäftsprozesse sind solche, die für die Arbeitsfähigkeit der Verwaltung von essentieller Bedeutung sind. Sie besitzen daher einen besonderen Schutzbedarf bezüglich Verfügbarkeit und/oder Vertraulichkeit sowie Integrität.
[6] Staatsministerium des Innern (Zentrale IuK-Leitstelle): IuK-Landesstrategie für die bayerische Staatsverwaltung(Stand: 14.10.2005).
[7] IT-Planungsrat: Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung (https://www.it-planungsrat.de/SharedDocs/Downloads/DE/Entscheidungen/10_Sitzung/Leitlinie_Informationssicherheit_Hauptdokument.html?nn=6848604 - abgerufen am 10.01.2018).
[8] Vgl. Fn. 178.
[9] Nach dem Ministerratsbeschluss vom 07.01.2013 ist die elektronische Akte (eAkte) in der Staatsverwaltung einzuführen.